Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017

Небанковская кредитная организация закрытое акционерное общество «НАЦИОНАЛЬНЫЙ РАСЧЕТНЫЙ ДЕПОЗИТАРИЙ» Инструкция по настройке рабочего места при подключении к WEB сервисам НРД с использованием TLS соединения Москва, 2017 Под термином «подключение к WEB сервисам НРД» имеется в виду подключение клиентов НРД для целей электронного взаимодействия (промышленный контур) или для целей тестирования (тестовый контур) с использованием локального рабочего места Системы электронного документооборота НРД (далее - ЛРМ СЭД НРД) ПО «Луч» в режиме «WEB канала» или ЛРМ СЭД НРД «WEB-кабинет Депозитария/Клиринговой организации», ПО «WEB-кабинет корпоративных действий (WEB-кабинет КД)» к WEB-сервису НРД т.е. программному средству, развернутому на стороне НРД, имеющему  адрес (URL) в сети Интернет через TLS соединение. 1. Для подключения к WEB-сервисам НРД через TLS соединение необходимо получить, установить и настроить средства криптографической защиты (далее - СКЗИ). Подробно процесс получения СКЗИ описан на сайте ОАО Московская Биржа в разделе «Первичное подключение к СЭД». Порядок настройки СКЗИ описан на сайте Московской Биржи в разделах «Квалифицированные сертификаты» и «Неквалифицированные сертификаты». Для работы с WEB-сервисом в тестовом и промышленном контурах НРД требуются следующие версии СКЗИ и их компоненты: 1.1 При использовании сертифицированных СКЗИ, квалифицированных сертификатов ключей проверки электронной подписи (далее – СКПЭП ГОСТ или сертификаты ГОСТ): криптопровайдер "Валидата CSP" версии не ниже v.5.0.327.0. При этом обязательными для установки являются следующие опции: - библиотека совместимости с СКЗИ СКАД Сигнатура; - биологический ДСЧ; - считыватель Съемный диск; - утилита преобразования ключей; - поддержка TLS программный комплекс «АПК клиент ММВБ Справочник сертификатов» v5.0.328.0  для 32bit или 64bit в зависимости от операционной системы (далее – ОС), установленной на компьютере (для 64bit ОС устанавливаются ПК Справочник сертификатов 32bit и 64bit); для корректной работы Справочника сертификатов необходимо загрузить и выполнить Файлы модификации реестра MS Windows для ПК ”Справочник сертификатов” (XCS), за исключением файла xProfileOFF.reg. Версии криптобиблиотеки Валидата-CSP и «АПК клиент ММВБ Справочник сертификатов» можно посмотреть в меню «Панель управления – программы и компоненты» для ОС Microsoft Windows 7 и выше или «Пуск - Все программы - папка Валидата CSP - Программа конфигурации СКЗИ - окно Программа конфигурации Валидата CSP - верхний левый угол экрана (значок «Щит») – О программе..». Вместе с криптобиблиотекой Валидата-CSP при начальной установке СКЗИ должна быть установлена программа монитора TLS. Если она не была установлена необходимо в меню: «Панель управления – программы и компоненты» в строке «Валидата-CSP» (см. скриншот выше), выбрать пункт «изменить» и нажать кнопку «далее». У Вас появится окно «Выбор компонентов», в котором необходимо выбрать пункт «Валидата TLS», найти подпункт «Поддержка протоколов TLS и EAP-TLS» и выбрать вариант «Будет установлен на локальный жесткий диск», после этого нажать кнопку «далее». В тестовом контуре необходимо использовать высылаемый по вашей заявке тестовый криптографический ключ и СКПЭП криптосервера НРД с областью действия «Тестовый электронный документооборот». Тестовый криптоключ получается клиентом только в НРД. Ключ криптосервера НРД (тестовая криптосессия) находится в высылаемом вам файле в папке SPR или его можно скачать с сайта НРД. В промышленном контуре используется собственный криптографический ключ и СКПЭП криптосервера НРД (рабочая криптосессия) с областью действия «Электронный документооборот НКО ЗАО НРД» (владелец сертификата Председатель Правления НРД). Собственный криптографический ключ получается клиентом в ОАО «Московская Биржа» или генерируется самостоятельно. СКПЭП криптосервера НРД добавляется в папку «Сертификаты» «АПК клиент ММВБ Справочник сертификатов» по установленной процедуре. Его можно скачать с сайта НРД. 1.2 При использовании несертифицированных СКЗИ, неквалифицированных сертификатов (RSA): программный комплекс (ПК) «Справочник сертификатов» (RCS) v5.0.323.0; для корректной работы Справочника сертификатов необходимо загрузить и выполнить Файлы модификации реестра MS Windows для ПК ”Справочник сертификатов” (RCS), за исключением файла rProfileOFF.reg. В тестовом контуре необходимо использовать высылаемый по вашей заявке тестовый криптографический ключ и СКПЭП криптосервера НРД (тестовая криптосессия) с областью действия «Тестовый электронный документооборот». Тестовый криптографический ключ получается клиентом только в НРД. В промышленном контуре используется собственный криптографический ключ и СКПЭП криптосервера НРД (рабочая криптосессия) с областью действия «Электронный документооборот НКО ЗАО НРД» (владелец сертификата Astanin Eddi Vladimirovich). Собственный криптографический ключ получается клиентом в ОАО «Московская Биржа» или генерируется самостоятельно. 2. После установки СКЗИ необходимо обеспечить перенос криптографических ключей в системное хранилище WINDOWS для организации защищённого TLS соединения с WEB сервером НРД. Для корректного добавления криптоключа в системное хранилище необходимо, используя меню программы «АПК Клиент ММВБ-справочник сертификатов», зайти в ветку справочника «Персональный справочник сертификатов» и проверить наличие сертификата удостоверяющего центра (INN=007702077840,OGRN=1027739387411,CN=Удостоверящий центр,O=ПАО Московская Биржа,L=Москва,ST=77 г.Москва,C=RU). Если есть сертификаты, помеченные красным кружком с белым крестиком, то их нужно выделить и удалить нажатием кнопки DELETE, Далее выбрать меню «сервис-экспортировать сертификаты в системное хранилище» и согласиться со всеми задаваемыми программой вопросами. Необходимо убедится, что Ваши сертификаты перенесены в системное хранилище сертификатов WINDOWS. Для этого необходимо вызвать в главном меню WINDOWS Пуск- >Панель управления->Свойства обозревателя. На открывшейся форме необходимо выбрать закладку «Содержание» и нажать кнопку “Сертификаты” и на вкладке «личные» найдите наименование своего ключа убедитесь, что он корректен, для этого дважды щелкните по наименованию сертификата и посмотрите на закладке «общие» внизу окна должна быть запись о том, что для данного сертификата есть закрытый ключ. Если Вы не увидите данного поля и вместо него будет надпись, что этот сертификат не удалось проверить (см. скриншот), то это означает, что сертификат ключа добавлен некорректно. Тогда нужно удалить сертификат из системного хранилища и экспортировать его туда заново. Также необходимо убедится в переносе списка отозванных сертификатов в системной консоли WINDOWS. Для вызова консоли наберите mmc в командной строке WINDOWS и добавьте оснастку сертификатов. Наличие списка отозванных сертификатов можно проверить аналогично экрану ниже: 3. Для обеспечения корректной работы ЛРМ СЭД НРД «WEB-кабинет Депозитария/Клиринговой организации», ПО «Луч» в режиме «WEB канала» необходимо выполнить настройки интернет-обозревателя (далее – IE): Сбросьте настройки IE в вариант «по умолчанию»; Очистите куки и кэш память IE; Проверьте отсутствие галочки «прокси-сервер» (в меню:«Свойства обозревателя-Подключения-Настройки сети»); В форме «Надежные узлы» необходимо снять галку «Для всех узлов этой зоны требуется проверка серверов (https:)», если она включена; При подключении к «WEB-сервису» НРД, необходимо добавить URL «WEB-сервиса» в список доверенных узлов (см. таблицу внизу) в зависимости от используемого ПО ЛРМ СЭД НРД (ПО «Луч» или WEB кабинет) с учетом типа криптографии (ГОСТ или RSA). В строке «Добавить в зону следующий узел» автоматически выставится правильный адрес, соответствующий начальной части адреса страницы WEB-сервиса (например: https://cabinet.nsd.ru/repository. На закладке «Безопасность» формы «Свойства обозревателя», куда Вы вернулись, и где выбрана зона «Надежные узлы», нажмите кнопку «Другой…» в области «Уровень безопасности для этой зоны». В открывшейся форме «Параметры безопасности - зона надежных узлов» установить флаг «Включить» для параметра «Использование элементов управления ActiveX, не помеченных как безопасные для использования». (Обратите внимание на название параметра, поскольку в перечне параметров есть похожие названия). Нажмите кнопку «ОК». Подтвердите изменение настроек зоны в ответ на запрос (нажатием кнопки «Да»). Нажмите кнопку «Применить», затем закройте форму «Свойства обозревателя»; На закладке «Дополнительно» убедитесь, что настройки SSL и TLS установлены как в окне ниже; Убедитесь, что отключено блокирование всплывающих окон на вкладке «Конфиденциальность» а так же во вкладке «Безопасность» в разделе «надежные сайты (узлы)» в пункте «разное». 4. Данные для подключения ЛРМ СЭД НРД: ПО Луч (в режиме «WEB канал») или «WEB-кабинет Депозитария/Клиринговой организации» к WEB сервисам НРД через TLS соединение в тестовом или промышленном контурах приведены в таблице (эти данные имеются также в Анкете НРД для ЭДО на сайте НРД как для сертифицированных СКЗИ (ГОСТ), так и несертифицированных СКЗИ (RSA). Приложение Контур Используемые ключи для соединения https Версия ПО Луч (Луч on-line) URL-адрес Промышленный контур WEB-кабинет Депозитария/Клиринговой организации ПРОМ RSA https://edor.nsd.ru/Alameda/ WEB-кабинет Депозитария/Клиринговой организации ПРОМ ГОСТ https://edog.nsd.ru/Alameda/ Web сервис депозитария/ репозитария для ПО «Луч» не ниже версии ПРОМ RSA 15.0 и выше https://edor.nsd.ru/onyxpr/WslService Web сервис депозитария/ репозитария для ПО «Луч» не ниже версии ПРОМ ГОСТ 15.0 и выше https://edog.nsd.ru/onyxpr/WslService WEB кабинет репозитария ПРОМ RSA https://cabinet.nsd.ru/repository https://edor.nsd.ru/lkr/ WEB кабинет репозитария ПРОМ ГОСТ https://cabinet.nsd.ru/repository WEB кабинет корпоративных действий (КД) ПРОМ ГОСТ и RSA https://cabinet.nsd.ru/corpactions WEB-кабинет Системы управления обеспечением (СУО) ПРОМ ГОСТ и RSA https://cabinet.nsd.ru/suo WEB-кабинет Централизованной системы учета инвестиционных паев паевых инвестиционных фондов (ЦСУ ИП ПИФ) ПРОМ ГОСТ и RSA https://cabinet.nsd.ru/pif Web-сервис REST ПРОМ ГОСТ и RSA Ссылки для работы из сети Интернет: RSA https://edor.nsd.ru/WSAlameda ГОСТ  https://edog.nsd.ru/WSAlameda Тестовый контур WEB-кабинет Депозитария/Клиринговой организации ТЕСТ RSA для PL https://rsa.nsd.ru/Alameda/ WEB-кабинет Депозитария/ Клиринговой организации ТЕСТ ГОСТ для PL https://gost.nsd.ru/Alameda/ Web сервис депозитария/ репозитария для ПО «Луч» не ниже версии ТЕСТ RSA для PL 15.0 и выше https://rsa.nsd.ru/onyxpl/WslService Web сервис депозитария/ репозитария для ПО «Луч» не ниже версии ТЕСТ ГОСТ для PL 15.0 и выше https://gost.nsd.ru/onyxpl/WslService WEB-кабинет репозитария ТЕСТ RSA для PL https://rsa.nsd.ru/lkr/ ГОСТ для PL https://gost.nsd.ru/lkr/ Web-сервис REST ТЕСТ RSA и ГОСТ для PL Ссылки для тестирования из промышленного контура ОАО Московская биржа: RSA https://rsa.ndcw.ru/WSAlamedaPL  ГОСТ  https://gost.ndcw.ru/WSAlamedaPL   Web-сервис REST ТЕСТ RSA и ГОСТ для PL Ссылки для тестирования из сети Интернет: RSA https://rsa.nsd.ru/WSAlamedaPL ГОСТ  https://gost.nsd.ru/WSAlamedaPL 5. Для корректной работы ЛРМ СЭД НРД через TLS соединение необходимо: Проверить доступ по Telnet соединению на адрес edog.nsd.ru - для ключей ГОСТ и edor.nsd.ru - для RSA ключей. При проверке указать порт 443 (например: telnet edog.nsd.ru 443), если соединение прошло успешно, то вы должны увидеть черный экран; Далее необходимо проверить доступ к WEB сервису НРД при использовании ЛРМ СЭД НРД «WEB-кабинет Депозитария/Клиринговой организации» (СПО «Аламеда») по следующим ссылкам https://edog.nsd.ru/Alameda/ - для ключей ГОСТ и https://edor.nsd.ru/Alameda/ - для RSA ключей или используя другие ссылки, приведенные в таблице в зависимости от типа WEB-сервиса. Если все настройки выполнены правильно, то вы увидите нижеприведенную страницу. Аналогичные проверки необходимо выполнить для проверки доступа к странице WEB сервиса при использовании ЛРМ СЭД НРД – ПО «Луч», используя ссылки https://edog.nsd.ru/onyxpr - для ключей ГОСТ или https://edor.nsd.ru/onyxpr - для RSA ключей. Если все настройки выполнены правильно, то вы увидите нижеприведенную страницу В меню ПО «Луч» «Администрирование - Параметры - закладка Ввод-вывод» поставить опцию (точка) в чек-бокс «WEB канал» и в строке «Адрес (Url)» прописать ссылку соответствующую контуру, в котором будет использоваться ПО НРД (промышленный или тестовый) и типу криптографии используемой для работы с НРД (ГОСТ или RSA) из вышеуказанной таблицы (например, для сертифицированных СКЗИ (ГОСТ) в промышленном контуре см. скриншот ниже); 6. Если в результате действий описанных в Инструкции вы не добились выполнения процедур образования TLS соединения, необходимо выполнить дополнительные процедуры описанные ниже: Одной из проблем является высокий приоритет в параметрах управления учетными записями пользователей «движок» должен находиться в положении «Никогда не уведомлять», если это не так, то переведите его в это положение. Сбросьте настройки ДСЧ через окно криптопровайдера (см. ниже) и войдите, например, на сайт https://mail.yandex.ru. Появление окна инициализации ДСЧ говорит о том, что компоненты TLS установлены; если отображается страница https://mail.yandex.ru, то rsa криптография работает правильно; Включите TLS Монитор: меню «Пуск->Все программы >«Валидата CSP» >Программа монитора TLS, - появляется в трее логотип «руки» с крестиком, дважды кликаем мышкой – руки без крестика. Если в результате включения монитора TLS у вас образовался TLS канал то можно пользоваться данным способом, и каждый раз запускать мониторинг TLS вручную, но данный метод не является корректным и его необходимо исправить, скорее всего, клиентское ПО использует протокол SSL 2.0, либо при установке СКЗИ возникла ошибка при регистрации библиотеки vdcng.dll (для ОС Windows Vista и более новых). Возможно, проблема решится принудительной перерегистрацией библиотеки: отменяем регистрацию: Regsvr32 /u c:\windows\system32\vdcng.dll  - должно все пройти без ошибок при этом из реестра удаляются данные, связанные с криптопровайдером и используемыми шифрами (см. ветку Cryptography); перегружаем ПК; регистрируем: Regsvr32 c:\windows\system32\vdcng.dll – должно все пройти без ошибок. при этом реестр добавляются данные, связанные с криптопровайдером и используемыми шифрами (см. ветку Cryptography); перегружаем ПК (!!!). Обратите внимание, что «по умолчанию» не должно быть «галок» в чек боксах «Использовать  TLS 1.1,  TLS 1.2» нижеуказанного окна 7. Если после всех манипуляций у вас все равно не работает WEB доступ тогда необходимо включить протоколирование операций через реестр SYSTEM\CurrentControlSet\Control\Session Manager\Debug Print Filter VD_LOGMASK_CSP, VD_LOGMASK_SSP, VD_LOGMASK_CNG, VD_LOGMASK_HOOKS все  значения выставить в  496 десятичное; перезагрузка ПК (!!!); почистите все системные протоколы (Приложения и Система); попытайтесь подключиться ТОЛЬКО через IE к https://gost.nsd.ru - для тестового контура или https://edog.nsd.ru - для рабочего контура пару раз и пришлите системные протоколы (Приложения и Система). Проделайте тоже самое, включив TLS Монитор, как указано выше. После выполнения выше описанных процедур пришлите логи журналов Windows Приложения и Система, а также скриншоты, подтверждающие выполнение процедур настройки, на адрес [email protected]. По всем возникшим вопросам необходимо обращаться к первой линии технической поддержки (адрес электронной почты [email protected] , телефон 8(495)956 09-34).

Похожие:

	Инструкция по взаимодействию с нрд через Web-сервис в рамках обмена... Инструкция) является техническим документом Небанковской кредитной организации акционерного общества «Национальный расчетный депозитарий»...		Инструкция по подключению к web сервисам нрд репозитария Шаг 1
	Технические рекомендации по использованию Web-сервиса нрд Настоящие рекомендации являются техническим документом Небанковской кредитной организации закрытого акционерного общества «Национальный...		Инструкция по настройке рабочего места Листов Настоящий документ представляет собой Инструкцию по настройке рабочего места пользователя Единой информационной системы в сфере закупок...
	По «Луч» Версия по 1 Москва, 2013 Настоящее Руководство пользователя лрм сэд нрд (по «Луч») описывает возможности клиентского рабочего места Системы электронного документооборота...		Инструкция по настройке рабочего места предприятия для работы с ccо Для функционирования системы web-сбора в режиме on-line необходимо подключение к Интернет и должно быть установлено следующее программное...
	Инструкция по настройке рабочего места фис «фрдо» для отдела (управления) образования Перед началом работы в фис «фрдо» Вам необходимо произвести настройку рабочего места		Руководство по эксплуатации рабочего места пользователя Црт и разработана с использованием web – технологий. На рис. 1 представлена схема реализации режима онлайн
	Инструкция по настройке автоматизированного рабочего места для работы... Инструкция по настройке автоматизированного рабочего места для работы с электронной подписью		Инструкции по настройке защищенного соединения с помощью установки Клиента Континент tls Съемный usb-носитель с сертификатом и закрытым ключем эп пользователя (Это может быть usb флеш-накопитель или токен)
	Закупки, извещение об осуществлении которых планируется разместить в 2017, 2018, 2019 годах; 2 Перейдите на рабочее место «Закупки по 44-фз» (см. Рисунок 1). Путем выбора рабочего места слева, или выбора рабочего места из выпадающего...		Пошаговая инструкция по настройке рабочего места пользователя еис Проверка доступности еис при использовании различных вариантов подключения к защищенной сети
	Инструкция по установке корневых сертификатов при подключении к подсистеме исполнения бюджета Инструкция предназначена для пользователей автоматизированного рабочего места (далее арм) пбс-веб (веб-клиент пбс) подсистемы исполнения...		Инструкция по настройке и работе с Web-Сервис «Холтеровское мониторирование» (холмс) Сервис «Холтеровское мониторирование» (далее сервис холмс) предоставляет возможность создать заявку для получения дистанционной расшифровки...
	По «Луч» Версия по 0 Москва, 2013 Настоящее Руководство пользователя лрм сэд нрд (по «Луч») описывает возможности клиентского рабочего места Системы электронного документооборота...		Инструкция по настройке рабочего места и работе с программой “Формы... Инструкция по настройке рабочего места и работе с программой “Формы статотчетности (предприятие)” по заполнению отчетов организациями...