Небанковская кредитная организация закрытое акционерное общество «НАЦИОНАЛЬНЫЙ РАСЧЕТНЫЙ ДЕПОЗИТАРИЙ» Инструкция по подключению к WEB сервисам НРД с использованием TLS соединения Москва, 2013 © Небанковская кредитная организация закрытое акционерное общество "Национальный расчетный депозитарий" Под термином «подключение к WEB сервисам НРД» имеется в виду подключение к ним локального рабочего места Системы электронного документооборота НРД (далее - ЛРМ СЭД НРД) ПО Луч в режиме «WEB канала» с использованием технологии TLS или с использованием системы «Корвет-ММВБ» как для электронного взаимодействия (промышленный контур), так и для целей тестирования (тестовый контур) или подключение к ЛРМ СЭД НРД «WEB доступ» в тех же контурах. 1. Для подключения к каналу WEB-сервиса НРД через TLS необходимо установить и настроить средства криптографической защиты (далее - СКЗИ). Подробно процесс получения СКЗИ описан на сайте ОАО «Московская Биржа» в разделе: http://ca.micex.ru/sed/viewCatalog.do?menuKey=62, порядок настройки СКЗИ описан на сайте Московской Биржи в разделах Текущая версия (квалифицированные сертификаты) и Текущая версия (неквалифицированные сертификаты). Для работы с WEBсервисом в тестовом и промышленном контурах НРД требуются следующие СКЗИ: 1.1 При использовании сертифицированных СКЗИ, квалифицированных сертификатов ключей проверки электронной подписи (далее – СКПЭП ГОСТ или сертификаты ГОСТ): криптопровайдер Валидата CSP при этом обязательными для установки являются следующие опции: - библиотека совместимости с СКЗИ СКАД Сигнатура; - биологический ДСЧ; - считыватель Съемный диск; - утилита преобразования ключей. - поддержка TLS; программный комплекс «АПК клиент ММВБ Справочник сертификатов» v4.0-26801 для 32bit или 64bit в зависимости от ОС, установленной на компьютере (для 64bit ОС устанавливаются Справочники сертификатов 32bit и 64bit); для корректной работы Справочника сертификатов необходимо загрузить и выполнить Файлы модификации реестра MS Windows для ПК ”Справочник сертификатов” (XCS), за исключением файла xProfileOFF.reg; В случае использования тестового контура: тестовый криптографический ключ и СКПЭП криптосервера НРД с областью действия «Тестовый электронный документооборот», используемые при обеспечении депозитарной/клиринговой/репозитарной деятельности. Получается клиентом только в НРД; В случае использования промышленного контура: криптографический ключ и СКПЭП криптосервера НРД с областью действия «Электронный документооборот НКО ЗАО НРД» (владелец сертификата Председатель Правления НРД Астанин Э.В.), используемые при обеспечении депозитарной/клиринговой/репозитарной деятельности для промышленного контура. Собственный криптографический ключ получается клиентом в ОАО «Московская Биржа» или генерируется самостоятельно. СКПЭП криптосервера НРД добавляет- © Небанковская кредитная организация закрытое акционерное общество "Национальный расчетный депозитарий" ся в папку «Сертификаты» «АПК клиент ММВБ Справочник сертификатов» по установленной процедуре. 1.2 При использовании несертифицированных СКЗИ, неквалифицированных сертификатов (RSA): программный комплекс (ПК) «Справочник сертификатов» (RCS) v4.0-267-12 для корректной работы Справочника сертификатов необходимо загрузить и выполнить Файлы модификации реестра MS Windows для ПК ”Справочник сертификатов” (RCS), за исключением файла rProfileOFF.reg; В случае использования тестового контура: тестовый криптографический ключ и СКПЭП криптосервера НРД с областью действия «Тестовый электронный документооборот», используемые при обеспечении депозитарной/клиринговой/репозитарной деятельности, получается клиентом только в НРД; В случае использования промышленного контура: криптографический ключ и СКПЭП криптосервера НРД с областью действия «Электронный документооборот НКО ЗАО НРД» (владелец сертификата НКО ЗАО НРД), используемые при обеспечении депозитарной/клиринговой/репозитарной деятельности, получается клиентом в ОАО «Московская Биржа» или генерируется самостоятельно. 2. После установки СКЗИ необходимо обеспечить перенос криптографических ключей в системное хранилище WINDOWS для организации защищённого TLS соединения с WEB сервером НРД. Для этого необходимо запустить ПК “Справочник сертификатов”, и воспользоваться пунктом меню “Сервис- >Экспортировать сертификаты в системное хранилище ”. Необходимо убедится, что Ваши сертификаты перенесены в системное хранилище сертификатов WINDOWS. Для этого необходимо вызвать в главном меню WINDOWS Пуск>Панель управления->Свойства обозревателя. На открывшейся форме необходимо выбрать закладку «Содержание» и нажать кнопку “Сертификаты”. © Небанковская кредитная организация закрытое акционерное общество "Национальный расчетный депозитарий" В открывшемся окне проверьте перенос сертификатов в системное хранилище WINDOWS. Сертификаты должны быть перенесены в закладку “Личные” системного хранилища Кроме того, в закладке “Доверенные центры сертификации” должен появиться сертификат центра сертификации тестового удостоверяющего центра Московская Биржи для тестового контура или удостоверяющего центра Московская Биржи для промышленного контура. © Небанковская кредитная организация закрытое акционерное общество "Национальный расчетный депозитарий" Также необходимо убедится в переносе списка отозванных сертификатов в системной консоли WINDOWS. Для вызова консоли наберите mmc в командной строке WINDOWS и добавьте оснастку сертификатов. Наличие списка отозванных сертификатов можно проверить аналогично экрану ниже: Во избежание проблем при взаимодействии через ЛРМ СЭД НРД «WEB-доступ» необходимо выполнить настройки интернет-обозревателя. 1. Внести узел в список надежных; 2. Включить параметр «Использование элементов управления ActiveX, не помеченных как безопасные для использования» в параметрах безопасности зоны надежных узлов. © Небанковская кредитная организация закрытое акционерное общество "Национальный расчетный депозитарий" 3. В браузере должны быть разрешены cookies, в противном случае пользовательские настройки таблиц не будут сохранены. Указанные настройки в интернет-обозревателе Microsoft Internet Explorer (далее - IE) версии 7.0 выполняются следующим образом: 1. Найдите необходимую ссылку в таблице приведенной ниже в зависимости от типа криптографии (ГОСТ или RSA) и контуров, в которых вы будете работать (промышленный – ПРОМ или тестовый – ТЕСТ) Выберите в меню интернет-обозревателя пункт «Сервис» → «Свойства обозревателя» (Рис. 1). Рис. 1. Меню Интернет-обозревателя На закладке «Безопасность» формы «Свойства обозревателя» выберите «Надежные узлы» и нажмите кнопку «Узлы» (Рис.2) © Небанковская кредитная организация закрытое акционерное общество "Национальный расчетный депозитарий" Рис. 2. Закладка «Безопасность» формы «Свойства обозревателя» © Небанковская кредитная организация закрытое акционерное общество "Национальный расчетный депозитарий" 2. В форме «Надежные узлы» (Рис. 3.) необходимо снять галку «Для всех узлов этой зоны требуется проверка серверов (https:)», если она включена. Рис. 3. Форма «Надежные узлы» В строке «Добавить в зону следующий узел» автоматически выставится правильный адрес, соответствующий начальной части адреса страницы WEB-доступа. Нажмите кнопку «Добавить», затем кнопку «Закрыть». 3. На закладке «Безопасность» формы «Свойства обозревателя», куда Вы вернулись, и где выбрана зона «Надежные узлы», нажмите кнопку «Другой…» в области «Уровень безопасности для этой зоны». В открывшейся форме «Параметры безопасности зона надежных узлов» (Рис. 4) установить флаг «Включить» для параметра «Использование элементов управления ActiveX, не помеченных как безопасные для использования». (Обратите внимание на название параметра, поскольку в перечне параметров есть похожие названия). © Небанковская кредитная организация закрытое акционерное общество "Национальный расчетный депозитарий" Рис. 4. Форма «Параметры безопасности - зона надежных узлов» Нажмите кнопку «ОК». Подтвердите изменение настроек зоны в ответ на запрос (нажатием кнопки «Да»). Нажмите кнопку «Применить», затем закройте форму «Свойства обозревателя». 4. Выбрать закладку «Дополнительно» и убедиться, что настройки SSL и TLS установлены как в окне ниже. © Небанковская кредитная организация закрытое акционерное общество "Национальный расчетный депозитарий" Рис. 5. Закладка «Дополнительно» формы «Свойства обозревателя» Внимание! Проверьте включение опции «Поддержка TLS». Как правило в ОС Win 7 эта опция запускается автоматически, для ОС XP возможна необходимость запуска данной опции из меню: «Пуск-Все программы-папка Валидата CSP- Программа монитора TLS». При подключении к «WEB-доступу» НРД с использованием IE через TLS, необходимо добавить URL «WEB-доступа» в список доверенных узлов на вкладке «Безопасность» и убедиться, что отключено блокирование всплывающих окон на вкладке «Конфиденциальность». 4. Выполнить процедуры настройки ПО Луч (в режиме Луч on-line) для работы через TLS соединение в тестовом или промышленном контурах используя следующие данные таблицы (эти данные приведены также в Анкете НРД для ЭДО на сайте НРД как для сертифицированных СКЗИ (ГОСТ), так и несертифицированных СКЗИ (RSA). © Небанковская кредитная организация закрытое акционерное общество "Национальный расчетный депозитарий" Приложение WEB доступ (ПО Аламеда) WEB доступ (ПО Аламеда) Новый Web сервис депозитария (репозитария) Новый Web сервис депозитария (репозитария) WEB кабинет репозитария WEB кабинет репозитария Web сервис (старый) только через Корвет Web сервис (старый) через TLS Web сервис (старый) через TLS WEB доступ (ПО Аламе- Контур Используемые ключи для соединения https Версия ПО Луч (Луч online) URL-адрес ПРОМ Промышленный контур RSA https://edor.nsd.ru/Alameda/ ПРОМ ГОСТ https://edog.nsd.ru/Alameda/ ПРОМ RSA 10.0 https://edor.nsd.ru/onyxpr/WslService ПРОМ ГОСТ 10.0 https://edog.nsd.ru/onyxpr/WslService ПРОМ RSA https://edor.nsd.ru/lkr/ ПРОМ ГОСТ https://edog.nsd.ru/lkr/ ПРОМ ГОСТ 9.3 http://rayonline.ndc.ru:8080/WsLouch/WslServic e ПРОМ RSA 9.3 https://edor.nsd.ru/WsLouch/WslService ПРОМ ГОСТ 9.3 https://edog.nsd.ru/WsLouch/WslServic e ТЕСТ Тестовый контур RSA для PL https://rsa.nsd.ru/Alameda/ © Небанковская кредитная организация закрытое акционерное общество "Национальный расчетный депозитарий" да) WEB доступ (ПО Аламеда) Новый Web сервис депозитария (репозитария) Новый Web сервис депозитария (репозитария) WEBкабинет репозитария WEBкабинет репозитария ТЕСТ ГОСТ для PL ТЕСТ RSA для PL 10.0 https://rsa.nsd.ru/onyxpl/WslService ТЕСТ ГОСТ для PL 10.0 https://gost.nsd.ru/onyxpl/WslService ТЕСТ RSA для PL https://rsa.nsd.ru/lkr/ ТЕСТ ГОСТ для PL https://gost.nsd.ru/lkr/ https://gost.nsd.ru/Alameda/ Для работы ЛРС СЭД НРД ПО Луч в режиме «on-line» через TLS соединение необходимо, используя меню «Администрирование - Параметры - закладка Ввод-вывод» поставить опцию (точка) в чек-бокс «WEB канал» и в строке «Адрес (Url)» прописать ссылку соответствующую типу криптографии используемой для работы с НРД (ГОСТ или RSA) из вышеуказанной таблицы (например, для сертифицированных СКЗИ (ГОСТ) см. скриншот ниже). © Небанковская кредитная организация закрытое акционерное общество "Национальный расчетный депозитарий" Если подставить данную ссылку в IE, то при правильной настройке вы увидите страницу с надписью «WEB Service», что означает успешную установку https- соединения с Web сервисом НРД. Далее в ЛРС СЭД НРД ПО Луч запустите процедуру получения документов. При выполнении процедуры в ЛРМ СЭД НРД «WEB-доступ» через TLS соединение к НРД, используя IE (настройки его указаны выше в п.2) и ссылку, указанную в таблице, выполняете вход на первую страницу ЛРМ СЭД НРД «WEB-доступ». © Небанковская кредитная организация закрытое акционерное общество "Национальный расчетный депозитарий" © Небанковская кредитная организация закрытое акционерное общество "Национальный расчетный депозитарий"