Небанковская кредитная организация
закрытое акционерное общество
«НАЦИОНАЛЬНЫЙ РАСЧЕТНЫЙ ДЕПОЗИТАРИЙ»
Инструкция
по подключению к WEB сервисам НРД с
использованием TLS соединения
Москва, 2013
Под термином «подключение к WEB сервисам НРД» имеется в виду подключение к ним локального рабочего места Системы электронного документооборота НРД (далее - ЛРМ СЭД НРД) ПО Луч в режиме «WEB канала» с использованием технологии TLS или с использованием системы «Корвет-ММВБ» как для электронного взаимодействия (промышленный контур), так и для целей тестирования (тестовый контур) или подключение к ЛРМ СЭД НРД «WEB доступ» в тех же контурах.
1. Для подключения к каналу WEB-сервиса НРД через TLS необходимо установить и настроить средства криптографической защиты (далее - СКЗИ). Подробно процесс получения СКЗИ описан на сайте ОАО «Московская Биржа» в разделе: http://ca.micex.ru/sed/viewCatalog.do?menuKey=62, порядок настройки СКЗИ описан на сайте Московской Биржи в разделах Текущая версия (квалифицированные сертификаты) и Текущая версия (неквалифицированные сертификаты). Для работы с WEB-сервисом в тестовом и промышленном контурах НРД требуются следующие СКЗИ:
1.1 При использовании сертифицированных СКЗИ, квалифицированных сертификатов ключей проверки электронной подписи (далее – СКПЭП ГОСТ или сертификаты ГОСТ):
-
криптопровайдер Валидата CSP при этом обязательными для установки являются следующие опции:
- библиотека совместимости с СКЗИ СКАД Сигнатура;
- биологический ДСЧ;
- считыватель Съемный диск;
- утилита преобразования ключей.
- поддержка TLS;
-
программный комплекс «АПК клиент ММВБ Справочник сертификатов» v4.0-268-01 для 32bit или 64bit в зависимости от ОС, установленной на компьютере (для 64bit ОС устанавливаются Справочники сертификатов 32bit и 64bit);
-
для корректной работы Справочника сертификатов необходимо загрузить и выполнить Файлы модификации реестра MS Windows для ПК ”Справочник сертификатов” (XCS), за исключением файла xProfileOFF.reg;
В случае использования тестового контура:
-
тестовый криптографический ключ и СКПЭП криптосервера НРД с областью действия «Тестовый электронный документооборот», используемые при обеспечении депозитарной/клиринговой/репозитарной деятельности. Получается клиентом только в НРД;
В случае использования промышленного контура:
-
криптографический ключ и СКПЭП криптосервера НРД с областью действия «Электронный документооборот НКО ЗАО НРД» (владелец сертификата Председатель Правления НРД Астанин Э.В.), используемые при обеспечении депозитарной/клиринговой/репозитарной деятельности для промышленного контура. Собственный криптографический ключ получается клиентом в ОАО «Московская Биржа» или генерируется самостоятельно. СКПЭП криптосервера НРД добавляется в папку «Сертификаты» «АПК клиент ММВБ Справочник сертификатов» по установленной процедуре.
1.2 При использовании несертифицированных СКЗИ, неквалифицированных сертификатов (RSA):
-
программный комплекс (ПК) «Справочник сертификатов» (RCS) v4.0-267-12
-
для корректной работы Справочника сертификатов необходимо загрузить и выполнить Файлы модификации реестра MS Windows для ПК ”Справочник сертификатов” (RCS), за исключением файла rProfileOFF.reg;
В случае использования тестового контура:
-
тестовый криптографический ключ и СКПЭП криптосервера НРД с областью действия «Тестовый электронный документооборот», используемые при обеспечении депозитарной/клиринговой/репозитарной деятельности, получается клиентом только в НРД;
В случае использования промышленного контура:
-
криптографический ключ и СКПЭП криптосервера НРД с областью действия «Электронный документооборот НКО ЗАО НРД» (владелец сертификата НКО ЗАО НРД), используемые при обеспечении депозитарной/клиринговой/репозитарной деятельности, получается клиентом в ОАО «Московская Биржа» или генерируется самостоятельно.
2. После установки СКЗИ необходимо обеспечить перенос криптографических ключей в системное хранилище WINDOWS для организации защищённого TLS соединения с WEB сервером НРД. Для этого необходимо запустить ПК “Справочник сертификатов”, и воспользоваться пунктом меню “Сервис- >Экспортировать сертификаты в системное хранилище ”.
Необходимо убедится, что Ваши сертификаты перенесены в системное хранилище сертификатов WINDOWS. Для этого необходимо вызвать в главном меню WINDOWS Пуск- >Панель управления->Свойства обозревателя.
На открывшейся форме необходимо выбрать закладку «Содержание» и нажать кнопку “Сертификаты”.
В открывшемся окне проверьте перенос сертификатов в системное хранилище WINDOWS. Сертификаты должны быть перенесены в закладку “Личные” системного хранилища
Кроме того, в закладке “Доверенные центры сертификации” должен появиться сертификат центра сертификации тестового удостоверяющего центра Московская Биржи для тестового контура или удостоверяющего центра Московская Биржи для промышленного контура.
Также необходимо убедится в переносе списка отозванных сертификатов в системной консоли WINDOWS. Для вызова консоли наберите mmc в командной строке WINDOWS и добавьте оснастку сертификатов. Наличие списка отозванных сертификатов можно проверить аналогично экрану ниже:
Во избежание проблем при взаимодействии через ЛРМ СЭД НРД «WEB-доступ» необходимо выполнить настройки интернет-обозревателя.
-
Внести узел в список надежных;
-
Включить параметр «Использование элементов управления ActiveX, не помеченных как безопасные для использования» в параметрах безопасности зоны надежных узлов.
-
В браузере должны быть разрешены cookies, в противном случае пользовательские настройки таблиц не будут сохранены.
Указанные настройки в интернет-обозревателе Microsoft Internet Explorer (далее - IE) версии 7.0 выполняются следующим образом:
-
Найдите необходимую ссылку в таблице приведенной ниже в зависимости от типа криптографии (ГОСТ или RSA) и контуров, в которых вы будете работать (промышленный – ПРОМ или тестовый – ТЕСТ)
Выберите в меню интернет-обозревателя пункт «Сервис» → «Свойства обозревателя» (Рис. 1).
Рис. 1. Меню Интернет-обозревателя
На закладке «Безопасность» формы «Свойства обозревателя» выберите «Надежные узлы» и нажмите кнопку «Узлы» (Рис.2)
Рис. 2. Закладка «Безопасность» формы «Свойства обозревателя»
-
В форме «Надежные узлы» (Рис. 3.) необходимо снять галку «Для всех узлов этой зоны требуется проверка серверов (https:)», если она включена.
Рис. 3. Форма «Надежные узлы»
В строке «Добавить в зону следующий узел» автоматически выставится правильный адрес, соответствующий начальной части адреса страницы WEB-доступа. Нажмите кнопку «Добавить», затем кнопку «Закрыть».
-
На закладке «Безопасность» формы «Свойства обозревателя», куда Вы вернулись, и где выбрана зона «Надежные узлы», нажмите кнопку «Другой…» в области «Уровень безопасности для этой зоны». В открывшейся форме «Параметры безопасности - зона надежных узлов» (Рис. 4) установить флаг «Включить» для параметра «Использование элементов управления ActiveX, не помеченных как безопасные для использования». (Обратите внимание на название параметра, поскольку в перечне параметров есть похожие названия).
Рис. 4. Форма «Параметры безопасности - зона надежных узлов»
Нажмите кнопку «ОК». Подтвердите изменение настроек зоны в ответ на запрос (нажатием кнопки «Да»). Нажмите кнопку «Применить», затем закройте форму «Свойства обозревателя».
-
Выбрать закладку «Дополнительно» и убедиться, что настройки SSL и TLS установлены как в окне ниже.
Рис. 5. Закладка «Дополнительно» формы «Свойства обозревателя»
Внимание! Проверьте включение опции «Поддержка TLS». Как правило в ОС Win 7 эта опция запускается автоматически, для ОС XP возможна необходимость запуска данной опции из меню: «Пуск-Все программы-папка Валидата CSP- Программа монитора TLS».
При подключении к «WEB-доступу» НРД с использованием IE через TLS, необходимо добавить URL «WEB-доступа» в список доверенных узлов на вкладке «Безопасность» и убедиться, что отключено блокирование всплывающих окон на вкладке «Конфиденциальность».
-
Выполнить процедуры настройки ПО Луч (в режиме Луч on-line) для работы через TLS соединение в тестовом или промышленном контурах используя следующие данные таблицы (эти данные приведены также в Анкете НРД для ЭДО на сайте НРД как для сертифицированных СКЗИ (ГОСТ), так и несертифицированных СКЗИ (RSA).
Приложение
|
Контур
|
Используемые ключи для соединения https
|
Версия ПО Луч
(Луч on-line)
|
URL-адрес
|
|
|
Промышленный контур
|
|
|
WEB доступ (ПО Аламеда)
|
ПРОМ
|
RSA
|
|
https://edor.nsd.ru/Alameda/
|
WEB доступ (ПО Аламеда)
|
ПРОМ
|
ГОСТ
|
|
https://edog.nsd.ru/Alameda/
|
Новый Web сервис депозитария (репозитария)
|
ПРОМ
|
RSA
|
10.0
|
https://edor.nsd.ru/onyxpr/WslService
|
Новый Web сервис депозитария (репозитария)
|
ПРОМ
|
ГОСТ
|
10.0
|
https://edog.nsd.ru/onyxpr/WslService
|
WEB кабинет репозитария
|
ПРОМ
|
RSA
|
|
https://edor.nsd.ru/lkr/
|
WEB кабинет репозитария
|
ПРОМ
|
ГОСТ
|
|
https://edog.nsd.ru/lkr/
|
Web сервис (старый) - только через Корвет
|
ПРОМ
|
ГОСТ
|
9.3
|
http://ray-online.ndc.ru:8080/WsLouch/WslService
|
Web сервис (старый) - через TLS
|
ПРОМ
|
RSA
|
9.3
|
https://edor.nsd.ru/WsLouch/WslService
|
Web сервис (старый) - через TLS
|
ПРОМ
|
ГОСТ
|
9.3
|
https://edog.nsd.ru/WsLouch/WslService
|
|
|
Тестовый контур
|
|
|
WEB доступ (ПО Аламеда)
|
ТЕСТ
|
RSA для PL
|
|
https://rsa.nsd.ru/Alameda/
|
WEB доступ (ПО Аламеда)
|
ТЕСТ
|
ГОСТ для PL
|
|
https://gost.nsd.ru/Alameda/
|
Новый Web сервис депозитария (репозитария)
|
ТЕСТ
|
RSA для PL
|
10.0
|
https://rsa.nsd.ru/onyxpl/WslService
|
Новый Web сервис депозитария (репозитария)
|
ТЕСТ
|
ГОСТ для PL
|
10.0
|
https://gost.nsd.ru/onyxpl/WslService
|
WEB-кабинет репозитария
|
ТЕСТ
|
RSA для PL
|
|
https://rsa.nsd.ru/lkr/
|
WEB-кабинет репозитария
|
ТЕСТ
|
ГОСТ для PL
|
|
https://gost.nsd.ru/lkr/
|
Для работы ЛРС СЭД НРД ПО Луч в режиме «on-line» через TLS соединение необходимо, используя меню «Администрирование - Параметры - закладка Ввод-вывод» поставить опцию (точка) в чек-бокс «WEB канал» и в строке «Адрес (Url)» прописать ссылку соответствующую типу криптографии используемой для работы с НРД (ГОСТ или RSA) из вышеуказанной таблицы (например, для сертифицированных СКЗИ (ГОСТ) см. скриншот ниже).
Если подставить данную ссылку в IE, то при правильной настройке вы увидите страницу с надписью «WEB Service», что означает успешную установку https- соединения с Web сервисом НРД. Далее в ЛРС СЭД НРД ПО Луч запустите процедуру получения документов.
При выполнении процедуры в ЛРМ СЭД НРД «WEB-доступ» через TLS соединение к НРД, используя IE (настройки его указаны выше в п.2) и ссылку, указанную в таблице, выполняете вход на первую страницу ЛРМ СЭД НРД «WEB-доступ».
© Небанковская кредитная организация закрытое акционерное общество "Национальный расчетный депозитарий"
|