Небанковская кредитная организация закрытое акционерное общество «НАЦИОНАЛЬНЫЙ РАСЧЕТНЫЙ ДЕПОЗИТАРИЙ» Инструкция по настройке рабочего места при подключении к WEB сервисам НРД с использованием TLS соединения Москва, 2015 Под термином «подключение к WEB сервисам НРД» имеется в виду подключение клиентов НРД для целей электронного взаимодействия (промышленный контур) или для целей тестирования (тестовый контур) с использованием локального рабочего места Системы электронного документооборота НРД (далее - ЛРМ СЭД НРД) ПО «Луч» в режиме «WEB канала» или ЛРМ СЭД НРД «WEB-кабинет Депозитария/Клиринговой организации», ПО «WEB-кабинет корпоративных действий (WEB-кабинет КД)» к WEBсервису НРД т.е. программному средству, развернутому на стороне НРД, имеющему адрес (URL) в сети Интернет через TLS соединение. 1. Для подключения к WEB-сервисам НРД через TLS соединение необходимо получить, установить и настроить средства криптографической защиты (далее - СКЗИ). Подробно процесс получения СКЗИ описан на сайте ОАО Московская Биржа в разделе «Первичное подключение к СЭД». Порядок настройки СКЗИ описан на сайте Московской Биржи в разделах «Квалифицированные сертификаты» и «Неквалифицированные сертификаты». Для работы с WEB-сервисом в тестовом и промышленном контурах НРД требуются следующие версии СКЗИ и их компоненты: 1.1 При использовании сертифицированных СКЗИ, квалифицированных сертификатов ключей проверки электронной подписи (далее – СКПЭП ГОСТ или сертификаты ГОСТ): криптопровайдер "Валидата CSP" версии не ниже v.4.0.300.0. При этом обязательными для установки являются следующие опции: - библиотека совместимости с СКЗИ СКАД Сигнатура; - биологический ДСЧ; - считыватель Съемный диск; - утилита преобразования ключей; - поддержка TLS программный комплекс «АПК клиент ММВБ Справочник сертификатов» v4.0-268-14 для 32bit или 64bit в зависимости от операционной системы (далее – ОС), установленной на компьютере (для 64bit ОС устанавливаются ПК Справочник сертификатов 32bit и 64bit); для корректной работы Справочника сертификатов необходимо загрузить и выполнить Файлы модификации реестра MS Windows для ПК ”Справочник сертификатов” (XCS), за исключением файла xProfileOFF.reg. Версии криптобиблиотеки Валидата-CSP и «АПК клиент ММВБ Справочник сертификатов» можно посмотреть в меню «Панель управления – программы и компоненты» для ОС Microsoft Windows 7 либо через меню «установка и удаление программ» и нажать ссылку «Чтобы получить сведения о поддержке, щелкните здесь» для Microsoft Windows XP. Появится окно с версией программы или «Пуск-Все программы - папка Валидата-CSP- Программа конфигурации СКЗИ - окно Программа конфигурации Валидата CSP - верхний левый угол экрана (значок «Бобер») – О программе..». Вместе с криптобиблиотекой Валидата-CSP при начальной установке СКЗИ должна быть установлена программа монитора TLS. Если она не была установлена необходимо в меню: «Панель управления – программы и компоненты» в строке «Валидата-CSP» (см. скриншот выше), выбрать пункт «изменить» и нажать кнопку «далее». У Вас появится окно «Выбор компонентов», в котором необходимо выбрать пункт «Валидата TLS», найти подпункт «Поддержка протоколов TLS и EAP-TLS» и выбрать вариант «Будет установлен на локальный жесткий диск», после этого нажать кнопку «далее». В тестовом контуре необходимо использовать высылаемый по вашей заявке тестовый криптографический ключ и СКПЭП криптосервера НРД с областью действия «Тестовый электронный документооборот». Тестовый криптоключ получается клиентом только в НРД. Ключ криптосервера НРД (тестовая криптосессия) находится в высылаемом вам файле в папке SPR или его можно скачать с сайта НРД. В промышленном контуре используется собственный криптографический ключ и СКПЭП криптосервера НРД (рабочая криптосессия) с областью действия «Электронный документооборот НКО ЗАО НРД» (владелец сертификата Председатель Правления НРД). Собственный криптографический ключ получается клиентом в ОАО «Московская Биржа» или генерируется самостоятельно. СКПЭП криптосервера НРД добавляется в папку «Сертификаты» «АПК клиент ММВБ Справочник сертификатов» по установленной процедуре. Его можно скачать с сайта НРД. 1.2 При использовании несертифицированных СКЗИ, неквалифицированных сертификатов (RSA): программный комплекс (ПК) «Справочник сертификатов» (RCS) v4.0-268-14; для корректной работы Справочника сертификатов необходимо загрузить и выполнить Файлы модификации реестра MS Windows для ПК ”Справочник сертификатов” (RCS), за исключением файла rProfileOFF.reg. В тестовом контуре необходимо использовать высылаемый по вашей заявке тестовый криптографический ключ и СКПЭП криптосервера НРД (тестовая криптосессия) с областью действия «Тестовый электронный документооборот». Тестовый криптографический ключ получается клиентом только в НРД. В промышленном контуре используется собственный криптографический ключ и СКПЭП криптосервера НРД (рабочая криптосессия) с областью действия «Электронный документооборот НКО ЗАО НРД» (владелец сертификата Astanin Eddi Vladimirovich). Собственный криптографический ключ получается клиентом в ОАО «Московская Биржа» или генерируется самостоятельно. 2. После установки СКЗИ необходимо обеспечить перенос криптографических ключей в системное хранилище WINDOWS для организации защищённого TLS соединения с WEB сервером НРД. Для корректного добавления криптоключа в системное хранилище необходимо, используя меню программы «АПК Клиент ММВБ-справочник сертификатов», зайти в ветку справочника «Персональный справочник сертификатов» и проверить наличие сертификата удостоверяющего центра (INN=007702077840,OGRN=1027739387411,CN=Удостоверящий центр,O=ОАО Московская Биржа,L=Москва,ST=77 г.Москва,C=RU). Если есть сертификаты, помеченные красным кружком с белым крестиком, то их нужно выделить и удалить нажатием кнопки DELETE, Далее выбрать меню «сервис-экспортировать сертификаты в системное хранилище» и согласиться со всеми задаваемыми программой вопросами. Необходимо убедится, что Ваши сертификаты перенесены в системное хранилище сертификатов WINDOWS. Для этого необходимо вызвать в главном меню WINDOWS Пуск>Панель управления->Свойства обозревателя. На открывшейся форме необходимо выбрать закладку «Содержание» и нажать кнопку “Сертификаты” и на вкладке «личные» найдите наименование своего ключа убедитесь, что он корректен, для этого дважды щелкните по наименованию сертификата и посмотрите на закладке «общие» внизу окна должна быть запись о том, что для данного сертификата есть закрытый ключ. Если Вы не увидите данного поля и вместо него будет надпись, что этот сертификат не удалось проверить (см. скриншот), то это означает, что сертификат ключа добавлен некорректно. Тогда нужно удалить сертификат из системного хранилища и экспортировать его туда заново. Также необходимо убедится в переносе списка отозванных сертификатов в системной консоли WINDOWS. Для вызова консоли наберите mmc в командной строке WINDOWS и добавьте оснастку сертификатов. Наличие списка отозванных сертификатов можно проверить аналогично экрану ниже: 3. Для обеспечения корректной работы ЛРМ СЭД НРД «WEB-кабинет Депозитария/Клиринговой организации», ПО «Луч» в режиме «WEB канала» необходимо выполнить настройки интернет-обозревателя (далее – IE): Сбросьте настройки IE в вариант «по умолчанию»; Очистите куки и кэш память IE; Проверьте отсутствие галочки «прокси-сервер» (в меню:«Свойства обозревателяПодключения-Настройки сети»); В форме «Надежные узлы» необходимо снять галку «Для всех узлов этой зоны требуется проверка серверов (https:)», если она включена; При подключении к «WEB-сервису» НРД, необходимо добавить URL «WEB-сервиса» в список доверенных узлов (см. таблицу внизу) в зависимости от используемого ПО ЛРМ СЭД НРД (ПО «Луч» или WEB кабинет) с учетом типа криптографии (ГОСТ или RSA). В строке «Добавить в зону следующий узел» автоматически выставится правильный адрес, соответствующий начальной части адреса страницы WEB-сервиса (например: https://edog.nsd.ru/Alameda/ или https://edog.nsd.ru/onyxpr/WslService); На закладке «Безопасность» формы «Свойства обозревателя», куда Вы вернулись, и где выбрана зона «Надежные узлы», нажмите кнопку «Другой…» в области «Уровень безопасности для этой зоны». В открывшейся форме «Параметры безопасности - зона надежных узлов» установить флаг «Включить» для параметра «Использование элементов управления ActiveX, не помеченных как безопасные для использования». (Обратите внимание на название параметра, поскольку в перечне параметров есть похожие названия). Нажмите кнопку «ОК». Подтвердите изменение настроек зоны в ответ на запрос (нажатием кнопки «Да»). Нажмите кнопку «Применить», затем закройте форму «Свойства обозревателя»; На закладке «Дополнительно» убедитесь, что настройки SSL и TLS установлены как в окне ниже; Убедитесь, что отключено блокирование всплывающих окон на вкладке «Конфиденциальность» а так же во вкладке «Безопасность» в разделе «надежные сайты (узлы)» в пункте «разное». 4. Данные для подключения ЛРМ СЭД НРД: ПО Луч (в режиме «WEB канал») или «WEBкабинет Депозитария/Клиринговой организации» к WEB сервисам НРД через TLS соединение в тестовом или промышленном контурах приведены в таблице (эти данные имеются также в Анкете НРД для ЭДО на сайте НРД как для сертифицированных СКЗИ (ГОСТ), так и несертифицированных СКЗИ (RSA). Приложение Контур Используемые ключи для соединения https Версия ПО Луч (Луч online) Промышленный контур WEB-кабинет Депозитария/ Клиринговой организации WEB-кабинет Депозитария/ Клиринговой организации Web сервис ПРОМ RSA https://edor.nsd.ru/Alameda/ ПРОМ ГОСТ https://edog.nsd.ru/Alameda/ ПРОМ RSA 15.0 и URL-адрес https://edor.nsd.ru/onyxpr/WslSer депозитария/ репозитария для ПО «Луч» не ниже версии Web сервис депозитария/ репозитария для ПО «Луч» не ниже версии WEB кабинет репозитария WEB кабинет репозитария Web-сервис REST Web-сервис REST выше vice 15.0 и выше https://edog.nsd.ru/onyxpr/WslSe rvice ПРОМ ГОСТ ПРОМ RSA https://edor.nsd.ru/lkr/ ПРОМ ГОСТ https://edog.nsd.ru/lkr/ ПРОМ RSA ГОСТ Ссылки для работы из промышленного контура ОАО Московская биржа: RSA https://edor.ndcw.ru/WSAlameda ГОСТ https://edog.ndcw.ru/WSAlameda ПРОМ RSA ГОСТ Ссылки для работы из сети Интернет: RSA https://edor.nsd.ru/WSAlameda ГОСТ https://edog.nsd.ru/WSAlameda WEB-кабинет ТЕСТ Депозитария/ Клиринговой организации WEB-кабинет ТЕСТ Депозитария/ Клиринговой организации Web сервис ТЕСТ депозитария/ репозитария для ПО «Луч» не ниже версии Тестовый контур RSA для PL https://rsa.nsd.ru/Alameda/ ГОСТ для PL https://gost.nsd.ru/Alameda/ RSA для PL 15.0 и выше https://rsa.nsd.ru/onyxpl/WslServ ice Web сервис депозитария/ репозитария для ПО «Луч» не ниже версии WEB-кабинет репозитария ТЕСТ ГОСТ для PL 15.0 и выше ТЕСТ RSA для PL https://rsa.nsd.ru/lkr/ Web-сервис REST ТЕСТ ГОСТ для PL RSA и ГОСТ для PL https://gost.nsd.ru/lkr/ Ссылки для тестирования из промышленного контура ОАО Московская биржа: RSA https://rsa.ndcw.ru/WSAlamedaP L ГОСТ https://gost.ndcw.ru/WSAlameda PL Web-сервис REST ТЕСТ RSA и ГОСТ для PL Ссылки для тестирования из сети Интернет: RSA https://rsa.nsd.ru/WSAlamedaPL ГОСТ https://gost.nsd.ru/WSAlamedaP L https://gost.nsd.ru/onyxpl/WslSer vice 5. Для корректной работы ЛРМ СЭД НРД через TLS соединение необходимо: Проверить доступ по Telnet соединению на адрес edog.nsd.ru - для ключей ГОСТ и edor.nsd.ru - для RSA ключей. При проверке указать порт 443 (например: telnet edog.nsd.ru 443), если соединение прошло успешно, то вы должны увидеть черный экран; Далее необходимо проверить доступ к WEB сервису НРД при использовании ЛРМ СЭД НРД «WEB-кабинет Депозитария/Клиринговой организации» (СПО «Аламеда») по следующим ссылкам https://edog.nsd.ru/Alameda/ - для ключей ГОСТ и https://edor.nsd.ru/Alameda/ - для RSA ключей или используя другие ссылки, приведенные в таблице в зависимости от типа WEB-сервиса. Если все настройки выполнены правильно, то вы увидите нижеприведенную страницу. Аналогичные проверки необходимо выполнить для проверки доступа к странице WEB сервиса при использовании ЛРМ СЭД НРД – ПО «Луч», используя ссылки https://edog.nsd.ru/onyxpr - для ключей ГОСТ или https://edor.nsd.ru/onyxpr - для RSA ключей. Если все настройки выполнены правильно, то вы увидите нижеприведенную страницу В меню ПО «Луч» «Администрирование - Параметры - закладка Ввод-вывод» поставить опцию (точка) в чек-бокс «WEB канал» и в строке «Адрес (Url)» прописать ссылку соответствующую контуру, в котором будет использоваться ПО НРД (промышленный или тестовый) и типу криптографии используемой для работы с НРД (ГОСТ или RSA) из вышеуказанной таблицы (например, для сертифицированных СКЗИ (ГОСТ) в промышленном контуре см. скриншот ниже); 6. Если в результате действий описанных в Инструкции вы не добились выполнения процедур образования TLS соединения, необходимо выполнить дополнительные процедуры описанные ниже: Одной из проблем является высокий приоритет в параметрах управления учетными записями пользователей «движок» должен находиться в положении «Никогда не уведомлять», если это не так, то переведите его в это положение. Сбросьте настройки ДСЧ через окно криптопровайдера (см. ниже) и войдите, например, на сайт https://mail.yandex.ru. Появление окна инициализации ДСЧ говорит о том, что компоненты TLS установлены; если отображается страница https://mail.yandex.ru, то rsa криптография работает правильно; Включите TLS Монитор: меню «Пуск->Все программы->«Валидата CSP»->Программа монитора TLS, - появляется в трее логотип «руки» с крестиком, дважды кликаем мышкой – руки без крестика. Если в результате включения монитора TLS у вас образовался TLS канал то можно пользоваться данным способом, и каждый раз запускать мониторинг TLS вручную, но данный метод не является корректным и его необходимо исправить, скорее всего, клиентское ПО использует протокол SSL 2.0, либо при установке СКЗИ возникла ошибка при регистрации библиотеки vdcng.dll (для ОС Windows Vista и более новых). Возможно, проблема решится принудительной перерегистрацией библиотеки: отменяем регистрацию: Regsvr32 /u c:\windows\system32\vdcng.dll - должно все пройти без ошибок при этом из реестра удаляются данные, связанные с криптопровайдером и используемыми шифрами (см. ветку Cryptography); перегружаем ПК; регистрируем: Regsvr32 c:\windows\system32\vdcng.dll – должно все пройти без ошибок. при этом реестр добавляются данные, связанные с криптопровайдером и используемыми шифрами (см. ветку Cryptography); перегружаем ПК (!!!). Обратите внимание, что «по умолчанию» не должно быть «галок» в чек боксах «Использовать TLS 1.1, TLS 1.2» нижеуказанного окна 7. Если после всех манипуляций у вас все равно не работает WEB доступ тогда необходимо включить протоколирование операций через реестр SYSTEM\CurrentControlSet\Control\Session Manager\Debug Print Filter VD_LOGMASK_CSP, VD_LOGMASK_SSP, VD_LOGMASK_CNG, VD_LOGMASK_HOOKS все значения выставить в 496 десятичное; перезагрузка ПК (!!!); почистите все системные протоколы (Приложения и Система); попытайтесь подключиться ТОЛЬКО через IE к https://gost.nsd.ru - для тестового контура или https://edog.nsd.ru - для рабочего контура пару раз и пришлите системные протоколы (Приложения и Система). Проделайте тоже самое, включив TLS Монитор, как указано выше. После выполнения выше описанных процедур пришлите логи журналов Windows Приложения и Система, а также скриншоты, подтверждающие выполнение процедур настройки, на адрес soed@nsd.ru. По всем возникшим вопросам необходимо обращаться к первой линии технической поддержки (адрес электронной почты soed@nsd.ru , телефон 8(495)956-09-34).