Разработка #1299: Подготовка + Начальная настройка - Дом Гос Услуги - Водоканал Сервис - КБ99 Redmine

Проект

Общее

Профиль

Разработка #1299

Подготовка + Начальная настройка

Добавил(а) кб99 Синявский Филипп около 7 лет назад. Обновлено около 7 лет назад.

Статус:
Новая
Приоритет:
Нормальный
Назначена:
-
Дата начала:
26.10.2017
Срок завершения:
Готовность:

0%

Оценка временных затрат:

test.key (4,64 КБ) test.key кб99 Синявский Филипп, 26.10.2017 20:11
test.pem (2,89 КБ) test.pem кб99 Синявский Филипп, 26.10.2017 20:11
screenshot_3_1509034453_2017-10-26_20-13-41.png (13,9 КБ) screenshot_3_1509034453_2017-10-26_20-13-41.png кб99 Синявский Филипп, 26.10.2017 20:14
ca.pem (1,97 КБ) ca.pem кб99 Синявский Филипп, 26.10.2017 20:18
screenshot_2_1509082666_2017-10-27_09-34-24.png (16,8 КБ) screenshot_2_1509082666_2017-10-27_09-34-24.png кб99 Синявский Филипп, 27.10.2017 09:37
1180
1183

История

#1 Обновлено кб99 Синявский Филипп около 7 лет назад

Взаимодействие с ГИС ЖКХ с помощью stunnel и openssl по ГОСТу
https://habrahabr.ru/post/300856/

HOWTO use Stunnel with GOST
http://www.nikosoft.net/nspki/howto-stunnel-gost.php

#2 Обновлено кб99 Синявский Филипп около 7 лет назад

1180

3 Создание защищенного соединения с СИТ по https.

Приведенная ниже инструкция позволяет создать защищенное соединение для работы с тестовым стендом, которое может быть использовано программными средствами без возможности обеспечить шифрование по ГОСТ (например, SOAP UI, браузер Chrome).
1. Загрузить и установить демо-версию МагПро Криптопакет с портала http://www.cryptocom.ru;
2. Загрузить и установить демо-версию КриптоТуннеля с портала http://www.cryptocom.ru;
3. Экспортировать сертификат, полученный для установления защищенного соединения с ГИС ЖКХ, в формат pfx. Для этого можно использовать утилиты наподобие P12FromGostCSP;
4. Из командой строки cmd (находясь в директории ...\cryptopack2\bin, созданной при установке МагПро Криптопакет) выполнить:

openssl pkcs12 -in C:\test.pfx -out C:\test.key -nodes

- где test.pfx файл, полученный в п.3;
5. С помощью встроенной в Windows утилиты "Сертификаты" экспортировать сертификат, полученный для установления защищенного соединения с ГИС ЖКХ (без закрытого ключа) в формат DER;
6. Из командой строки cmd (находясь в директории ...\cryptopack2\bin) запустить:
openssl x509 -inform DER -outform PEM -in C:\test.cer -out C:\test.pem

- где test.cer файл, полученный в п.5;
7. Полученные в п.4 и п.6 файлы и файл CA-SIT.pem переместить в директорию ...\CryptoTunnel2\crypto\
8. Внести изменения в конфигурационный файл ...\CryptoTunnel2\stunnel \stunnel.conf :
- для параметра cert указать значение в виде имени файла, полученного в п.6 (cert= ..\crypto\test.pem)
- для параметра key указать значение в виде имени файла, полученного в п.4 (key= ..\crypto\test.key)
- для параметра connect указать значение 217.107.108.156:10081 или 217.107.108.147:10081.
- для параметра CAFile указать значение ..\crypto\CA-SIT.pem
9. Проверить доступность порта 8080, запустив из командной строки cmd:
 netstat -an

10. Запустить программу …\CryptoTunnel2\stunnel.exe. В дальнейшем работа с сервером интеграции осуществлять по адресу:
 http://127.0.0.1:8080/<адрес_интеграционного_сервиса>.

11. Для реализации защищенного соединения с промышленным стендом ГИС ЖКХ необходимо:
- использовать полноценную (не демо) лицензионную версию криптотунеля;
- для генерации key и pem использовать cертификат, выданный аккредитованным, не тестовым УЦ. Список аккредитованных УЦ распространяется через портал http://e-trust.gosuslugi.ru/, сертификат должен проходить проверку подлинности ИС ГУЦ (http://www.gosuslugi.ru/pgu/eds/);
- вместо файла CA-SIT.pem использовать файл CA-PPAK.pem;
- для параметра connect указать значение api.dom.gosuslugi.ru:443.

#3 Обновлено кб99 Синявский Филипп около 7 лет назад

stunnel.conf

[pseudo-https-2]
protocol = http
accept = 127.0.0.1:8081
connect = 217.107.108.147:10081
ciphers = GOST2001-GOST89-GOST89
TIMEOUTclose = 0
cert=..\crypto\test.pem
key= ..\crypto\test.key
CAFile=..\crypto\ca.pem

#4 Обновлено кб99 Синявский Филипп около 7 лет назад

1183

не удается получить данные - требует имя и пароль

curl http://127.0.0.1:8081/ext-bus-nsi-service/services/Nsi?wsdl

если вводить логин пароль basic авторизации - не помогает

на тестовом сервере без шифрования соединения - тоже самое
http://217.107.108.147:10082

Нужно уточнить логин \ пароль для basic авторизации

#5 Обновлено кб99 Синявский Филипп около 7 лет назад

Регламент взаимодействия внешних систем с ГИС ЖКХ v.11.5.0.8.1.docx

4.1 Формирование и передача запроса из ИС в ГИС ЖКХ
Запросы к ГИС ЖКХ можно разделить на 3 группы:
• Запрос на импорт данных в ГИС ЖКХ;
• Запрос на экспорт данных из ГИС ЖКХ;
• Запрос статуса обработки запроса в ГИС ЖКХ (для асинхронного взаимодействия).
Формирование запросов выполняется в соответствии с форматами данных информационного взаимодействия, описанными в документе «Альбом ТФФ».
отправителя используются:
- сертификат для установки защищенного соединения, отправленный Оператору ГИС ЖКХ при регистрации ИС;
- идентификатор поставщика данных (orgPPAGUID), полученный при выполнении запроса exportOrgRegistry. При получении запроса от ИС ГИС ЖКХ проверяет значение элемента orgPPAGUID, в котором, согласно, форматам данных информационного взаимодействия, указывается идентификатор поставщика данных.

#6 Обновлено кб99 Синявский Филипп около 7 лет назад

2.2.1.5 Идентификация поставщика информации и проверка делегированных прав доступа.
Поставщик информации, от которого выполняется запрос, определяется по RequestHeader/ orgPPAGUID. Для получения этого идентификатора внешняя система выполняет запрос exportOrgRegistry сервиса hcs-org-registry-common-service в отношении зарегистрированного тестового поставщика, и сохраняет полученный orgPPAGUID.

При обработке запроса ГИС ЖКХ выполняет проверку на то, что поставщик делегировал право размещения вида информации Оператору ИС (процедура делегирования описана в документах «Подробная инструкция по регистрации в ГИС ЖКХ» и в руководствах пользователя в разделе «Предоставление прав доступа»). Соответствие запросов и видов информации можно уточнить в файле «Справочники ГИС ЖКХ» по таблице «Соответствие справочника «Вид информации ГИС ЖКХ» операциям WSDL-сервисов».

#7 Обновлено кб99 Синявский Филипп около 7 лет назад

Идентификатор ИС 3e22dee7-7402-4dc6-a6c4-b4ab60a168fb

#8 Обновлено кб99 Синявский Филипп около 7 лет назад

xades-demo.exe send -s NsiCommonAsync -m exportNsiItem -c "exportNsiItem request.csv" -o "exportNsiItem response.csv" -a "sit:xw{p&&Ee3b9r8?amJv*]"

xades-demo.exe get-state -s NsiCommonAsync -g 1c361f36-bbd0-11e7-b593-005056b6513d -o "exportNsiList get-state response.csv" -a "sit:xw{p&&Ee3b9r8?amJv*]"

Экспортировать в Atom PDF