Налаштування сертифікатів для перевірки ключів цифрового підпису реєстру

🌐 Цей документ доступний українською та англійською мовами. Використовуйте перемикач у правому верхньому куті, щоб змінити версію.

1. Загальний опис

Сертифікати для перевірки ключів цифрового підпису слугують для підтвердження автентичності публічного ключа, який використовується в процесі цифрового підписання. Їх випускає довірена організація, відома як Акредитований Центр Сертифікації Ключів (АЦСК), і вони відіграють важливу роль у створенні довіри до електронних документів та транзакцій.

Ключі системного підпису призначені для підписання та перевірки даних системами або програмами. Іншими словами, вони допомагають гарантувати, що відповідний пакет даних чи програмне забезпечення походить від відомого джерела і не було змінено.

КЕП (Кваліфікований електронний підпис) — це покращена версія ЕЦП (Електронний цифровий підпис). Він забезпечує вищий рівень безпеки та довіри, адже для його створення використовуються більш надійні криптографічні алгоритми та процедури. КЕП часто має правову силу і дозволяє підтверджувати автентичність електронних документів в юридичних ситуаціях.

CACertificates.p7b та CA.json:

  • CACertificates.p7b: цей файл містить один або декілька сертифікатів у форматі PKCS#7. Формат PKCS#7 широко використовується для обміну та зберігання сертифікатів або цілого ланцюжка сертифікатів.

  • CA.json: це файл у форматі JSON, який може містити деталі про сертифікати. Формат JSON інформацію про сертифікати у форматі JSON, який легко читається людиною та машиною.

Платформа надає широкі можливості для управління сертифікатами: забезпечує їх безпечне завантаження, зберігання, використання та оновлення.

2. Додавання сертифікатів

Сертифікати АЦСК для перевірки ключів системного підпису та КЕП користувачів, внесені у секції Дані для перевірки підписів, будуть застосовані до налаштувань реєстру.

Щоб додати сертифікати АЦСК, виконайте наступні кроки:

  1. Увійдіть до адміністративної панелі керування реєстрами Control Plane, використовуючи попередньо отримані логін та пароль.

    update cluster mgmt 01

  2. Перейдіть до розділу Реєстри та оберіть відповідний реєстр, в якому необхідно завантажити сертифікати для перевірки підпису.

    change key 01

  3. Натисніть кнопку Редагувати, що розташована у правому верхньому куті.

    change key 02

  4. Перейдіть до секції Дані для перевірки підписів.

  5. Додайте публічні сертифікати АЦСК (CACertificates.p7b).

    1. Додайте список сертифікатів сумісних ЦСК (.p7b). Файл можна отримати на сайті АТ "ІІТ" за посиланням https://iit.com.ua/downloads.

      При розгортанні та роботі з тестовим реєстром, використовуйте сертифікати тестового АЦСК, інакше пайплайн розгортання реєстру не пройде, а ви отримаєте помилку ініціалізації криптосервісу digital-signature-ops. Це станеться через те, що файли сертифікатів для виробничого середовища просто не містять даних про тестові АЦСК.

      Для промислового середовища використовуйте відповідні prod-сертифікати.

    2. Додайте файл сертифіката, натиснувши кнопку Обрати файл у полі Публічні сертифікати АЦСК (розширення .p7b). У новому вікні перейдіть до теки, де зберігається файл сертифіката, оберіть його і натисніть Відкрити.

      01 registry certificates

  6. Додайте перелік АЦСК (CA.json).

    1. Додайте параметри взаємодії із сумісними ЦСК (.json). Файл можна отримати на сайті АТ "ІІТ" за посиланням https://iit.com.ua/downloads.

      При розгортанні та роботі з тестовим реєстром, використовуйте сертифікати тестового АЦСК, інакше пайплайн розгортання реєстру не пройде, а ви отримаєте помилку ініціалізації криптосервісу digital-signature-ops. Це станеться через те, що файли сертифікатів для виробничого середовища просто не містять даних про тестові АЦСК.

      Для промислового середовища використовуйте відповідні prod-сертифікати.

    2. Додайте файл сертифіката, натиснувши кнопку Обрати файл у полі Перелік АЦСК (розширення .json). У новому вікні перейдіть до теки, де зберігається файл з параметрами, оберіть його і натисніть Відкрити.

      02 registry certificates

  7. На завершення перевірте внесену інформацію і натисніть кнопку Підтвердити.

    У результаті оновлення даних про ключ на інтерфейсі Control Plane, створюється новий запит на оновлення конфігурації реєстру, який необхідно підтвердити.

  8. В інтерфейсі адмін-панелі Control Plane поверніться до розділу Реєстри, прокрутіть бігунок униз сторінки та знайдіть секцію Запити на оновлення. Знайдіть потрібний запит та натисніть іконку перегляду 👁.

    03 registry certificates

  9. Прокрутіть донизу та натисніть кнопку Підтвердити.

    04 registry certificates

    Далі відбувається автоматичний запуск пайплайну MASTER-Build-<registry-name>, який застосовує параметри заданої конфігурації та створює секрети для ключів цифрового підпису.

  10. Зачекайте, доки виконається збірка коду. Це може зайняти приблизно 15 хвилин, але все залежатиме від конфігурації певного реєстру.

    Ви можете перевірити поточний статус та результат виконання за посиланням CI на інтерфейсі.

    cp id gov ua iit setup 6

    cp id gov ua iit setup 7

    cp id gov ua iit setup 8