Налаштування сертифікатів для перевірки ключів цифрового підпису Платформи

🌐 Цей документ доступний українською та англійською мовами. Використовуйте перемикач у правому верхньому куті, щоб змінити версію.

1. Загальний опис

Сертифікати для перевірки ключів цифрового підпису слугують для підтвердження автентичності публічного ключа, який використовується в процесі цифрового підписання. Їх випускає довірена організація, відома як Акредитований Центр Сертифікації Ключів (АЦСК), і вони відіграють важливу роль у створенні довіри до електронних документів та транзакцій.

Ключі системного підпису призначені для підписання та перевірки даних системами або програмами. Іншими словами, вони допомагають гарантувати, що відповідний пакет даних чи програмне забезпечення походить від відомого джерела і не було змінено.

КЕП (Кваліфікований електронний підпис) — це покращена версія ЕЦП (Електронний цифровий підпис). Він забезпечує вищий рівень безпеки та довіри, адже для його створення використовуються більш надійні криптографічні алгоритми та процедури. КЕП часто має правову силу і дозволяє підтверджувати автентичність електронних документів в юридичних ситуаціях.

CACertificates.p7b та CA.json:

  • CACertificates.p7b: цей файл містить один або декілька сертифікатів у форматі PKCS#7. Формат PKCS#7 широко використовується для обміну та зберігання сертифікатів або цілого ланцюжка сертифікатів.

  • CA.json: це файл у форматі JSON, який може містити деталі про сертифікати. Формат JSON інформацію про сертифікати у форматі JSON, який легко читається людиною та машиною.

Платформа надає широкі можливості для управління сертифікатами: забезпечує їх безпечне завантаження, зберігання, використання та оновлення.

2. Додавання сертифікатів

Сертифікати АЦСК для перевірки ключів системного підпису та КЕП користувачів, внесені у секції Дані для перевірки підписів, будуть застосовані до налаштувань реєстру.

Щоб додати сертифікати АЦСК, виконайте наступні кроки:

  1. Увійдіть до адміністративної панелі керування Платформою Control Plane, використовуючи попередньо отримані логін та пароль.

    update cluster mgmt 01

  2. Відкрийте меню Керування Платформою.

  3. У правому верхньому куті сторінки натисніть Редагувати.

    update cluster mgmt 1

  4. Перейдіть до секції Дані для перевірки підписів.

    01 platform certificates

  5. Додайте публічні сертифікати АЦСК (CACertificates.p7b).

    1. Додайте список сертифікатів сумісних ЦСК (CACertificates.p7b), який можна отримати на сайті АТ "ІІТ" за посиланням https://iit.com.ua/downloads.

    2. Додайте файл сертифіката, натиснувши кнопку Обрати файл у полі у полі Публічні сертифікати АЦСК (розширення .p7b). У новому вікні перейдіть до теки, де зберігається файл сертифіката, оберіть його і натисніть Відкрити.

      02 platform certificates

  6. Додайте перелік АЦСК (CA.json).

    1. Додайте параметри взаємодії із сумісними ЦСК (CAs.json). Файл можна отримати на сайті АТ "ІІТ" за посиланням https://iit.com.ua/downloads.

    2. Додайте файл сертифіката, натиснувши кнопку Обрати файл у полі Перелік АЦСК (розширення .json). У новому вікні перейдіть до теки, де зберігається файл з параметрами, оберіть його і натисніть Відкрити.

      03 platform certificates

  7. На завершення перевірте внесену інформацію і натисніть кнопку Підтвердити.

    У результаті оновлення даних про ключ на інтерфейсі Control Plane, створюється новий запит на оновлення конфігурації cluster-mgmt, який необхідно підтвердити.

  8. В інтерфейсі адмін-панелі Control Plane поверніться до розділу Керування Платформою, прокрутіть бігунок униз сторінки та знайдіть секцію Запити на оновлення. Знайдіть потрібний запит та натисніть іконку перегляду 👁.

    change key 41

  9. Відкрийте сформований запит, натиснувши іконку перегляду — 👁.

  10. Прокрутіть донизу та натисніть кнопку Підтвердити.

    04 registry certificates

    Запропоновані зміни вносяться до конфігурації файлу deploy-templates/values.yaml компонента cluster-mgmt у разі підтвердження.

    Далі відбувається автоматичний запуск пайплайну Master-Build-cluster-mgmt, який застосовує параметри заданої конфігурації та створює секрети для ключів цифрового підпису.

  11. Зачекайте, доки виконається збірка коду. Це може зайняти декілька хвилин.

    Ви можете перевірити поточний статус та результат виконання за посиланням CI на інтерфейсі.

    change key 42

    В інтерфейсі Jenkins знайдіть відповідний пайплайн та відстежуйте статус виконання.

    cp platform admins 25