ssf/ssf_symencr_alg GOST-28147-89. 3.1 Программно-аппаратная платформа клиента Процесс установки, описанный далее, подразумевает использование в. 3.2 Установка дистрибутива Запустите мастер установки RusCryptoSsf-Client-Setup.exe, находящийся.

Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.

УТВЕРЖДЕН

RU.ЛСАФ.00020
-
01 9
5

01
-

ЛУ







СРЕДСТВО ЗАЩИТЫ ЭЛЕКТРОННЫХ ДОКУМЕНТОВ

«
РусКрипто
SSF
»

Руководство по установке

RU.ЛСАФ.00020
-
01 9
5

01



Листов
11



2



Аннотация

Настоящий документ содержит инструкцию по установке и настройке программного
комплекса (далее комплекс) РусКрипто
-
SSF на серверах и клиентских рабочих местах в
системе SAP R/3.

Комплекс РусКрипто
-
SSF предназначен для криптографической защиты
информации при

работе в среде прикладной системы SAP R/3.

3



Содержание


Аннотация

................................
................................
................................
................................
.......................

2

1 Термины и обозначения

................................
................................
................................
.............................

4

2

Установка и настройка на сервере приложений

................................
................................
......................

4

2.1 Программно
-
аппаратная платформа сервера

................................
................................
........................

4

2.2 Установка дистрибутива в UNIX
-
системах

................................
................................
...........................

4

2.3 Установка дистрибутива в MS Windows Server

................................
................................
....................

5

2.4 Настройка конфигурации

................................
................................
................................
........................

5

2.5 Настройка профиля сервера приложений

................................
................................
..............................

7

2.6 Проверка работоспособности

................................
................................
................................
.................

7

3 Установка и настройка на клиентских рабочих местах
................................
................................
...........

8

3.1 Программно
-
аппаратная платформа клиента

................................
................................
........................

8

3.2 Установка дистрибутива

................................
................................
................................
.........................

8

3.3 На
стройка параметров конфигурации для пользователя

................................
................................
.....

9

3.4 Удаление

................................
................................
................................
................................
...................

9

4 Замечания

................................
................................
................................
................................
.....................

9

4.1 Имя получателя сертификата содержит символы, не входящие в кодировку ASCII

........................

9

4.2 Имя клиентского компьютера содержит символы, не входящие в кодировку ASCII

.....................

10

5 До
полнительная информация

................................
................................
................................
..................

11

ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ

................................
................................
................................
.....

12



4



1
Термины и обозначения


SID
�
–

имя
SAP

системы прописными буквами;


sid
�
–

имя
SAP

системы строчными буквами;


hostname
�
–

имя хоста;


DIR
_
LIBRARY
�
-

значение переменной окружения
DIR
_
LIBRARY

в среде
пользователя

sid
�
adm
. В
UNIX
-
системах узнать значение этой переменной можно,
выполнив команду в командной консоли
;

echo

$
DIR
_
LIBRARY

В ср
еде ОС
MS

Windows

в консоли для этого следует выполнить команду

echo

%
DIR
_
LIBRARY
%

Если эта переменная не задана, ПК « РусКрипто
-
SSF
» будет работать с
параметрами по умолчанию. Определить подходящее значение этой переменной можно
так: открыв лог
-
файл сервера
C
:
\
usr
\
sap
\

SID
�
\
DVEBMGS
00
\
work
\
dev
_
w
0
, найти в нем
в самом начале строку вида

Library 'c:
\
usr
\
sap
\
SI&#xS-3I;鴀D
\
...
\
dboraslib.dll' loade
d

Путь

c:
\
usr
\
sap
\
S&#xS-3I;퀀ID
\
...

(вплоть до
dboraslib
.
dll
) и будет нужным значением
переменной
DIR
_
LIBRARY
.


2

Установка и настройка на сервере приложений

2.1
Программно
-
аппаратная платформа сервера


Поддерживаются следующие программно
-
аппаратные платформы:



Microsoft Windows Server (2000, 2003, 2008);



SUN SPARC Solaris
;



IBM AIX
;



Hewlett
-
Packard HP
-
UX.

2.
2

Установка дистрибутива в UNIX
-
системах

Дистрибутив комплекса «РусКрипто
-
SSF Server» поставляется на
компакт
-
диске. Формат дистрибутива зависит от платформы.

Ниже приводится описание процесса установки для ОС
Solaris
.

Для установки дистрибутива необходимо произвести следующие действия:

1.

Войти в систему с правами пользователя
root

2.

Вставить диск с дистрибутивом в привод для чтения компакт
-
дисков

3.

Смонтировать диск

командой:

mount
/
mnt
/
cdrom

4.

О
т имени пользователя adm выполнить команды:

cd $DIR_LIBRARY

tar xf /mnt/cdrom/Solaris/ruscrypto
-
ssf
-
server.tar


5




2.
3

Установка дистрибутива в MS Windows Server

Запустите мастер установки
RusCryptoSsf
-
Server
-
Setup
.
exe
, находящийся на
компакт диске с дистрибутивом «РусКрипто
-
SSF

Server
».

Мастер установки скопирует
на компьютер все файлы, необходимые для работы комплекса (рис. 1).



Рисунок 1

2.
4

Настройка конфигурации

Все параметры конфигурации РусКрипто
-
SSF

хранятся в файле конфигурации
ruscrypto
-
s
sf
-
server
.cfg

в каталоге, имя которого содержит переменная окружения
DIR
_
LIBRARY

в среде пользователя

sid
�
adm
. В секци
я
х

[
common
]

и

[
c
a
d
e
s
]

файла
конфигурации могут быть заданы следующие параметры:

[common]

write_log = yes

log_dir =
имя
-
существующего
-
каталога
�

server_mode = yes

crl_protocols = ldap http

cert_check_options = check_chain check_crl

ca_file =
имя
-
файла
�

use_profile_timestamp = no

server_encoding = ISO
-
8859
-
5

[
c
a
d
e
s
]

6



tsp_server = URL&#x-9UR;L-2;

tsp_server
_
2
0
1
2

= URL&#x-9UR;&#x-5L-; 

default_crl_ur&#xURL0;l = URL

use_only_
default_crl_url = yes

Все эти параметры являются необязательными.

Эти параметры имеют следующий смысл:



write
_
log

–

логировать (
yes
) или не логировать (
no
) ход работы;



log
_
dir

–

имя каталога, в котором находится файл журнала. Если этот каталог не
существует, логирование вестись не будет. Если этот параметр не задан, то его
значение будет полагаться равным: в серверной версии
–

значению переменной
DIR_LIBRARY
в среде пользовател
я
sid&#xsi-2; -30;adm
, а в клиентской
-

%USERPROFILE%
\
SapWorkDir
;



server
_
mode

–

серверный (
yes
) или клиентский (
no
) режим логирования. В
серверном режиме логирования для каждого процесса, использующего ПК
«
РусКрипто
-
SSF

Server
»
, создается свой лог
-
файл с именем вида
ruscrypto

ssf

server
.
log
_
PID

процесса>
, в клиентском режиме все сообщения
пишутся в файл
ruscrypto

ssf

server

.
log
;



crl
_
protocols

–

этот параметр задает список протоколов доступа к
CDP

(точкам
распространения
CRL
). Имена протоколов разделяются пробелом. В

сертификате
может быть задано несколько
CDP
, и у каждой из них может быть указан свой
протокол. При проверке действительности сертификата сначала происходит
попытка скачать
CRL

по тому протоколу, который указан первым в списке
crl
_
protocols
, потом (в случ
ае, если скачать
CRL

по первому протоколу не удалось)
–

по протоколу, который указан вторым, и т.д.



cert
_
check
_
options

–

опции проверки сертификата создателя подписи. Если этот
параметр не задан, то проверяться будет только подпись сертификата. Если
параме
тр содержит значение
check
_
chain
, проверяться будет вся цепочка
издателей сертификатов от сертификата создателя подписи до корневого
сертификата ЦС. Если этот параметр содержит значение
check
_
crl
, то также будет
проводиться проверка статуса сертификатов (о
тозван какой
-
либо из них или нет).



ca
_
file

–

имя файла, содержащего сертификат ЦС. Этот параметр должен быть
задан только если параметр
cert
_
check
_
options

содержит значение
check
_
chain

или
check
_
crl
.



use
_
profile
_
timestamp

–

если этот параметр имеет значение
yes
, то при создании и
добавлении ЭЦП (функции
SsfSign
()

и
SsfAddSign
()
) следует указать время
подписания документа: первые 14 символов имени профиля (
PROFILE
) должны
содержать время подписания в формате
YYYYMMDDhhmmss
,

где
YYYY

—

год,
MM

—

месяц,
DD

—

день,
hh

—

час,
mm

—

минуты,
ss

—

секунды. Если же этот
параметр не задан, в качестве времени подписания будет использовано текущее
время, установленное на компьютере.



server_encoding

–

символьная кодировка, используемая н
а сервере системы SAP
R/3. Как правило, этот параметр должен иметь значение
ISO
-
8859
-
5
.



tsp_server

—

адрес службы штампов времени

д
л
я

п
о
д
п
и
с
а
н
т
о
в

с

к
л
ю
ч
о
м

п
о
д
п
и
с
и

п
о

с
т
а
н
д
а
р
т
у

Г
О
С
Т

Р

3
4
.
1
0
-
2
0
0
1
.



tsp_server
_
2
0
1
2

—

адрес службы штампов времени

д
л
я

п
о
д
п
и
с
а
н
т
о
в

с

к
л
ю
ч
о
м

п
о
д
п
и
с
и

п
о

с
т
а
н
д
а
р
т
у

Г
О
С
Т

Р

3
4
.
1
0
-
2
0
1
2
.

7





default_crl_url

–

умолчательный адрес точки распространения списков отозванных
сертификатов. Если при проверке сертификата на

отзыв по
CRL

не удалось скачать
CRL

ни по одному из адресов, указанных в сертификате, будет предпринята
попытка скачать
CRL

по адресу, указанному в этом параметре.



use_only_default_crl_url

—

если этот параметр имеет значение
yes
, то при
проверке сертифика
та по
CRL

адреса
CDP
, указанные в сертификате, будут
игнорироваться, а будет использоваться только адрес, указанный в параметре
default
_
crl
_
url
.

Помимо этого, в этом конфигурационном файле в секции [hok] можно указать
параметры интеграции с хранилищем откр
ытых ключей (ХОК):

[hok]

hok_urls=
http://10.160.139.2:8080/hok/api/certificate
,http://10.160.139.3:8080/hok/api/certificate

hok_login = admin

hok_password = admin


Эти параметры имеют следующий
смысл:



hok_urls

–

список URL, по которым будет производиться обращение в ХОК, если
сертификат, необходимый для криптографической операции, не найден в
хранилищах Windows

на локальном компьютере. Элементы списка разделяются
запятыми. Сначала обращение идет по первому элементу списка, и если не удалось
получить сертификат по этому адресу, производится обращение по следующему
элементу, и т.д;



hok_login

и
hok_password

–

имя п
ользователя и пароль, необходимые для доступа
к ХОК.

В этом файле можно вставлять комментарии. Если в какой
-
либо строке содержится
символ ';' (точка с запятой), содержимое строки, начиная с этого символа, игнорируется.
Например, вместо удаления какой
-
либо

строки ее можно закомментировать, вставив
точку с запятой в ее начало.

2.
5

Настройка профиля сервера приложений

Профиль сервера приложений находится в файле:

/usr/sap/
S&#xS-3I;퀀ID
/SYS/profile/
S&#xS-3I;퀀ID
_DVEBMGS00_
hostname&#xh-3o;&#xstna;&#xm11e;䀀

Добавьте в профиль сервера приложений
следующие строчки:

ssf/ssfapi_lib =
DIR_LIBRARY IR_;&#xLIB-;RA4;&#xRY40;
/libruscrypto
-
ssf
-
server.so
–

в

случае

UNIX

или

ssf/ssfapi_lib = C:
\
Program Files
\
LISSI
-
Crypto
\
RusCrypto
-
SSF
-
Server
\
ruscrypto
-
ssf
-
server.dll
–

в

случае

Windows

ssf/name = RusCrypto
-
SSF

ssf/ssf_md_alg = GOST
-
R
-
34.11
-
1
2
-
2
5
6

ssf/ssf_symencr_alg = GOST
-
28147
-
89

2.
6

Проверка работоспособности

Остановите сервер приложений, для этого выполните следующую команду от
имени пользователя

sid
�
adm
:

stopsap

R
3

Затем запустите его заново, выполнив команду:

8



startsap

R
3

После того, как сервер приложений будет перезапущен, убедитесь
,

что в файле

/
usr
/
sap
/
SID
�/
DVEBMGS
00/
work
/
dev
_
w
0

присутствуют следующие строки:

=================================================

=== SSF INITIALIZATION:

===...SSF Security Toolkit name RusCry
pto
-
SSF.

===...SSF trace level is 0 .

===...SSF library is C:
\
Program Files
\
LISSI
-
Crypto
\
RusCrypto
-
SSF
-
Server
\
ruscrypto
-
ssf
-
server.dll .

===...SSF hash algorithm is GOST
-
34.11
-
1
2
-
2
5
6

.

===...SSF symmetric encryption algorithm is GOST
-
28147
-
89 .

===...
sucessfully

completed
.

=================================================

3

Установка и настройка на клиентских рабочих местах

3
.1
Программно
-
аппаратная платформа клиента

Процесс установки, описанный далее, подразумевает использование в
качестве клиентских рабочих мест компьютеров под управлением OS семейства
Windows.


3
.2
Установка дистрибутива


Запустите мастер установки RusCryptoSsf
-
Client
-
Setup.exe, находящийся
на компакт
-
диске с дистрибутивом РусКрипто
-
SSF. Мастер установки
скопирует на компьютер все файлы, необход
имые для работы комплекса
(рис.

2).













9



Рисунок 2


3
.
3

Н
астройка
параметров конфигурации для пользователя

Настройка параметров РусКрипто
-
SSF производится с помощью файла
конфигурации, также как и для сервера приложений
—

см. Настройка
конфигурации, за двумя исключениями: имя конфигурационного файла
–

WinSSF.cfg, а наход
ится он в каталоге, куда установлен комплекс «RusCrypto
-
SSF».


3
.
4

Удаление

Удаление ПО РусКрипто
-
SSF Client производится стандартным для ОС
Windows способом. В Панели Управления нужно выбрать пункт Установка и
удаление программ, затем в списке программ вы
брать RusCrypto SSF Client 1.0 и
нажать кнопку Удалить.


4

Замечания

4
.
1

Имя получателя сертификата содержит символы, не входящие в кодировку
ASCII

Если в используемых сертификатах в именах получателей (субъектов)
помимо ASCII
-
символов содержатся, например, символы русского алфавита, то
следует произвести дополнительную настройку клиентского ПО SAPGui. В
главном окне SAPGui на вкладке «Системы» следуе
т выделить в списке
текущую систему SAP и нажать кнопку «Изменить

запись...» (рис. 3).

















Рисунок 3

10




В открывшемся окне «Свойства для системной записи» следует
активизировать вкладку «Кодовая страница» и в панели «Настройка языка»
отметить
пункт «Unicode off» (рис. 4).























Рисунок 4

4
.
2

Имя клиентского компьютера содержит символы, не входящие в кодировку
ASCII

Если имя клиентского компьютера содержит русские буквы, клиентское
ПО SAPGui

будет работать некорректно. В этом случае необходимо заменить
это имя на имя, содержащее только ASCII
-
символы. Имя компьютера можно
узнать, выполнив команду

hostname

в командном интерпретаторе. Изменить это имя можно так: дважды
«щелкнуть» мышью по
иконке «Система» в окне «Панель управления», в
открывшемся окне «Свойства системы» выбрать вкладку «Имя компьютера», и
на этой вкладке нажать кнопку «Изменить...». В открывшемся окне «Изменение
имени компьютера» следует задать новое имя в поле «Имя компьют
ера:», после
чего нажать кнопку «ОК».


11



5

Дополнительная информация

За дополнительной информацией по использованию и настройке SSF Вы
можете обратиться к документам SAP:



Secure Store & Forward / Digital Signatures User's Guide;



Secure Store & Forward (SSF)
API Specifications



12



ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ

Номера листов (страниц)

Всего
листов
(страниц)
в докум.

№ доку
-
мента

Входящий №
сопроводи
-
тельного
докум. и дата

Под
-
пись

Дата

Изм

Изме
-

ненных

Заме
-
ненных

Новых

Аннули
-
рованных