Приведенная ниже инструкция позволяет создать защищенное соединение для работы с веб-сервисами ГИС ЖКХ.
Для создания защищенного соединения, обеспечивающего работу с веб-сервисами ГИС ЖКХ необходимо:
1. Скачать и установить СКЗИ КриптоПро CSP. Необходимо использовать лицензионную версию КриптоПро CSP (не демо). Для загрузки дистрибутива потребуется регистрация на сайте https://www.cryptopro.ru.
2. С помощью встроенной в ОС Windows оснастки "Сертификаты" экспортировать сертификат, полученный для установки защищенного соединения с ГИС ЖКХ (без закрытого ключа) в формат DER.
3. Скачать КриптоПро Stunnel (https://www.cryptopro.ru) и зарегистрировать службу путём запуска из командной строки cmd:
stunnel.exe –install
В дальнейшем служба для старта будет использовать файл stunnel.exe, расположенный в папке, из которой был установлен.
4. Скопировать контейнер с закрытым ключом в хранилище компьютера и установить сертификат из него. Для того, чтобы перенести контейнер в хранилище компьютера необходимо в КриптоПро CSP на вкладке “Сервис” нажать кнопку “Копировать” и выбрать необходимый контейнер. В следующем окне ввести новое имя контейнера и установить переключатель в позицию “Компьютер”. После этого установить сертификат при помощи кнопки “Посмотреть сертификат в контейнере” на вкладке “Cервис”, так же установив переключатель в положение “Компьютер”. Если поле “Компьютер” не активно необходимо запустить КриптоПро CSP c правами Администратора. Контейнер должен быть без пароля, либо пароль должен быть сохранен в конфигурационном файле.
5. Создать файл C:\WINDOWS\system32\stunnel.conf следующего вида:
output=C:\stunnel.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
[https]
client = yes
accept=localhost:8080
connect = api.dom.gosuslugi.ru:443
cert=C:\clent.cer
verify=2
pincode =12345678
- директивы output и verify устанавливают путь к файлу журнала и уровень протоколирования;
- директива cert устанавливает путь к сертификату, полученному в п.2;
- директива verify задаёт режим проверки сертификата удалённого компьютера:
0 — Игнорировать сертификат
1 — Проверять сертификат если есть
2 — Всегда проверять сертификат - директива pincode задает PIN - код контейнера.
6. Проверить доступность порта 8080, запустив из командной строки cmd:
netstat –an
Если порт нигде не фигурирует, значит можно использовать его.
7. Запуск, остановка и изменение параметров запуска службы осуществляются через стандартную оснастку управления службами (services.msc).
Для проверки защищенного соединения необходимо в адресной строке браузера Internet Explorer ввести адрес: http:// localhost:8080. Отображение страницы веб-сервиса ГИС ЖКХ подтверждает корректную работу криптотуннеля.
Установка и настройка обмена с порталом ГИС ЖКХ требует высокой квалификации системного администратора, понимание принципа работы Windows Server, криптопровайдеров, электронно-цифровых подписей, криптотуннелей. Если у Вас возникли трудности с подключением, обратитесь в нашу компанию, мы обязательно поможем.