Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.
УТВЕРЖДЕН
RU.ЛСАФ.00020
-
01 9
5
01
-
ЛУ
СРЕДСТВО ЗАЩИТЫ ЭЛЕКТРОННЫХ ДОКУМЕНТОВ
«
РусКрипто
SSF
»
Руководство по установке
RU.ЛСАФ.00020
-
01 9
5
01
Листов
11
2
Аннотация
Настоящий документ содержит инструкцию по установке и настройке программного
комплекса (далее комплекс) РусКрипто
-
SSF на серверах и клиентских рабочих местах в
системе SAP R/3.
Комплекс РусКрипто
-
SSF предназначен для криптографической защиты
информации при
работе в среде прикладной системы SAP R/3.
3
Содержание
Аннотация
................................
................................
................................
................................
.......................
2
1 Термины и обозначения
................................
................................
................................
.............................
4
2
Установка и настройка на сервере приложений
................................
................................
......................
4
2.1 Программно
-
аппаратная платформа сервера
................................
................................
........................
4
2.2 Установка дистрибутива в UNIX
-
системах
................................
................................
...........................
4
2.3 Установка дистрибутива в MS Windows Server
................................
................................
....................
5
2.4 Настройка конфигурации
................................
................................
................................
........................
5
2.5 Настройка профиля сервера приложений
................................
................................
..............................
7
2.6 Проверка работоспособности
................................
................................
................................
.................
7
3 Установка и настройка на клиентских рабочих местах
................................
................................
...........
8
3.1 Программно
-
аппаратная платформа клиента
................................
................................
........................
8
3.2 Установка дистрибутива
................................
................................
................................
.........................
8
3.3 На
стройка параметров конфигурации для пользователя
................................
................................
.....
9
3.4 Удаление
................................
................................
................................
................................
...................
9
4 Замечания
................................
................................
................................
................................
.....................
9
4.1 Имя получателя сертификата содержит символы, не входящие в кодировку ASCII
........................
9
4.2 Имя клиентского компьютера содержит символы, не входящие в кодировку ASCII
.....................
10
5 До
полнительная информация
................................
................................
................................
..................
11
ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ
................................
................................
................................
.....
12
4
1
Термины и обозначения
SID
–
имя
SAP
системы прописными буквами;
sid
–
имя
SAP
системы строчными буквами;
hostname
–
имя хоста;
DIR
_
LIBRARY
-
значение переменной окружения
DIR
_
LIBRARY
в среде
пользователя
sid
adm
. В
UNIX
-
системах узнать значение этой переменной можно,
выполнив команду в командной консоли
;
echo
$
DIR
_
LIBRARY
В ср
еде ОС
MS
Windows
в консоли для этого следует выполнить команду
echo
%
DIR
_
LIBRARY
%
Если эта переменная не задана, ПК « РусКрипто
-
SSF
» будет работать с
параметрами по умолчанию. Определить подходящее значение этой переменной можно
так: открыв лог
-
файл сервера
C
:
\
usr
\
sap
\
SID
\
DVEBMGS
00
\
work
\
dev
_
w
0
, найти в нем
в самом начале строку вида
Library 'c:
\
usr
\
sap
\
SIS-3I;鴀D
\
...
\
dboraslib.dll' loade
d
Путь
c:
\
usr
\
sap
\
SS-3I;퀀ID
\
...
(вплоть до
dboraslib
.
dll
) и будет нужным значением
переменной
DIR
_
LIBRARY
.
2
Установка и настройка на сервере приложений
2.1
Программно
-
аппаратная платформа сервера
Поддерживаются следующие программно
-
аппаратные платформы:
Microsoft Windows Server (2000, 2003, 2008);
SUN SPARC Solaris
;
IBM AIX
;
Hewlett
-
Packard HP
-
UX.
2.
2
Установка дистрибутива в UNIX
-
системах
Дистрибутив комплекса «РусКрипто
-
SSF Server» поставляется на
компакт
-
диске. Формат дистрибутива зависит от платформы.
Ниже приводится описание процесса установки для ОС
Solaris
.
Для установки дистрибутива необходимо произвести следующие действия:
1.
Войти в систему с правами пользователя
root
2.
Вставить диск с дистрибутивом в привод для чтения компакт
-
дисков
3.
Смонтировать диск
командой:
mount
/
mnt
/
cdrom
4.
О
т имени пользователя
cd $DIR_LIBRARY
tar xf /mnt/cdrom/Solaris/ruscrypto
-
ssf
-
server.tar
5
2.
3
Установка дистрибутива в MS Windows Server
Запустите мастер установки
RusCryptoSsf
-
Server
-
Setup
.
exe
, находящийся на
компакт диске с дистрибутивом «РусКрипто
-
SSF
Server
».
Мастер установки скопирует
на компьютер все файлы, необходимые для работы комплекса (рис. 1).
Рисунок 1
2.
4
Настройка конфигурации
Все параметры конфигурации РусКрипто
-
SSF
хранятся в файле конфигурации
ruscrypto
-
s
sf
-
server
.cfg
в каталоге, имя которого содержит переменная окружения
DIR
_
LIBRARY
в среде пользователя
sid
adm
. В секци
я
х
[
common
]
и
[
c
a
d
e
s
]
файла
конфигурации могут быть заданы следующие параметры:
[common]
write_log = yes
log_dir =
имя
-
существующего
-
каталога
server_mode = yes
crl_protocols = ldap http
cert_check_options = check_chain check_crl
ca_file =
имя
-
файла
use_profile_timestamp = no
server_encoding = ISO
-
8859
-
5
[
c
a
d
e
s
]
6
tsp_server = URL-9UR;L-2;
tsp_server
_
2
0
1
2
= URL-9UR;-5L-;
default_crl_urURL0;l = URL
use_only_
default_crl_url = yes
Все эти параметры являются необязательными.
Эти параметры имеют следующий смысл:
write
_
log
–
логировать (
yes
) или не логировать (
no
) ход работы;
log
_
dir
–
имя каталога, в котором находится файл журнала. Если этот каталог не
существует, логирование вестись не будет. Если этот параметр не задан, то его
значение будет полагаться равным: в серверной версии
–
значению переменной
DIR_LIBRARY
в среде пользовател
я
sidsi-2; -30;adm
, а в клиентской
-
%USERPROFILE%
\
SapWorkDir
;
server
_
mode
–
серверный (
yes
) или клиентский (
no
) режим логирования. В
серверном режиме логирования для каждого процесса, использующего ПК
«
РусКрипто
-
SSF
Server
»
, создается свой лог
-
файл с именем вида
ruscrypto
ssf
server
.
log
_
PID
процесса>
, в клиентском режиме все сообщения
пишутся в файл
ruscrypto
ssf
server
.
log
;
crl
_
protocols
–
этот параметр задает список протоколов доступа к
CDP
(точкам
распространения
CRL
). Имена протоколов разделяются пробелом. В
сертификате
может быть задано несколько
CDP
, и у каждой из них может быть указан свой
протокол. При проверке действительности сертификата сначала происходит
попытка скачать
CRL
по тому протоколу, который указан первым в списке
crl
_
protocols
, потом (в случ
ае, если скачать
CRL
по первому протоколу не удалось)
–
по протоколу, который указан вторым, и т.д.
cert
_
check
_
options
–
опции проверки сертификата создателя подписи. Если этот
параметр не задан, то проверяться будет только подпись сертификата. Если
параме
тр содержит значение
check
_
chain
, проверяться будет вся цепочка
издателей сертификатов от сертификата создателя подписи до корневого
сертификата ЦС. Если этот параметр содержит значение
check
_
crl
, то также будет
проводиться проверка статуса сертификатов (о
тозван какой
-
либо из них или нет).
ca
_
file
–
имя файла, содержащего сертификат ЦС. Этот параметр должен быть
задан только если параметр
cert
_
check
_
options
содержит значение
check
_
chain
или
check
_
crl
.
use
_
profile
_
timestamp
–
если этот параметр имеет значение
yes
, то при создании и
добавлении ЭЦП (функции
SsfSign
()
и
SsfAddSign
()
) следует указать время
подписания документа: первые 14 символов имени профиля (
PROFILE
) должны
содержать время подписания в формате
YYYYMMDDhhmmss
,
где
YYYY
—
год,
MM
—
месяц,
DD
—
день,
hh
—
час,
mm
—
минуты,
ss
—
секунды. Если же этот
параметр не задан, в качестве времени подписания будет использовано текущее
время, установленное на компьютере.
server_encoding
–
символьная кодировка, используемая н
а сервере системы SAP
R/3. Как правило, этот параметр должен иметь значение
ISO
-
8859
-
5
.
tsp_server
—
адрес службы штампов времени
д
л
я
п
о
д
п
и
с
а
н
т
о
в
с
к
л
ю
ч
о
м
п
о
д
п
и
с
и
п
о
с
т
а
н
д
а
р
т
у
Г
О
С
Т
Р
3
4
.
1
0
-
2
0
0
1
.
tsp_server
_
2
0
1
2
—
адрес службы штампов времени
д
л
я
п
о
д
п
и
с
а
н
т
о
в
с
к
л
ю
ч
о
м
п
о
д
п
и
с
и
п
о
с
т
а
н
д
а
р
т
у
Г
О
С
Т
Р
3
4
.
1
0
-
2
0
1
2
.
7
default_crl_url
–
умолчательный адрес точки распространения списков отозванных
сертификатов. Если при проверке сертификата на
отзыв по
CRL
не удалось скачать
CRL
ни по одному из адресов, указанных в сертификате, будет предпринята
попытка скачать
CRL
по адресу, указанному в этом параметре.
use_only_default_crl_url
—
если этот параметр имеет значение
yes
, то при
проверке сертифика
та по
CRL
адреса
CDP
, указанные в сертификате, будут
игнорироваться, а будет использоваться только адрес, указанный в параметре
default
_
crl
_
url
.
Помимо этого, в этом конфигурационном файле в секции [hok] можно указать
параметры интеграции с хранилищем откр
ытых ключей (ХОК):
[hok]
hok_urls=
http://10.160.139.2:8080/hok/api/certificate
,http://10.160.139.3:8080/hok/api/certificate
hok_login = admin
hok_password = admin
Эти параметры имеют следующий
смысл:
hok_urls
–
список URL, по которым будет производиться обращение в ХОК, если
сертификат, необходимый для криптографической операции, не найден в
хранилищах Windows
на локальном компьютере. Элементы списка разделяются
запятыми. Сначала обращение идет по первому элементу списка, и если не удалось
получить сертификат по этому адресу, производится обращение по следующему
элементу, и т.д;
hok_login
и
hok_password
–
имя п
ользователя и пароль, необходимые для доступа
к ХОК.
В этом файле можно вставлять комментарии. Если в какой
-
либо строке содержится
символ ';' (точка с запятой), содержимое строки, начиная с этого символа, игнорируется.
Например, вместо удаления какой
-
либо
строки ее можно закомментировать, вставив
точку с запятой в ее начало.
2.
5
Настройка профиля сервера приложений
Профиль сервера приложений находится в файле:
/usr/sap/
SS-3I;퀀ID
/SYS/profile/
SS-3I;퀀ID
_DVEBMGS00_
hostnameh-3o;stna;m11e;䀀
Добавьте в профиль сервера приложений
следующие строчки:
ssf/ssfapi_lib =
DIR_LIBRARY IR_;LIB-;RA4;RY40;
/libruscrypto
-
ssf
-
server.so
–
в
случае
UNIX
или
ssf/ssfapi_lib = C:
\
Program Files
\
LISSI
-
Crypto
\
RusCrypto
-
SSF
-
Server
\
ruscrypto
-
ssf
-
server.dll
–
в
случае
Windows
ssf/name = RusCrypto
-
SSF
ssf/ssf_md_alg = GOST
-
R
-
34.11
-
1
2
-
2
5
6
ssf/ssf_symencr_alg = GOST
-
28147
-
89
2.
6
Проверка работоспособности
Остановите сервер приложений, для этого выполните следующую команду от
имени пользователя
sid
adm
:
stopsap
R
3
Затем запустите его заново, выполнив команду:
8
startsap
R
3
После того, как сервер приложений будет перезапущен, убедитесь
,
что в файле
/
usr
/
sap
/
SID
/
DVEBMGS
00/
work
/
dev
_
w
0
присутствуют следующие строки:
=================================================
=== SSF INITIALIZATION:
===...SSF Security Toolkit name RusCry
pto
-
SSF.
===...SSF trace level is 0 .
===...SSF library is C:
\
Program Files
\
LISSI
-
Crypto
\
RusCrypto
-
SSF
-
Server
\
ruscrypto
-
ssf
-
server.dll .
===...SSF hash algorithm is GOST
-
34.11
-
1
2
-
2
5
6
.
===...SSF symmetric encryption algorithm is GOST
-
28147
-
89 .
===...
sucessfully
completed
.
=================================================
3
Установка и настройка на клиентских рабочих местах
3
.1
Программно
-
аппаратная платформа клиента
Процесс установки, описанный далее, подразумевает использование в
качестве клиентских рабочих мест компьютеров под управлением OS семейства
Windows.
3
.2
Установка дистрибутива
Запустите мастер установки RusCryptoSsf
-
Client
-
Setup.exe, находящийся
на компакт
-
диске с дистрибутивом РусКрипто
-
SSF. Мастер установки
скопирует на компьютер все файлы, необход
имые для работы комплекса
(рис.
2).
9
Рисунок 2
3
.
3
Н
астройка
параметров конфигурации для пользователя
Настройка параметров РусКрипто
-
SSF производится с помощью файла
конфигурации, также как и для сервера приложений
—
см. Настройка
конфигурации, за двумя исключениями: имя конфигурационного файла
–
WinSSF.cfg, а наход
ится он в каталоге, куда установлен комплекс «RusCrypto
-
SSF».
3
.
4
Удаление
Удаление ПО РусКрипто
-
SSF Client производится стандартным для ОС
Windows способом. В Панели Управления нужно выбрать пункт Установка и
удаление программ, затем в списке программ вы
брать RusCrypto SSF Client 1.0 и
нажать кнопку Удалить.
4
Замечания
4
.
1
Имя получателя сертификата содержит символы, не входящие в кодировку
ASCII
Если в используемых сертификатах в именах получателей (субъектов)
помимо ASCII
-
символов содержатся, например, символы русского алфавита, то
следует произвести дополнительную настройку клиентского ПО SAPGui. В
главном окне SAPGui на вкладке «Системы» следуе
т выделить в списке
текущую систему SAP и нажать кнопку «Изменить
запись...» (рис. 3).
Рисунок 3
10
В открывшемся окне «Свойства для системной записи» следует
активизировать вкладку «Кодовая страница» и в панели «Настройка языка»
отметить
пункт «Unicode off» (рис. 4).
Рисунок 4
4
.
2
Имя клиентского компьютера содержит символы, не входящие в кодировку
ASCII
Если имя клиентского компьютера содержит русские буквы, клиентское
ПО SAPGui
будет работать некорректно. В этом случае необходимо заменить
это имя на имя, содержащее только ASCII
-
символы. Имя компьютера можно
узнать, выполнив команду
hostname
в командном интерпретаторе. Изменить это имя можно так: дважды
«щелкнуть» мышью по
иконке «Система» в окне «Панель управления», в
открывшемся окне «Свойства системы» выбрать вкладку «Имя компьютера», и
на этой вкладке нажать кнопку «Изменить...». В открывшемся окне «Изменение
имени компьютера» следует задать новое имя в поле «Имя компьют
ера:», после
чего нажать кнопку «ОК».
11
5
Дополнительная информация
За дополнительной информацией по использованию и настройке SSF Вы
можете обратиться к документам SAP:
Secure Store & Forward / Digital Signatures User's Guide;
Secure Store & Forward (SSF)
API Specifications
12
ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ
Номера листов (страниц)
Всего
листов
(страниц)
в докум.
№ доку
-
мента
Входящий №
сопроводи
-
тельного
докум. и дата
Под
-
пись
Дата
Изм
Изме
-
ненных
Заме
-
ненных
Новых
Аннули
-
рованных