Сервер ключей

Проект "Сервера ключей" закрыт и более не развивается, применяется для версий комплекса 17.1 и ниже. Для версий 17.2 и выше следует использовать Сервис ОД.


(не применяется с версии базы данных 17.03)
Сервер ключей является отдельной внешней утилитой (программой) - компонентом механизма проверки подлинности ЭЦП и предназначен для связи SQL сервера и Крипто-ПРО (осуществляет фактическую проверку ЭЦП). Инициацию проверки ЭЦП осуществляет SQL сервер и посредством сервера ключей передает данные в Крипто-Про.

На сервере кроме самой cлужбы сервера ключей должен быть установлен Crypto Pro CSP и Корневой сертификат УЦ. Порт для общения с SQL Server - 3847 TCP.

В настройке задается Имя или IP адрес сервера (компьютера), на котором установлен сервер ключей. Утилита проверки ЭЦП (сервер ключей) является необходимым компонентом для работы с ЭЦП комплексе. Взять программу проверки ЭЦП можно с сайта разработчика по адресу https://keysystems.ru/files/misc/cert/CertServer/ (файл установки CertServerSetup.msi) . О выходе новой версии сообщается на форуме https://keysystems.ru/forum/index.php?showtopic=5316 .

Примечание: для версий ПК "Бюджет-СМАРТ" ниже 11.03 требуется сервер ключей версии 3.1.0.2 , дистрибутив которого можно взять тут https://keysystems.ru/files/misc/cert/CertServer_old.exe . Обе версии сервера ключей (актуальная и 3.1.0.2) должны быть установлены на разных компьютерах.

Установка

  • Установить службу сервера ключей, используя дистрибутив, на общедоступный компьютер, который и будет сервером ключей. На этом же компьютере должен быть установлен "Крипто Про" и корневой сертификат удостоверяющего центра, выдавшего сертификаты пользователей.
  • Задать настройку комплекса «Дерево настроек - НАСТРОЙКИ - Электронно-цифровая подпись - Сервер ключей». Можно указать несколько серверов, через точку с запятой: при неудачном обращении к первому будет попытка работать со вторым сервером ключей и т.д.

Применение

На сервере ключей так же должны быть установлен корневой сертификат удостоверяющего центра, выдавшего сертификаты пользователям. Либо сертификаты открытых ключей пользователей, ЭЦП которых будет накладываться на документы. Корневой сертификат УЦ ООО "Кейсистемс" см. на сайте https://www.keysystems.ru/services/CertificationCentr/ .

Служба проверки ЭЦП (сервер ключей) должна быть запущена.

Примеры значения настройки:

  • servkey
  • 192.168.0.11;192.168.0.25

где servkey - имя компьютера, на котором установлен сервер ключей, 192.168.0.11 - IP адрес компьютера, на котором установлен сервер ключей.

Внимание! В ПК "СМАРТ": если используется не системный модуль ЭЦП , то корневой сертификат УЦ нужно установить на компьютере пользователя.

В ПК "Бюджет-СМАРТ" при нажатии кнопки "Просмотр/установка ЭЦП" на документе, имеющем подпись, SQL сервер обращается к серверу ключей, который проверяет корректность ЭЦП документа в соответствии с установленным на сервере ключей сертификатом открытого ключа.

Если настройка сервера указана неверно, либо на сервере ключей не запущена программа проверки ЭЦП (CertServer.exe) - при нажатии кнопки "Просмотр/установка ЭЦП" в графе "Статус" будет выдано сообщение "cannot connect" либо "Не задана настройка <Сервер ключей>" (настройка пустая) либо "Cannot resolve IP address" (настройка задана, но к указанному серверу невозможно подключится).

Особенности

1. Размещение сертификатов.

Корневой сертификат УЦ на сервере ключей следует размещать в "локальном компьютере" (т.е. для компьютера, а не пользователя), если служба сервера ключей работает под системной учетной записью. Симптомы неверного размещения сертификатов: при проверке ЭЦП сообщение "Подпись верна. Сертификат не найден в хранилище" либо "Один из сертификатов цепочки - не удалось определить достоверность".

Способы установки корневого сертификата, гарантирующие корректность его размещения:

  • при установке с рутокена средствами ПО "Крипто Про" выбрать пункт "Поместить все сертификаты в следующее хранилище", далее, по кнопке Обзор, в следующем окне включить опцию "Показать физические хранилища" и выбрать в качестве места размещения сертификата "Реестр".
  • установить средствами службы сервера ключей: в контекстном меню значка службы "Certserver" в трее ОС Windows выбрать пункт меню "Установить сертификат" (далее указать месторасположение файла сертификата) - сервер ключей сам установит сертификат куда следует.
    На некоторых ОС (например, Win7) служба сервера ключей может не отображаться в трее. В этом случае следует: остановить службу Certserver, запустить файл Certserver.exe вручную (по умолчанию место установки c:\Program Files (x86)\Keysystems\CertServer\) - отобразится значок в трее, установить корневой сертификат (как описано выше), закрыть программу (контекстное меню Выход), запустить службу Certserver.

2. Проверка ЭЦП ОД.

Сервис ключей может получить доступ к оправдательным документам (ОД) только средствами сервиса первичных документов (через WEB хранилище).

Сервер ключей обращается к ОД (а так же сохраненным на сервисе ОД отчетам) для проверки ЭЦП всегда через web адрес сервиса первичных документов , используя общее значение настройки "Меню Настройки: НАСТРОЙКИ \ Первичные документы \ Web сервер". При этом сервис первичных документов должен работать по http протоколу (протокол https сервисом ключей не поддерживается - по адресу https://.../uploadservice сервис ключей обратится не сможет). При использовании сервиса ОД по протоколу https для сервера ключей нужно будет развернуть второй по протоколу http.