Портал документации Рутокен

Page tree

Rutoken KeyBox состоит из следующих сервисов:

  • Консоль управления (Management Console) – веб-приложение mc;
  • Сервис самообслуживания (Self-Service) – веб-приложение ss;
  • Сервис удаленного самообслуживания за пределами домена (Remote Self-Service) – веб-приложение rss;
  • Сервис разблокировки и выключения устройств – веб-приложение credprovapi;
  • Сервис API – веб-приложение api;
  • Сервер OpenID Connect – веб-приложение oidc;
  • Сервис отслеживания состояния устройств – служба Card Monitor, не имеет веб-приложения;
  • Cервис регистрации агентов – веб-приложение agentregistrationapi;
  • Сервис агентов для удаленного выполнения задач – веб-приложение agentserviceapi.

Каждый сервис имеет собственные файлы конфигурации и настройки доступа.

Для установки и настройки сервера Rutoken KeyBox выполните следующие действия:

  1. Запустите файл RutokenKeyBox.Server\-<номер версии>.x64.ru-ru.msi из каталога Rutoken KeyBox.WindowsServer дистрибутива системы и установите сервер, следуя указаниям мастера.

  2. Выберите способ контроля доступа для всех приложений системы: аутентификация Windows, OpenID Connect или по персональным сертификатам пользователей.

    При выборе аутентификации Windows автоматически устанавливаются следующие параметры контроля доступа:

    • Проверка подлинности (Authentication):
      • Проверка подлинности Windows (Windows Authentication) для следующих веб-приложений: Консоль управления (mc), Сервис самообслуживания (ss), Сервис API (api). Остальные способы отключены.
      • Анонимная проверка подлинности (Anonymous Authentication) для следующих веб-приложений: Сервис удаленного самообслуживания (rss), Сервис разблокировки смарт-карт (credprovapi), Сервисы клиентских агентов (agentregistrationapi, agentserviceapi).
      • Анонимная проверка подлинности (Anonymous Authentication) и Проверка подлинности с помощью форм (Forms Authentication) для приложения Сервис удаленного самообслуживания (rss).
    • Параметры SSL (SSL Settings):
      • Требовать SSL (Require SSL) для всех веб-приложений.
      • Сертификаты клиента (Client certificates):
        • Игнорировать (Ignore) для следующих веб-приложений: Консоль управления (mc), Сервис самообслуживания (ss), Сервис удаленного самообслуживания (rss), Сервис разблокировки смарт-карт (credprovapi), Сервис API (api), Сервис регистрации клиентских агентов (agentregistrationapi).
        • Требовать (Require) для веб-приложения Сервис агентов (agentserviceapi).

    После установки системы Параметры SSL для каждого приложения можно изменить вручную в Диспетчере служб IIS (Internet Information Services (IIS) Manager).

    Выберите тот же способ аутентификации при настройке контроля доступа к веб-приложениям Rutoken KeyBox в Мастере настройки.

    При выборе аутентификации OpenID Connect автоматически устанавливаются следующие параметры контроля доступа:

    • Проверка подлинности (Authentication):
      • Анонимная проверка подлинности (Anonymous Authentication) для всех веб-приложений. Остальные способы отключены.
      • Анонимная проверка подлинности (Anonymous Authentication) и Проверка подлинности с помощью форм (Forms Authentication) для приложения Сервис удаленного самообслуживания (rss).
    • Параметры SSL (SSL Settings):
      • Требовать SSL (Require SSL) для всех веб-приложений.
      • Сертификаты клиента (Client certificates):
        • Игнорировать (Ignore) для следующих веб-приложений: Консоль управления (mc), Сервис самообслуживания (ss), Сервис удаленного самообслуживания (rss), Сервис разблокировки смарт-карт (credprovapi), Сервис API (api), Сервис регистрации клиентских агентов (agentregistrationapi).
        • Требовать (Require) для веб-приложения Сервис агентов (agentserviceapi).

    После установки системы Параметры SSL для каждого приложения можно изменить вручную в Диспетчере служб IIS (Internet Information Services (IIS) Manager).

    Выберите тот же способ аутентификации при настройке контроля доступа к веб-приложениям Rutoken KeyBox в Мастере настройки.

    Если каталог пользователей находится в Active Directory, то сертификаты, используемые для аутентификации, должны содержать значение User Principal Name (UPN). В веб-приложения невозможно войти, если в сертификате нет значения UPN.

    При выборе аутентификации по персональным сертификатам пользователей автоматически устанавливаются следующие параметры контроля доступа:

    • Проверка подлинности (Authentication):
      • Анонимная проверка подлинности (Anonymous Authentication) для всех веб-приложений. Остальные способы отключены.
      • Анонимная проверка подлинности (Anonymous Authentication) и Проверка подлинности с помощью форм (Forms Authentication) для приложения Сервис удаленного самообслуживания (rss).
    • Параметры SSL (SSL Settings):
      • Требовать SSL (Require SSL) для всех веб-приложений.
      • Сертификаты клиента (Client certificates):
        • Игнорировать (Ignore) для следующих веб-приложений: Сервис удаленного самообслуживания (rss), Сервис разблокировки смарт-карт (credprovapi), Сервис регистрации клиентских агентов (agentregistrationapi).
        • Требовать (Require) для для следующих веб-приложений: Консоль управления (mc), Сервис самообслуживания (ss), Сервис API (api), Сервис агентов (agentserviceapi).

    После установки системы Параметры SSL для каждого приложения можно изменить вручную в Диспетчере служб IIS (Internet Information Services (IIS) Manager).

    Выберите тот же способ аутентификации при настройке контроля доступа к веб-приложениям Rutoken KeyBox в Мастере настройки.

  3. Выпустите SSL/TLS-сертификат.

    Субъект (Subject) сертификата должен содержать атрибут Общее имя (Common name) (FQDN сервера Rutoken KeyBox).

    Дополнительное имя субъекта (Subject Alternative Name) сертификата должно содержать атрибут DNS-имя (DNS Name) (FQDN сервера Rutoken KeyBox). Например: server.demo.local или соответствующую запись с подстановочными знаками, например: *. demo.local (Wildcard certificate).

    Улучшенный ключ (Enhanced Key Usage) сертификата должен содержать значение Проверка подлинности сервера (Server Authentication).

  4. Добавьте SSL/TLS-сертификат для сайта Default Web Site:

    1. Запустите Диспетчер служб IIS (Internet Information Services (IIS) Manager).
    2. Выберите сайт Default Web Site и перейдите в раздел Привязки... (Bindings...).
    3. Нажмите Добавить... (Add...), выберите Тип: (Type:) https и Порт: (Port:) 443.
    4. Выберите SSL-сертификат: (SSL certificate:) и нажмите OK.

  1. Установите RPM пакет через пакетный менеджер из дистрибутива Rutoken KeyBox. Для использования пакетного менеджера требуются права суперпользователя:

    sudo rpm -i keybox.-<номер версии>.x86_64.rpm

  2. Установите TrueType шрифты Windows для корректной работы Сервиса удаленного самообслуживания. В RHEL и производных дистрибутивах пакет называется msttcore-fonts-installer:

    sudo yum install -y msttcore-fonts-installer
fc-cache -f -v

  3. Настройте управление приложениями.
    Во время установки сервера для управления приложениями создаются файлы служб systemd. Данная подсистема инициализации и управления службами позволяет запускать приложения автоматически при старте сервера Rutoken KeyBox и держать их запущенными без участия пользователя.
    По умолчанию systemd запускает приложения Rutoken KeyBox от имени учетной записи www-data.

    В RHEL и производных дистрибутивах учетная запись www-data по умолчанию отсутствует. Учетную запись www-data можно добавить через утилиту useradd или заменить используемую учетную запись пользователя (директива User=<имя пользователя>) в файлах служб keybox-<имя сервиса>.service, располагающихся в директории /etc/systemd/system.

    Пример команды для создания пользователя www-data

    useradd -d /var/www -m www-data -s /sbin/nologin

    [Unit]
    Description=Rutoken Keybox Management Console Application

    [Service]
    WorkingDirectory=/opt/aktivco/keybox/mc/
    ExecStart=/opt/aktivco/keybox/mc/Cm.Web.ManagementConsole
    Restart=always
    RestartSec=10
    KillSignal=SIGINT
    SyslogIdentifier=keybox-mc
    User=keybox_adm
    Environment=ASPNETCORE_URLS="http://localhost:5001"
    Environment=ASPNETCORE_ENVIRONMENT=Production
    Environment=DOTNET_PRINT_TELEMETRY_MESSAGE=false

    [Install]
    WantedBy=multi-user.target

    Чтобы включить автозапуск и немедленный старт приложений, выполните файл сценария start-keybox-services.sh из директории с дистрибутивом Rutoken KeyBox:

    chmod +x start-keybox-services.sh
sudo ./start-keybox-services.sh

    Для запуска любого файла сценария требуются разрешения на выполнение у данного файла. В ходе работы сценария требуются права суперпользователя.

  4. Для корректной работы приложений настройте параметры системы через Мастер настройки (рекомендуется) или вручную.

  5. Для безопасной работы с других машин настройте веб-сервер.
  6.  В инструкциях описывается привязка SSL/TLS-сертификатов и настройка подключения по протоколу HTTPS.

  1. Установите DEB пакет через пакетный менеджер из дистрибутива Rutoken KeyBox. Для использования пакетного менеджера требуются права суперпользователя:

    sudo dpkg -i keybox.-<номер версии>_amd64.deb

  2. Установите TrueType шрифты Windows для корректной работы Сервиса удаленного самообслуживания. В Debian и производных дистрибутивах пакет называется ttf-mscorefonts-installer:

    wget http://ftp.ru.debian.org/debian/pool/contrib/m/msttcorefonts/ttf-mscorefonts-installer_3.8.1_all.deb
sudo dpkg -i ttf-mscorefonts-installer_3.8.1_all.deb
fc-cache -f -v

  3. Настройте управление приложениями.

    Во время установки сервера для управления приложениями создаются файлы служб systemd. Данная подсистема инициализации и управления службами позволяет запускать приложения автоматически при старте сервера Rutoken KeyBox и держать их запущенными без участия пользователя.

    По умолчанию systemd запускает приложения Rutoken KeyBox от имени учетной записи www-data.

    В RHEL и производных дистрибутивах учетная запись www-data по умолчанию отсутствует. Учетную запись www-data можно добавить через утилиту useradd или заменить используемую учетную запись пользователя (директива User=<имя пользователя>) в файлах служб keybox-<имя сервиса>.service, располагающихся в директории /etc/systemd/system.

    Пример команды для создания пользователя www-data

    useradd -d /var/www -m www-data -s /sbin/nologin

    [Unit]
    Description=Rutoken Keybox Management Console Application

    [Service]
    WorkingDirectory=/opt/aktivco/keybox/mc/
    ExecStart=/opt/aktivco/keybox/mc/Cm.Web.ManagementConsole
    Restart=always
    RestartSec=10
    KillSignal=SIGINT
    SyslogIdentifier=keybox-mc
    User=keybox_adm
    Environment=ASPNETCORE_URLS="http://localhost:5001"
    Environment=ASPNETCORE_ENVIRONMENT=Production
    Environment=DOTNET_PRINT_TELEMETRY_MESSAGE=false

    [Install]
    WantedBy=multi-user.target

    Чтобы включить автозапуск и немедленный старт приложений, выполните файл сценария start-keybox-services.sh из директории с дистрибутивом Rutoken KeyBox:

    chmod +x start-keybox-services.sh
sudo ./start-keybox-services.sh

    Для запуска любого файла сценария требуются разрешения на выполнение у данного файла. В ходе работы сценария требуются права суперпользователя.

  4. Для корректной работы приложений настройте параметры системы через Мастер настройки (рекомендуется) или вручную.

  5. Для безопасной работы с других машин настройте веб-сервер. В инструкциях описывается привязка SSL/TLS-сертификатов и настройка подключения по протоколу HTTPS.
  • No labels