Завдання 4. Оновлення ключів та сертифікатів цифрового підпису
1. Мета завдання
- Виконання цього завдання має на меті:
-
-
Навчити оновлювати ключі та сертифікати цифрового підпису для реєстру.
-
2. Передумови
-
Перед оновленням сертифікатів цифрового підпису завантажте необхідні файли:
-
Сертифікати АЦСК тестового середовища: https://iit.com.ua/download/productfiles/CAs.Test.All.json.
-
Сертифікати АЦСК тестового середовища: https://iit.com.ua/download/productfiles/CACertificates.Test.All.p7b.
При завантаженні тестових файлів, ви отримаєте у назвах значення
Test.All.. Наприклад, CACertificates.Test.All.p7b.Видаліть значення
Test.All.для обох типів сертифікатів. В результаті ви маєте отримати наступні назви:-
CACertificates.p7b
-
CAs.json
-
-
Ознайомтеся з інструкцією Оновлення ключів та сертифікатів цифрового підпису для реєстру.
3. Процес виконання завдання
3.1. Оновлення ключа системного підпису
Для оновлення ключа системного підпису використовуйте інструкцію, наведену нижче інформацію та попередньо завантажені файли.
-
Заповніть наступні поля відповідними значеннями:
-
Тип носія:
Файловий носій; -
Файловий ключ (розширення .dat): key-6.dat;
-
АЦСК, що видав ключ:
Тестовий ЦСК АТ "ІІТ"; -
Пароль до файлового ключа:
123; -
Перелік дозволених ключів: заповніть, використовуючи дані з файлу allowed-keys.yml.
Завантажте наведені нижче файли та використовуйте попередньо підготовлений ключ цифрового підпису та дані про цей ключ:
-
файловий ключ для цифрового підпису для тестового користувача key-6.dat;
-
перелік дозволених ключів allowed-keys.yml;
-
-
Додайте декілька дозволених ключів. Для цього натисніть кнопку
Додати ключ.
У *переліку дозволених ключів * необхідно заповнити дані для усіх попередніх довірених ключів:
-
Емітент ключа: параметр
issuerу файлі allowed-keys.yml; -
Серійний номер ключа: параметр
serialу файлі allowed-keys.yml.
Усі дані беруться з файлу allowed-keys.yml.
Проміжним результатом буде заповнення всіх полів та вказані 2 дозволені ключі. 
-
-
Підтвердьте зміни, відкрийте Запити на оновлення та схваліть новий запит.
Успішним результатом буде завершення пайплайну MASTER-Build- <registry-name>зі статусомSUCCESS, де<registry-name>— назва вашого реєстру.
-
Перевірте, що под
digital-signature-opsзнаходиться у станіRunning.
-
Впевніться, що дані було оновлено. Перейдіть до Secrets та пошуком знайдіть
digital-signature-dataтаdigital-signature-env-vars.
-
Перейдіть до секрету
digital-signature-data, натиснітьReveal values.
-
Порівняйте вміст allowed-keys із файлом allowed-keys.yml.
Перейдіть до секретуdigital-signature-env-vars, натисніть Reveal values, та переконайтеся, що зазначені дані, відповідають тим, які ви вказали при заміні ключа.
|
Результатом виконання цього підзавдання буде:
|
3.2. Оновлення даних для перевірки підписів
Особливості завантаження сертифікатів CA та p7bПри розгортанні та роботі з тестовим реєстром, використовуйте сертифікати тестового АЦСК, інакше пайплайн розгортання реєстру не пройде, а ви отримаєте помилку ініціалізації криптосервісу Для промислового середовища використовуйте відповідні prod-сертифікати.
|
Щоб оновити дані для перевірки підписів, виконайте наступні кроки:
-
Перейдіть на вкладку Дані для перевірки підписів.
-
Оновіть дані, використовуючи попередньо завантажені файли.
-
У полі Публічні сертифікати АЦСК (CACertificates.p7b) завантажте сертифікат CACertificates.p7b.
-
У полі Перелік АЦСК (розширення .json) завантажте сертифікат CAs.json.
Успішним результатом буде підвантаження двох файлів. 
-
-
Підтвердьте зміни, відкрийте Запити на оновлення та схваліть новий запит.
Успішним результатом буде завершення пайплайну MASTER-Build- <registry-name>зі статусомSUCCESS, де<registry-name>— назва вашого реєстру.
-
Виконайте перевірку вмісту файлу CACertificates.p7b. Для цього перейдіть до секрету
digital-signature-data, завантажте файл CACertificates.p7b із публічними сертифікатами АЦСК та порівняйте його з тим, який ви використали при заміні.
|
Результатом виконання цього підзавдання буде:
|