22 июля, воскресенье 17:28
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

АРМ КБР-Н Пусконаладка

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Федор Евгеньевич Посмотреть сообщение
    Коллеги, подскажите пожалуйста. Правильно я понимаю, что мы должны проставлять ЗК для каждого платежа в пакете, а далее сформировать служебный конверт с КА?

    Есть ли какое - то описание, как проставлять ЗК и КА?
    Да, вы все правильно понимаете. ЗК на каждое ЭС внутри пакета и КА на сам пакет.
    Описание технологии
    http://www.cbr.ru/analytics/?Prtid=Formats&ch= - альбомы УФЭБС
    Вам нужен альбом "Защита_ЭС.pdf

    Комментарий


    • Федор Евгеньевич
      Да, всё верно. Это 3 вариант защиты. Описание в УФЭБС_2017_4_0_Защита_ЭС.doc

      Комментарий


      • Всем спасибо!

        Комментарий


        • Доброго времени суток!
          Подскажите, пожалуйста, следующее... Буду очень признательна!

          Для оператора в АРМ КБР Н есть 2 профиля, в которые помещены ключи для ЗК и КА, соответственно.
          Админом в АРМ КБР Н указываю OID ключа ЗК(CN=PROCESSING)

          При запуске АРМ КБР Н проверка КА выполняется успешно, а для ЗК- в лог выводит, что подпись недостоверна.

          Вопрос в следующем:
          Обязательно ли указывать OID расширенной области применния ключа CN=ARMKBRN (6.1.4.1.3670.5.10.120)
          Это основополагающий момент?

          Заранее премного благодарна

          Комментарий


          • Создайте в АРМ КБР-Н файлы с ЗК для АРМ РКС и произвести там проверку подписи

            Комментарий


            • badik
              КБР-Н не проставляет ЗК.

              Комментарий


              • ZaplatkinaM
                Если у вас выходит "Проверка ЗК: Подпись недостоверна", то, скорее всего, сертификат у вас подчитывается нормально, но сама проверка не проходит. У нас такая ошибка была до тех пор, пока не подобрали подходящий алгоритм преобразований xml-структуры подписываемых ЭД. То есть результат нормализации в АРМ не совпадал с тем вариантом документа, который мы подписывали.

                Комментарий


                • Файлы для АРМ РКС (ЗК) ,после обработки в АРМ КБР-Н, содержат то что подписывается после преобразования
                  необходимо сравнить с набором подписываемых данных из вашей программы.
                  и AF22 прав что:
                  Сообщение от AF22 Посмотреть сообщение
                  То есть результат нормализации в АРМ не совпадал с тем вариантом документа, который мы подписывали

                  Комментарий


                  • Тестирование КБР-Н успешно прошли.
                    Проблему с нормальизацией (n1) решили с использованием библиотеки uarmCommon.Tools.dll, входящей в комплект КБР. В ней находится функция Transformator.SAX.transform(inStream, outStream), которая прекрасно встраивается в проект на C#. Такой подход дает 100% гарантию, что после трансформации у КБР получится точно такой же набор байт поэтому проблем с проверкой подписи не будет. Тем же самым перекрываются любые возможные изменения в алгоритме преобразований в новых версиях КБР.

                    Комментарий


                    • Сообщение от Андрей_ppp Посмотреть сообщение
                      Тестирование КБР-Н успешно прошли.
                      Ещё раз поздравляю...
                      Сообщение от Андрей_ppp Посмотреть сообщение
                      решили с использованием библиотеки uarmCommon.Tools.dll, входящей в комплект КБР
                      Отличная идея...

                      Комментарий


                      • AF22
                        Спасибо большое!

                        Комментарий


                        • АРМ КБР-Н заработал и у меня.
                          Как и ожидалось, атрофировался АРМ КБР.
                          (оба тестовые)
                          Точно не знаю зачем, но очень хотелось бы держать "живым" (хотя бы до июля 2018) и АРМ КБР.
                          Видно, что многие коллеги уже добились этого.
                          Некоторые вообще обходятся (обошлись) только АРМ КБР-ом (наверное тоже до июля 2018), но только уже в нескольких (3-х ?) экземплярах.

                          Может ли кто-нибудь поделиться "инструкцией по настройкам АРМ КБР-ов", примерно такой :
                          1-й экземпляр = Оператор, OID 15, в папку xxx выкладываем "голые" ЭС, в папке yyy формирует ЭС с ЗК
                          2-й экземпляр = Контролер, OID 16, из папки yyy забирает ЭС с ЗК, в папке zzz формирует ЭС с КА
                          3-й экземпляр = Контролер, OID 120, из папки cli забирает ЭС с КA и в папке out формирует СК, который надо подложить СВК(УТА), из папки inc забирает полученные от СВК(УТА) СК, результат обработки в папке rcv


                          Комментарий


                          • АРМ КБР использует обмен через папки
                            Сам я не пробовал, но из писем из банка, мне понятно что можно работать с АРМ КБР на одной машине из разных папок

                            Создаем несколько профилей сигнатуры под одной учеткой.
                            настраиваем создаем для каждой роли отдельную папку с АРМ КБР и настраиваем в ней персонально конфигурацию под админом
                            Операционист при запуске каждого экземпляра АРМ КБР выбирает нужный профиль, ключ для профиля нужен один раз при загрузке, потом хранится в памяти.
                            Это должно работать.

                            Комментарий


                            • Добрый день.
                              Подскажите, как правильно оформить заявку в местное ТУ на получение тестовых ключей для АРМ КБР-Н?
                              Ну а если будет возможность прикрутить готовый вордовский файлик - вообще замечательно!

                              Комментарий


                              • Сообщение от Dimitrich Посмотреть сообщение
                                Подскажите, как правильно оформить
                                Вот так нам выдали (и без вопросов).

                                Уважаемый xxx !

                                Прошу выдать ключевые носители для тестирования АРМ КБР-Н :
                                1. CN=PROCESSING
                                OID расширенная область применения ключа -1.3.6.1.4.1.3670.5.10.15
                                Область применения ключа: Электронная подпись.
                                2. CN=CONTROL
                                OID расширенная область применения ключа -1.3.6.1.4.1.3670.5.10.16
                                Область применения ключа: Электронная подпись.
                                3. CN=ARMKBRN
                                OID расширенная область применения ключа -1.3.6.1.4.1.3670.5.10.120
                                Область применения ключа: Шифрование ключа, Шифрование данных.

                                Приложение: Гибкие магнитные диски № FLx1 ДСП -1 шт.
                                № FLx2 ДСП -1 шт.
                                № FLx3 ДСП -1 шт.


                                xxxx A.B. Cccccccc



                                Исп. X.Y. Zzzzzz
                                Тел.: 999999


                                Комментарий


                                • Сообщение от idelta Посмотреть сообщение
                                  ......3-й экземпляр .....
                                  КМК, в кач-ве(вместо) 3-го экзкмпляра АРМ КБР (этап шифрования) вполне уже можно использовать АРМ КБР-Н. Это как раз его функциональное место.
                                  Последний раз редактировалось saches; 14.10.2017, 14:06.

                                  Комментарий


                                  • Сообщение от saches Посмотреть сообщение
                                    КМК, в кач-ве(вместо) 3-го экзкмпляра (шифрование) вполне можно(нужно) использовать АРМ КБР-Н. Это как раз его функциональное место.
                                    Не уверен, что можно(нужно)... АРМ КБР-Н.
                                    Вы здесь уже очень коротко "побеседовали" с одним коллегой и он ответил, что "всё сделано с АРМ-КБР".
                                    Это может означать, что минимум до июля 2018 можно жить только с АРМ КБР (включая тестирование 3-го варианта) и "работать над АРМ КБР-Н".
                                    Вот с этим я и пытаюсь разобраться, несмотря на успешный зонд с АРМ КБР-Н.

                                    Есть отличный документ "Inf_Mci_82(2017).pdf".
                                    Я его уже читал !
                                    Понял, что надо было не читать, а изучать !!!
                                    1. Комплект ключей для АРМ КБР-Н не подойдёт, у АРМ КБР свои...

                                    Есть сомнения по началу Приложения № 3, где рекомендации по установке АРМ КБР...
                                    "На практике" увидел это :
                                    2. Невозможно установить АРМ КБР "в разные директории"
                                    (то есть оно ставится, но стирает многое из "предыдущей" директории, которую берёт из реестра, в котором всегда только 1 АРМ КБР (тот, который устанавливался последним))
                                    Но как-бы "установил" 2 АРМ КБР-а таким образом в разные папки, потом вручную восстановил "предыдущую" установку.
                                    Последовательно настроил оба экземпляра (1-й оператором, 2-й контролером) и стал "запускать" :
                                    3. Невозможно в принципе запустить более 1 экземпляра АРМ КБР (ни под одним, ни под разными пользователями)
                                    (но при желании разработчик мог бы и позволить это нам-пользователям... иначе одной машиной не обойтись или виртуализация)
                                    Если я не ошибся, то хорошо бы дождаться 3.9.3 и как можно быстрее, с парой "исправлений" :
                                    - во время установки, в случае указания папки, в которой не обнаружен АРМ КБР, не искать и не портить предыдущую установку
                                    - убрать проверку на наличие экземпляра в памяти при запуске
                                    Это конечно маловероятно, но если всё это так, то можем и написать им...

                                    Коллеги, кто-нибудь ещё пробовал ?
                                    Я ошибся где-то в чем-то ?

                                    Комментарий


                                    • Я тоже ошибся что можно запускать несколько экземпляров АРМ КБР из разных папок:
                                      код зашитый в uarmCore\uarmCore.cs только один раз и все:

                                      PHP код:
                                         bool createdNew false;
                                              
                                      uarmCore.mtxSingleton = new Mutex(trueuarmRes.get_Product(), out createdNew);
                                              if (!
                                      createdNew)
                                                throw new 
                                      ApplicationException("Может быть запущен только единственный экземпляр АРМ"); 

                                      АРМ КБР и АРМ КБР-Н имеют разные get_Product поэтому могут запускаться вместе.

                                      Комментарий


                                      • Сообщение от badik Посмотреть сообщение
                                        Я тоже ошибся
                                        Это "хорошо", теперь min 2-е попробовали.

                                        ЦБ-шные dev-ы сюда не ходят или м.б. "тайно", общаются с "малокалиберными" КО почти никак...

                                        Значит пробуем >1 машины или виртуализацию ?
                                        (а ведь при желании могли бы и сделать...)

                                        Комментарий


                                        • idelta
                                          По поводу письма "Inf_Mci_82(2017).pdf", я так понимаю оно касается не всех(Московский регион), по крайней мере пока. По Самарской области рассылки такого письма не было.
                                          1. Исходя из письма, да, ключи нужны свои.
                                          2. Я лично делал копированием исходной папки, без повторной установки.
                                          3. Всё так и есть, 2 экз запустить не получилось.

                                          Комментарий


                                          • Сообщение от Nemo_Nigil Посмотреть сообщение
                                            я так понимаю оно касается не всех(Московский регион), по крайней мере пока. По Самарской области
                                            Это и меня тогда сбило с толку...
                                            Но всё, что есть в нем по-моему верно для всех.
                                            Позже это(такое же) письмо было-таки разослано нашим ТУ.
                                            (мы на 1200км ниже Вас, это если по Волге...)

                                            Комментарий



                                            • idelta, не совсем понятно для чего вообще пробовать настраивать такую схему работы?
                                              ЦБ не просто так выносят подпись документов в АБС, главное что бы исключить неподписаный файловый обмен, но при этой схеме все равно остается входная папка, куда можно положить чистый файл и он обработается роботами. Это ничем не отличается от того что было. При том, что автоматизировать процесс правильно не сложно.

                                              Комментарий


                                              • Сообщение от Nemo_Nigil Посмотреть сообщение
                                                idelta
                                                По поводу письма "Inf_Mci_82(2017).pdf", я так понимаю оно касается не всех(Московский регион), по крайней мере пока. По Самарской области рассылки такого письма не было.
                                                1. Исходя из письма, да, ключи нужны свои.
                                                2. Я лично делал копированием исходной папки, без повторной установки.
                                                3. Всё так и есть, 2 экз запустить не получилось.
                                                Сори, не понял , что значит нужны ключи свои?
                                                Как и ранее используем ключи которые вы получаете в своем отделении в рамках договора об эл.обмене, либо в МЦОИ ( если вы КО г.Москва)

                                                Комментарий


                                                • veritas
                                                  Исходя из контекста сообщения коллеги idelta. Имелось ввиду, что для АРМ КБР и КБР-Н разные ключи.

                                                  Комментарий


                                                  • Сообщение от Андрей_ppp Посмотреть сообщение
                                                    .......не совсем понятно для чего вообще пробовать настраивать такую схему работы?........
                                                    Есть требование ЦБ о формировании ЗК/КА в ЭС банками самостоятельно. Есть информационное письмо ЦБ, где сказано, что АРМ КБР можно установить на одной машине в разные каталоги. Надо коллегам спасибо сказать, что они тратят собственное время и делятся результатами о [не]работоспособности предложенного ЦБ варианта работы с 3-им вариантом защиты. Если у Вас уже все работает, можете поделиться об этом информацией, или даже какими-то идеями/исходниками/утилитами. Скорее всего, Вам за это спасибо скажут.
                                                    И давайте не будем выносить друг-другу мозги абсолютно не нужными риторическими вопросами. В общем-то, все уже сами в состоянии определиться как и что им удобнее делать.

                                                    Комментарий


                                                    • Сообщение от saches Посмотреть сообщение
                                                      или даже какими-то идеями/исходниками/утилитами
                                                      Идею свою уже высказывал. Спасибо сказали.

                                                      Сообщение от saches Посмотреть сообщение
                                                      не будем выносить друг-другу мозги
                                                      Вот что я хотел делать в последнюю очередь на этом сайте, так это выносить мозг. Просто хотел понять ход мыслей коллег...

                                                      По теме: Я поднял 2 SOAP шлюза, на разных портах с разными WSDL схемами. Скомпилирова 2 консольных приложения, каждое из которых при запуске спрашивает профиль. Соответсвенно тут 2 варианта:
                                                      1. Сделать несколько профилей под одинм пользователем и оперировать профилями
                                                      2. Сделать один профиль под разными пользователями, и запускать от имени...

                                                      Одно приложение работает для простановки КА (методы setKA и checkKA)
                                                      Второе приложение для простановки ЗК (методы setZK и checkZK)
                                                      Протоколирование работы приложений - по вкусу

                                                      Далее все просто. Используем любой язык программирования для общения с SOAP шлюзами. Мы используем Java.

                                                      Для безопасности оба шлюза слушают localhost

                                                      Комментарий


                                                      • Андрей_ppp
                                                        Ну круто, если уже все работает. На Git не планируете какие-либо исходники выкладывать?
                                                        И вопросами лицензирования и/или контроля встраивания СКЗИ Вы или Ваши ИБ-шники не озадачивались?
                                                        Последний раз редактировалось saches; 16.10.2017, 16:32.

                                                        Комментарий


                                                        • Сообщение от saches Посмотреть сообщение
                                                          На Git не планируете какие-либо исходники выкладывать?
                                                          вообще не планировал, но если дадите почту скину. мне не жалко

                                                          Сообщение от saches Посмотреть сообщение
                                                          вопросамы лицензирования
                                                          вроде нет но наша служба ИБ в курсе этих приложений.

                                                          Комментарий


                                                          • Сообщение от Андрей_ppp Посмотреть сообщение
                                                            не совсем понятно для чего вообще пробовать настраивать такую схему работы?
                                                            Сообщение от Андрей_ppp Посмотреть сообщение
                                                            Просто хотел понять ход мыслей коллег..
                                                            Попробую изложить ...

                                                            Субъективно :
                                                            - КБР надежная, проверенная лошадь.
                                                            Но вроде жить будет только до июля 2018-го.
                                                            - КБР-Н ослик с "большими перспективами"...
                                                            - в КБР "от автора" заложено создание любого ED и это иногда выручало...
                                                            - КБР полностью отслеживало "судьбу" всех платежей, теперь всё надо переложить на АБС...
                                                            ...

                                                            Как-бы объективно :
                                                            - КБР был допилен до состояния, в котором его можно использовать аж до июля 2018-го.
                                                            Зачем, если уже есть КБР-Н ?
                                                            Я понял это как положительный сигнал от ЦБ всем участникам, что давить сроками не будут.
                                                            С каждым участником будут работать индивидуально, по мере готовности...
                                                            По-моему, срока "до 31.12.2017-го АРМ КБР-Н" также нет,
                                                            есть "...надеемся на завершение этого перехода до конца 2017-го...".

                                                            Мне показалось, что если сейчас наладить также работу с КБР,
                                                            то получу две тестовые дорожки в ПС БР :
                                                            - одну проверенная
                                                            - другую ещё непроверенную
                                                            Может где-то что-то и не так понимаю...

                                                            Комментарий


                                                            • idelta, теперь все ясно!. спасибо за подробное обьяснение.

                                                              мне видится это немного по другому.
                                                              Я отношусь к КБР-Н как к полностью готовому продукту (если там и есть недоработки, то их скоро устранят, благодаря нашему тестированию. Например я уже написал в наше ТУ, что нельзя удалить текущий ПВО если он поврежден. Т.е. если что-то случиться с текущим ПВО до работа КБР-Н будет заблокирована на сутки, что является бредом. Мне ответили, что действительно это не правильно, и обещали мое обращение довести до разработчиков.)
                                                              Так же нам дали XSD схемы. надо лишь свалидировать документ перед его подписанием и тем самым убедиться с правильном синкаске. Да, логику на этом уровне не проверишь, но ошибка придет через пару минут после отправки. Так что в этом я тоже проблем не вижу.
                                                              Как я говорил, мы используем Java. Не знаю как в других языках (уверен, что что-то подобное есть и в других языках) но в Java есть JAXB. Который позволяет перенести всю XSD в код, например создание ED999 будет выглядеть так:
                                                              Код:
                                                              ED999 ed = new ED999();
                                                              ed.setEDNo(new BigInteger("NNNNN"));
                                                              ed.setEDAuthor("ХХХХХХ");
                                                              Это достаточно просто и позволяет не углубляться в синтаксис XML, а сосредоточиться на данных.
                                                              Обновление схем - пара минут
                                                              Создание любого ED, даже если оно нужно только для тестирования - 5 минут.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X