3 Создание защищенного соединения с СИТ по https.¶

Приведенная ниже инструкция позволяет создать защищенное соединение для работы с тестовым стендом, которое может быть использовано программными средствами без возможности обеспечить шифрование по ГОСТ (например, SOAP UI, браузер Chrome).
1. Загрузить и установить демо-версию МагПро Криптопакет с портала http://www.cryptocom.ru;
2. Загрузить и установить демо-версию КриптоТуннеля с портала http://www.cryptocom.ru;
3. Экспортировать сертификат, полученный для установления защищенного соединения с ГИС ЖКХ, в формат pfx. Для этого можно использовать утилиты наподобие P12FromGostCSP;
4. Из командой строки cmd (находясь в директории ...\cryptopack2\bin, созданной при установке МагПро Криптопакет) выполнить:

openssl pkcs12 -in C:\test.pfx -out C:\test.key -nodes

- где test.pfx файл, полученный в п.3;
5. С помощью встроенной в Windows утилиты "Сертификаты" экспортировать сертификат, полученный для установления защищенного соединения с ГИС ЖКХ (без закрытого ключа) в формат DER;
6. Из командой строки cmd (находясь в директории ...\cryptopack2\bin) запустить:

openssl x509 -inform DER -outform PEM -in C:\test.cer -out C:\test.pem

- где test.cer файл, полученный в п.5;
7. Полученные в п.4 и п.6 файлы и файл CA-SIT.pem переместить в директорию ...\CryptoTunnel2\crypto\
8. Внести изменения в конфигурационный файл ...\CryptoTunnel2\stunnel \stunnel.conf :
- для параметра cert указать значение в виде имени файла, полученного в п.6 (cert= ..\crypto\test.pem)
- для параметра key указать значение в виде имени файла, полученного в п.4 (key= ..\crypto\test.key)
- для параметра connect указать значение 217.107.108.156:10081 или 217.107.108.147:10081.
- для параметра CAFile указать значение ..\crypto\CA-SIT.pem
9. Проверить доступность порта 8080, запустив из командной строки cmd:

 netstat -an

10. Запустить программу …\CryptoTunnel2\stunnel.exe. В дальнейшем работа с сервером интеграции осуществлять по адресу:

 http://127.0.0.1:8080/<адрес_интеграционного_сервиса>.

11. Для реализации защищенного соединения с промышленным стендом ГИС ЖКХ необходимо:
- использовать полноценную (не демо) лицензионную версию криптотунеля;
- для генерации key и pem использовать cертификат, выданный аккредитованным, не тестовым УЦ. Список аккредитованных УЦ распространяется через портал http://e-trust.gosuslugi.ru/, сертификат должен проходить проверку подлинности ИС ГУЦ (http://www.gosuslugi.ru/pgu/eds/);
- вместо файла CA-SIT.pem использовать файл CA-PPAK.pem;
- для параметра connect указать значение api.dom.gosuslugi.ru:443.

stunnel.conf

[pseudo-https-2]
protocol = http
accept = 127.0.0.1:8081
connect = 217.107.108.147:10081
ciphers = GOST2001-GOST89-GOST89
TIMEOUTclose = 0
cert=..\crypto\test.pem
key= ..\crypto\test.key
CAFile=..\crypto\ca.pem

Проверка¶

curl http://127.0.0.1:8081/ext-bus-nsi-service/services/Nsi?wsdl

на тестовом сервере без шифрования соединения
http://217.107.108.147:10082

Регламент взаимодействия внешних систем с ГИС ЖКХ v.11.5.0.8.1.docx¶

4.1 Формирование и передача запроса из ИС в ГИС ЖКХ
Запросы к ГИС ЖКХ можно разделить на 3 группы:
• Запрос на импорт данных в ГИС ЖКХ;
• Запрос на экспорт данных из ГИС ЖКХ;
• Запрос статуса обработки запроса в ГИС ЖКХ (для асинхронного взаимодействия).
Формирование запросов выполняется в соответствии с форматами данных информационного взаимодействия, описанными в документе «Альбом ТФФ».
отправителя используются:
- сертификат для установки защищенного соединения, отправленный Оператору ГИС ЖКХ при регистрации ИС;
- идентификатор поставщика данных (orgPPAGUID), полученный при выполнении запроса exportOrgRegistry. При получении запроса от ИС ГИС ЖКХ проверяет значение элемента orgPPAGUID, в котором, согласно, форматам данных информационного взаимодействия, указывается идентификатор поставщика данных.

2.2.1.5 Идентификация поставщика информации и проверка делегированных прав доступа.
Поставщик информации, от которого выполняется запрос, определяется по RequestHeader/ orgPPAGUID. Для получения этого идентификатора внешняя система выполняет запрос exportOrgRegistry сервиса hcs-org-registry-common-service в отношении зарегистрированного тестового поставщика, и сохраняет полученный orgPPAGUID.

При обработке запроса ГИС ЖКХ выполняет проверку на то, что поставщик делегировал право размещения вида информации Оператору ИС (процедура делегирования описана в документах «Подробная инструкция по регистрации в ГИС ЖКХ» и в руководствах пользователя в разделе «Предоставление прав доступа»). Соответствие запросов и видов информации можно уточнить в файле «Справочники ГИС ЖКХ» по таблице «Соответствие справочника «Вид информации ГИС ЖКХ» операциям WSDL-сервисов».