Инструкция по установке системы сбора статистической отчетности в электронном виде 2 02] 2008 год - korshu.ru o_O
Главная
Поиск по ключевым словам:
страница 1
Похожие работы
Название работы Кол-во страниц Размер
Инструкция по настройке браузера Internet Explorer для работы с системой... 1 40.44kb.
Инструкция по установке сайта для iis6 3 2 Инструкция по установке... 1 210.09kb.
Инструкция по установке сайта для iis6 5 Инструкция по установке... 1 113.46kb.
Инструкция по установке сайта для iis6 2 2 Инструкция по установке... 1 154.42kb.
1. В списке регламентированной отчетности нет отчетности по ндфл... 1 222.48kb.
Инструкция по установке видео на сайты образовательных учреждений 1 38kb.
Тариф ОАО «промэнергобанк» к договору о предоставлении физическим... 1 37.83kb.
Инструкция по установке и настройке антивируса avg 1 19.96kb.
Инструкция по установке «максима электроникс» 1 74.09kb.
Проверить наличие следующих документов паспорт одного из законных... 1 11.34kb.
1. Минимальные требования к компьютеру 1 237.96kb.
Порядок предоставления в собственность, аренду земельных участков... 1 154.22kb.
Инструкция по работе с сервисом «sms-платеж» 1 218.94kb.

Инструкция по установке системы сбора статистической отчетности в электронном виде - страница №1/1




руководство администратора

Единая система сбора отчетности
Инструкция по установке системы сбора статистической отчетности в электронном виде

1.2 [0.02]


2008 ГОД

Содержание

Введение 4

Документация по системе 4

Обзор 5

Соглашения 5

Терминология 6

Список сокращений 6

Введение в систему 6

Архитектура системы 7

Необходимые условия 8

Требования к квалификации специалиста 8

Аппаратное обеспечение 8

Требования к аппаратному обеспечению Web-сервера 8

Требования к аппаратному обеспечению сервера баз данных 8

Требования к аппаратному обеспечению клиентского рабочего места 8

Программное обеспечение 8

Требования к программному обеспечению Web-сервера 8

Требования к программному обеспечению сервера баз данных 9

Требования к программному обеспечению клиентского рабочего места 9

Порядок установки 9

Настройка сети 10

Развертывание баз данных 11

Установка подсистемы Online сбора 14

Установка Системы управления сбором и Интеграционного ядра 17

Приложения 23

Приложение 1 23

Формирование сертификата сервера 23

Развертывание центра сертификации 24

Отправка запроса на сертификат сервера 25

Выдача сертификата 26

Установка и проверка сертификата на Web-сервере 26

Введение требования подключений SSL на Web-сервере и их включение 27

Установка сертификата центра сертификации на клиенте 29

Приложение 2 30

Приложение 3 31

Приложение 4 33

Приложение 5 35

Подключение к базе данных 35

Настройка логирования 35

Настройка периодичности работы сервисов 36

Настройки SMTP сервера 37

Настройка папок 37

Проверка подписи ЭЦП 37






1

Введение


В данном руководстве описана процедура установки и настройки Системы сбора статистической отчетности в электронном виде (далее Система), являющейся компонентой Единой системы сбора, обработки, хранения и представления статистической отчетности (ЕССО).

Все операции, описанные в данном руководстве должны выполняться администратором системы, обладающим высокой квалификацией в области компьютерных технологий, пониманием основ построения компьютерных сетей, опытом администрирования операционных систем и баз данных. Подробно требования описаны в ч.2, «Необходимые условия», разделе «Требования к квалификации специалиста».


Документация по системе


Данная инструкция по установке является частью комплекта документации по системе. Она содержит ссылки на другие документы, в которых вы можете получить дополнительную информацию.

Комплект документации по системе включает следующие документы:



  • Пояснительная записка технического проекта Единой системы сбора, обработки, хранения и представления статистической отчетности;

  • Руководство администратора сбора статистической отчетности;

  • Инструкция по установке клиентского приложения «Формы статотчетности»;

  • Инструкция по установке УИС СТАТЕК.

Обзор


Инструкция по установке содержит следующие разделы:


    Введение

    Краткое описание системы, документации к системе, соглашений и терминов.

    Введение в систему

    Введение в основные компоненты системы, их назначение и взаимодействие.

    Необходимые условия

    Требования к аппаратному и программному обеспечению, квалификации специалистов и порядок установки системы.

    Настройка сети

    Требования к настройкам сети, в которой будет устанавливаться система.

    Развертывание баз данных

    Порядок установки баз данных системы (БД «Сбор» и БД Системы управления сбором) на сервере баз данных.

    Установка подсистемы Online сбора

    Порядок установки Web-приложения для подсистемы Online сбора на Web-сервере.

    Установка Системы управления сбором и Интеграционного ядра

    Описание развертывания Web-приложений Системы управления сбором и Интеграционного ядра на Web-сервере.



Соглашения


В данном руководстве используются следующие приемы выделения ключевой информации:


Обозначение

Назначение

Данные

Данные, выводимые системой (сообщения, вывод статистики); данные, вводимые пользователем; элементы программного интерфейса

ABC.txt

Имена файлов и папок (директорий)

Кнопка1

Наименования элементов пользовательского интерфейса; клавиш на клавиатуре, наименования подпунктов в разделах (меток)

МенюА > Пункт1 >
Пункт2


Цепочка команд, последовательно выбираемых пользователем из меню программы или вводимых с клавиатуры

Выделение

Выделение текста курсивом для привлечения внимания читателя

Примечание

Дополнительная информация или важное соглашение



Терминология


В таблице приведено описание терминов, встречающихся в документе:


Термин

Описание

Ввести, указать

Напечатать текст или числовое значение.

Выбрать

Выбрать команду меню, командную кнопку, элемент списка.

Снять отметку

Отменить установку флажка.

Установить, отметить

Установить флажок, переключатель.

Щелкнуть (на)

Нажать и тут же отпустить кнопку мыши (по умолчанию — левую).

Дважды щелкнуть (на)

Дважды быстро нажать и отпустить кнопку мыши (по умолчанию - левую)



Список сокращений


IIS

Microsoft Internet Information Services

SSL

Secure Sockets Layer

БД

База данных

ЕССО

Единая система сбора отчетности

СА

Системный администратор

ЭЦП

Электронная цифровая подпись

ЭВФ

Электронная версия формы

Часть

Введение в систему


Система состоит из следующих компонентов:

  • Система управления сбором: Web-приложение, предназначенное для создания и настройки рассылок форм отчетным организациям. Система управления сбором также позволяет осуществлять мониторинг и контроль сбора отчетности;

  • Online клиент заполнения ЭВФ: Web-приложение, позволяющее отчетным организациям заполнять формы через Интернет, в online-режиме;

  • Интеграционное ядро: компонент, осуществляющий передачу данных между БД Системы управления сбором, БД «Сбор» и Общей папкой СТАТЕК. Интеграционное ядро также обрабатывает протоколы проверки из СТАТЕК и инициирует рассылку уведомлений пользователям;

  • Модуль подписания ЭЦП: компонент, используемый при работе с ЭЦП, устанавливающийся на Web-сервер и позволяющий работать с сертификатами. В данный момент поддерживаются сертификаты, выпущенные КриптоПро CSP 3.0;

  • БД Системы управления сбором: база данных, в которой хранится вся информация по ведению сбора отчетности;

  • БД «Сбор»: база данных, в которой хранятся отчеты, заполненные через подсистему Online сбора;

  • Общая папка СТАТЕК: папка на файловом сервере СТАТЕК, к которому имеет доступ система обработки статотчетности СТАТЕК. В папку складываются отчеты на проверку в системе СТАТЕК, и откуда забираются протоколы с результатами проверки;

  • Offline-клиент: Windows-приложение «Формы статотчетности» разработки НИПИстатинформ, позволяющее заполнять формы на локальной машине пользователя без соединения к сети Интернет.

Архитектура системы


Схема взаимодействия компонентов системы приведена на Рис. 1.



Рис. 1. Высокоуровневая архитектура ЕССО

На сервер баз данных устанавливаются следующие компоненты:



  • БД Системы управления сбором,

  • БД «Сбор» (см ч.4, «Развертывание баз данных» для получения информации).



На Web-сервер устанавливаются следующие компоненты:

  • Online сбор (см. ч.5, «Установка подсистемы Online сбора» для получения информации),

  • Система управления сбором,

  • Интеграционное ядро (см. ч.6, «Установка Системы управления сбором и Интеграционного ядра» для получения информации).



Установка Offline-клиента производится на клиентские рабочие станции и описана в соответствующей инструкции по установке.

Файловый сервер Статек – сервер, на котором установлена система Статек. Установка обновления системы Статек описана в отдельном документе «Инструкция по установке УИС СТАТЕК».

Описание настройки SSL на Web-сервере приведено в Приложение 1.

Топология сети представлена в Приложение 2.


Часть


2

Необходимые условия

Требования к квалификации специалиста


Все операции по установке, описанные в данном руководстве, должны выполняться системным администратором (СА).

СА должен отвечать следующим квалификационным требованиям:



  • Высокая квалификация в области компьютерных технологий;

  • Опыт настройки компьютерных сетей (включая настройку брандмауэров и почтовых серверов);

  • Навыки администрирования ОС Windows;

  • Опыт настройки Microsoft IIS в части настройки Web-приложений;

  • Знание основ работы с Microsoft SQL Server.

Аппаратное обеспечение


В данном разделе приведены требования к аппаратному обеспечению Web-сервера, сервера баз данных, а также клиентского рабочего места.

Требования к аппаратному обеспечению Web-сервера


Процессор: 2хIntel Xeon 3,6 ГГц

Оперативная память: 2 Гб и более.

Свободное место на жестком диске: 72 Гб и более.

В рамках ЕССО для использования в качестве web-сервера в ТОГС поставляется сервер со следующими характеристиками:



Процессор: 2хIntel Xeon 3,6 ГГц

Оперативная память: 4 Гб .

Требования к аппаратному обеспечению сервера баз данных


Процессор: 2хIntel Xeon 3,6 ГГц

Оперативная память: 4 Гб и более.

Свободное место на жестком диске: 72 Гб и более.

Прочее: Ленточный накопитель для резервного копирования

В рамках ЕССО для использования в качестве сервера баз данных в ТОГС поставляется сервер со следующими характеристиками:



Процессор: 2хIntel Xeon 3,6 ГГц

Оперативная память: 8 Гб .

Внешняя дисковая подсистема : 14 (четырнадцать) жестких дисков IBM Ultra 320 SCSI 10000 RPM по 146 Gb каждый

Требования к аппаратному обеспечению клиентского рабочего места


Процессор: 433 МГц и выше.

Оперативная память: 128 Мб и более.

Свободное место на жестком диске: 100 Мб и более.

Программное обеспечение


В данном разделе содержится информация о программном обеспечении, которое должно быть установлено, и находиться в рабочем состоянии на компьютерах, где устанавливается система.

Требования к программному обеспечению Web-сервера


  • Операционная система Microsoft® Windows 2003 Server R2 Standard Edition;

  • Microsoft IIS 6.0, настроенный на работу с ASP.NET 2.0;

  • Microsoft .NET Framework 2.0;

  • КриптоПро CSP 3.0.

Требования к программному обеспечению сервера баз данных


  • Операционная система Microsoft Windows 2003 Server R2 Standard Edition;

  • Microsoft SQL Server 2005 Standard Edition.

Требования к программному обеспечению клиентского рабочего места


  • Операционная система Microsoft Windows 2000 Service Pack 4; Windows XP или Windows 2003;

  • Microsoft Internet Explorer 6.0 Service Pack 1 и выше;

  • Для работы с модулем подписания ЭЦП необходимо установить криптопровайдер, соответствующий используемому для подписания сертификату (например, КриптоПро CSP 3.0 или выше).

Порядок установки


Установка Системы сбора статистической отчетности в электронном виде производится в следующем порядке:

  1. Проверьте, что в операционной системе Web-сервера установлены следующие компоненты:

  • Microsoft IIS 6.0 (входит в комплект Windows2003 server);

  • Microsoft .NET Framework 2.0 (проверка правильности версии .NET Framework приведена в Приложение 3);

  • КриптоПро CSP 3.0.

    При отсутствии указанных компонентов – установите их. Дистрибутивы Microsoft .NET Framework 2.0 и КриптоПро CSP 3.0 (тестовая версия) распространяются вместе с дистрибутивами Системы.

  1. Проверьте, что MS IIS настроен на работу с ASP.NET 2.0 приложениями (см. Приложение 3, «Проверка версии .NET Framework» для получения информации об этой проверке).

  2. Проверьте, что в операционной системе сервера баз данных установлен Microsoft SQL Server 2005.

  3. Произведите настройку сети в соответствии с требованиями, перечисленными в ч. 3, «Настройка сети».

  4. Разверните БД «Сбор» и БД Системы управления сбором на сервере баз данных с помощью установщика, включенного в инсталляционный пакет (см. ч.4, «Развертывание баз данных»).

  5. Установите подсистему Online сбора на Web-сервере с помощью установщика, включенного в инсталляционный пакет (см. ч.5, «Установка подсистемы Online сбора»).

  6. Установите Систему управления сбором и Интеграционное ядро на Web-сервере с помощью установщика, включенного в инсталляционный пакет (см. ч.6, «Установка Системы управления сбором и Интеграционного ядра»).

Примечание

  • Работа пользователей по сбору и управлению отчетностью, а также по заполнению отчетности в режиме online (через подсистему Online сбора) осуществляется посредством Web-браузера. Установка компонента Offline-клиент, необходимого для заполнения отчетности в офлайновом режиме, описана в инструкции по установке данного компонента.

Часть


3

Настройка сети


Перед установкой системы необходимо произвести настройку сети, в которой она будет устанавливаться, в соответствии с:

  • Схемой топологии сети, представленной в Приложение 2 данного документа;

  • Следующими требованиями к настройкам сети:

  1. Доступ к Web-серверу из сети Интернет разрешен только по 443 порту (SSL). Описание настройки SSL на Web-сервере приведено в Приложение 1.

  2. SMTP-сервер:

  • настроен в соответствии с RFC 1912. Текст стандарта RFC 1912 доступен в сети Интернет по адресу http://rfc.net/rfc1912.html;

  • настроен на рассылку e-mail сообщений на внешние адреса по протоколу SMTP (25 порт);

  • открыт для Web-сервера по протоколу SMTP/POP3 (25, 110 порт).

    В качестве SMTP-сервера может быть использована соответствующая служба IIS – Виртуальный SMTP-сервер, устанавливаемый на web-сервере с установленной системой ЕССО. Описание установки виртуального SMTP-сервера приведено в Приложение 4.

  1. Для рассылки сообщений на внешние адреса для SMTP-сервера открыт доступ к DNS-серверу по протоколу TCP/UDP (53 порт).

  2. Доступ к серверу баз данных открыт:

  • для Web-сервера по протоколу TCP/IP (1433 порт);

  • из Intranet-сети по 1433 порту.

  1. Для Web-сервера открыт доступ к файловому серверу СТАТЕК обработки отчетов по протоколу TCP/UDP (порты 135, 137, 139, 445).

  2. Для администратора ЦА открыт доступ по протоколу RDP 3389 к серверу баз данных и Web-серверу.

Часть


3

Развертывание баз данных


Цель данного шага — развернуть БД «Сбор» и БД Системы управления сбором на сервере баз данных.

Установка выполняется путем запуска мастера установки. Перед началом установки убедитесь, что инсталляционный пакет находится на сервере баз данных, или доступен в локальной сети. Инсталляционный пакет должен включать в себя каталог db, содержащий инсталляционные данные для развертывания баз данных.



4


  1. В папке db инсталляционного пакета запустите файл setup.exe. Открывается мастер установки.



  1. Щелкните на кнопке Далее>. Мастер переходит на следующий шаг установки.



  1. Настройте параметры соединения с сервером баз данных (или оставьте установленные по умолчанию значения):

  • Укажите локальный адрес сервера БД в строке MS SQL Server 2005 сервер;

  • Укажите имя администратора SQL-сервера (по умолчанию — SA) в соответствующей строке;

  • Введите пароль администратора SQL-сервера в строку Пароль администратора;

  • Задайте каталог, в котором будут развернуты БД «Сбор» и БД Системы управления сбором, в строке Каталог расположения баз данных.

  1. Щелкните на кнопке Далее>. Мастер извещает вас о готовности к установке баз данных системы.



  1. Для подтверждения установки щелкните на кнопке Далее>. Мастер начинает процесс установки.



  • По окончании установки мастер извещает вас об успешном ее завершении.



  1. Для окончания процесса установки щелкните на кнопке Закрыть.

Базы данных системы (БД «Сбор» и БД Системы управления сбором) теперь установлены.

Часть



















Установка подсистемы Online сбора


Цель данного шага — развернуть Web-приложение для подсистемы Online сбора на Web-сервере.

Установка выполняется путем запуска мастера установки. Перед началом установки убедитесь, что инсталляционный пакет находится на Web-сервере, или доступен в локальной сети. Инсталляционный пакет должен включать в себя каталог webstat, содержащий инсталляционные данные для подсистемы Online сбора.

Перед установкой убедитесь, что базы данных Системы уже установлены (см ч. 4, «Развертывание баз данных» для получения информации об их установке).


  1. В папке webstat инсталляционного пакета запустите файл setup.exe. Открывается мастер установки.



  1. Щелкните на кнопке Далее>. Мастер переходит на следующий шаг установки.

5






  1. Настройте следующие параметры:

  • Укажите локальный адрес сервера БД в строке MS SQL Server 2005 сервер.

  • Укажите DNS-адрес текущего Web-сервера (без указания протокола).

  1. Щелкните на кнопке Далее>. Мастер извещает вас о готовности к установке подсистемы Online сбора.



  1. Для подтверждения установки щелкните на кнопке Далее>. Мастер начинает процесс установки.



  • По окончании установки мастер извещает вас об успешном ее завершении.



  1. Для окончания процесса установки щелкните на кнопке Закрыть.

Подсистема Online сбора теперь установлена.

Часть








6

Установка Системы управления сбором и Интеграционного ядра


Цель данного шага — развернуть Web-приложения для компонентов Система управления сбором и Интеграционное ядро на Web-сервере.

Установка выполняется путем запуска мастера установки. Перед началом установки убедитесь, что инсталляционный пакет находится на Web-сервере или доступен в локальной сети. Инсталляционный пакет должен включать в себя каталог sso, содержащий инсталляционные данные для упомянутых выше компонентов.



Перед установкой убедитесь, что базы данных Системы, а также подсистема Online сбора уже установлены (см ч.4, «Развертывание баз данных» и ч.5, «Установка подсистемы Online сбора» для получения информации об установке).

  1. В папке sso инсталляционного пакета запустите файл setup.exe. Открывается мастер установки.



  1. Щелкните на кнопке Далее>. Мастер переходит на следующий шаг установки.



  1. Настройте следующие параметры:

  • Укажите локальный адрес сервера БД в строке MS SQL Server 2005 сервер;

  • Укажите адрес SMTP-сервера, используемого для отправки пакетов и уведомлений (это может быть ip-адрес локального SMTP-сервера, по умолчанию – 127.0.0.1, или имя SMTP-сервера, например, в виде smtp.<домен>, где <домен> - доменное имя почтового сервиса);

  • Укажите DNS-адрес текущего Web-сервера (без указания протокола);

  • Укажите путь к Общей папке СТАТЕК, откуда будут забираться протоколы проверки отчетов (формат адреса папки: [имя диска]:\[путь к папке]\[имя папки]). Адрес этой папки должен быть впоследствии прописан в параметрах Корневой организации, а также, если папка является сетевым ресурсом, нужно дать права на чтение-запись для аккаунта веб-сервера.

  1. Щелкните на кнопке Далее>. Мастер извещает вас о готовности к установке.



  1. Для подтверждения установки щелкните на кнопке Далее>. Мастер начинает процесс установки.



  • По окончании установки мастер извещает вас об успешном ее завершении.



  1. Для окончания процесса установки щелкните на кнопке Закрыть.

  2. После установки системы необходимо указать список Удостоверяющих Центров (УЦ), сертификаты которых будут приниматься Системой управления сбором. Для этого в файле certificates.config сайта Системы управления сбором (в папке sso, обычно размещена в C:\Inetpub\wwwroot) указывается список УЦ, каждый xml-элемент которого представляет собой xml-узёл имя_УЦ , значение которого представляет название УЦ, которому Система сбора отчётности будет доверять.

  • Пример:

  • ty>CN = UCSKBKontur,O = SKB Kontur,L = Ekaterinburg,C = RU,E = ca@skbkontur.ru,

    что означает, что Система сбора отчётности будет принимать сертификаты от УЦ, имеющего имя CN = UCSKBKontur,O = SKB Kontur,L = Ekaterinburg,C = RU,E = ca@skbkontur.ru.

    Значение УЦ, выпустившего сертификат, можно получить из самого сертификата. Для этого необходимо открыть сертификат, перейти на вкладку Details/Состав, выделить Field/Поле Issuer/Поставщик. После этого необходимо скопировать содержимое текстового поля, расположенного ниже списка полей (Ctrl-A, Ctrl-Ins), в текстовый редактор (например, Notepad/Блокнот). Объединив все строки скопированного фрагмента в одну строку через запятые, получаем нужное значение.



  • Пример:

CN = УЦ МО

O = Удостоверяющий центр Московской области

S = Московская область

C = RU


    E = vip@uc-mo.ru




CN = УЦ МО, O = Удостоверяющий центр Московской области, S = Московская область, C = RU, E = vip@uc-mo.ru



  1. Также, для поддержки списков отозванных сертификатов (CRL) необходимо настроить Интеграционное ядро. Для этого откройте (например, в Блокноте) файл IntegrationEngine.exe.config, расположенный по адресу C:\Program Files\IBS\Система сбора отчётности и добавить в узел необходимое количество адресов со списками отзыва:

  • <add key="CRLDistributionPointN" value="адрес списка CRLN"/>, где N — порядковый номер точки распространения списка отозванных сертификатов.

  • Пример:

  • <add key="CRLDistributionPoint1" value="http://zs3-media-02.luxoft.com/CertEnroll/SSOtestCA.crl"/>

  • Адрес списка отозванных сертификатов можно получить из самого сертификата. Для этого необходимо перейти на вкладку Details/Состав, выделить Field/Поле CRL Distribution Point/Точки распространения списков отзыва (CRL) и скопировать из текстового поля адрес списка.

    Результаты работы механизма поддержки списков отозванных сертификатов можно наблюдать в «Журнале сообщений» «Системы сбора отчётности» раздела «Администрирование». Для мониторинга сообщений необходимо выбрать источник «CRLUpdateProcessorTask».

  1. Проведите дополнительные настройки Интеграционного ядра, о которых изложено в , «Описание настройки параметров IntegrationEngine».

  2. Проверьте настройки ключей конфигурационного файла web.config в папке sso:

  • ConnectionString1 - путь к БД RSTAT,

  • smtpServer - адрес SMTP сервера,

  • fillFormUrl - внешний адрес развернутой подсистемы Webstat (проверьте указание протокола, если настроен SSL, или порта, по которому открыт доступ к системе),

  • SignatureVerificationEnabled - включить проверку подписи при загрузке offline заполненного отчета («true»).

    Также проверьте правильность настроек ключа connectionString конфигурационного файла dataconfiguration.config.

  1. Проверьте настройки ключей конфигурационного файла web.config в папке webstat:

  • MainConnection - путь к БД wsbor,

  • Athorization.WebStatInterface - путь к веб-сервису системы sso (проверьте указание протокола, если настроен SSL, или порта, по которому открыт доступ к системе).

Компоненты Система управления сбором и Интеграционное ядро теперь установлены. Система сбора статистической отчетности в электронном виде полностью установлена и готова к работе.

Часть

Приложения

Приложение 1


Настройка SSL на Web-сервере

Установите настройки безопасности протокола SSL на Web-сервере для проверки целостности содержимого и идентификаторов пользователей, а также для шифрования передачи данных по сети.

Безопасность протокола SSL основана на сертификате сервера, позволяющего пользователю перед отправкой личных сведений авторизовать Web-сайт. Каждый Web-сайт может иметь только один сертификат сервера.

Сертификаты выдаются центром сертификации, который может быть развернут локально (см. раздел «Развертывание центра сертификации» далее в этом Приложении). Сертификат сервера обычно связан с Web-сервером, а именно с Web-сайтом, на котором настроен протокол SSL. Необходимо создать запрос на сертификат, отправить его в центр сертификации, а после получения сертификата, установить его.

Сертификаты основаны на паре ключей шифрования — одном открытом и одном закрытом — для обеспечения безопасности. При создании запроса на сертификат сервера происходит формирование закрытого ключа. А полученный из центра сертификации сертификат сервера будет содержать открытый ключ.

Формирование сертификата сервера


Требования

Для выполнения задачи по установке и настройке SSL необходимо чтобы:



  • выполняющий настройку пользователь входил в группу Администраторов на Web-сервере;

  • были установлены IIS Manager (iis.msc) и Мастер сертификатов Web-сервера.

Чтобы создать запрос на сертификат сервера:

  1. В стартовом меню Windows (пункт Start/Пуск) либо на Рабочем столе выберите пункт My computer/Мой компьютер и щелкните правой кнопкой мыши для вызова контекстного меню. Выберите опцию Manage/Управление.

  2. В открывшемся окне дважды щелкните на пункте Services and Applications/Службы и приложения, а затем — дважды щелкните на пункте Internet Information Services (IIS) Manager/Службы IIS.

  3. Правой кнопкой мыши щелкните на Web-сайте, на котором будет установлен сертификат сервера, и в контекстном меню выберите пункт Properties/Свойства.

  4. Перейдите на закладку Directory Security/Безопасность каталогов и в секции Secure Communications/Защита обмена данными щелкните на кнопке Server Certificate…/Сертификат сервера… для запуска мастера сертификатов.

  5. В мастере сертификатов Web-сервера щелкните на кнопке Next>/Далее>. Выберите опцию переключателя Create a new certificate/Создать новый сертификат и еще раз щелкните на кнопке Next>/Далее>.

  6. Выберите опцию переключателя Prepare the request now, but send it later/Подготовить запрос сейчас, но отправить позже и щелкните на кнопке Next>/Далее>.

  7. Укажите параметры сертификата:

  • В поле Name/Имя введите имя, удобное для запоминания. По умолчанию здесь прописывается имя Web-сайта, для которого вы создаете запрос.

  • Укажите длину сертификата в битах. Длина ключа шифрования в битах определяет уровень шифрования. Большинство ЦС требуют, чтобы минимальная длина ключа была 1 024 бита.

  1. Щелкните на кнопке Next>/Далее>. В секции Organization/Организация введите сведения об организации и организационной единице. Убедитесь, что данные об организации верны, а в полях отсутствуют запятые и еще раз щелкните на кнопке Next>/Далее>.

  2. В секции Your Site's Common Name/Общее имя узла введите имя web-сервера (NETBIOS) (например, web-01) и щелкните на кнопке Next>/Далее>.

  3. Введите географические данные и щелкните на кнопке Next>/Далее>.

  4. Сохраните файл в текстовом формате (*.txt). По умолчанию файл сохраняется со следующим местоположением и именем: c:\certreq.txt.

  5. Подтвердите содержание запроса, щелкнув на кнопке Next>/Далее>, а затем — Finish/Готово.

Развертывание центра сертификации


Используя службы сертификации (Certificate Services) ОС Windows можно локально создать центр сертификации, который будет осуществлять прием запросов на сертификат, верификацию информации, указанной в запросе и идентификацию инициатора запроса, выдачу сертификатов и пр.

Чтобы установить центр сертификации на сервере, где уже установлен Windows 2003 Server Standard Edition:



  1. В стартовом меню Windows выберите опцию Control Panel > Add or Remove Programs / Панель управления > Установка и удаление программ. В открывшемся окне щелкните на кнопке Add/Remove Windows Components/Добавление и удаление компонентов Windows для инициализации мастера установки Windows-компонентов:

  2. Выберите компонент Certificate Services/Службы сертификации. Выдается предупреждение о невозможности после установки сервиса переименования сервера и изменения его домена.

  3. Щелкните на кнопке Yes/Да чтобы продолжить установку, а затем на кнопке Next>/Далее>.

  4. Выберите опцию Stand-alone root CA/Изолированный корневой ЦС.

  5. Если вы желаете изменить параметры шифрования, заданные по умолчанию, отметьте флажок Use custom settings to generate the key pair and CA certificate/Использовать специальные параметры для генерации пары ключей и сертификата ЦС.

  6. Щелкните на кнопке Next>/Далее>.

  7. Если вы выбрали изменение заданных по умолчанию параметров шифрования, вы можете задать следующие параметры: провайдер криптографических услуг (CSP), алгоритм хеширования, использование существующего ключа, длина ключа и пр. По окончании изменения настроек по умолчанию щелкните на кнопке Next>/Далее>.

  8. Введите имя центра сертификации и укажите его срок действия. Щелкните на кнопке Next>/Далее>.

  9. Укажите папку для хранения сертификатов и щелкните на кнопке Next>/Далее>. Если сервис IIS запущен, появится уведомление о необходимости остановки сервиса. В этом случае щелкните на кнопке OK.

  10. При необходимости, укажите путь к инсталляционным файлам служб сертификации.

  11. По окончании установки щелкните на кнопке Finish/Закрыть.

Отправка запроса на сертификат сервера


После создания сертификата, его необходимо отправить в центр сертификации.

  1. Скопируйте содержимое txt-файла запроса, созданного на предыдущем этапе в буфер обмена.

  2. В Web-браузере (Internet Explorer) введите адрес http://hostname/CertSrv, где hostname — имя компьютера, на котором установлены Службы сертификации (см. раздел «Развертывание центра сертификации» ниже для получения информации). Не забудьте указать порт узла, на котором развернуты Службы сертификации (если порт отличный от используемого по умолчанию).

  3. Выберите опцию Request a certificate/Запросить сертификат и щелкните на кнопке Next>/Далее>.

  4. В окне Choose Request Type/Выбор типа запроса выберите опцию Advance request/Дополнительные параметры запроса и щелкните на кнопке Next>/Далее>

  5. Установите курсор в поле Base64 Encoded Certificate Request (PKCS #10 or #7) и вставьте () в него скопированное содержимое запроса на сертификат из буфера обмена.

  6. В списке Certificate Template/Шаблон сертификата выберите опцию Web Server.

  7. Щелкните на кнопке Submit/Послать.

  8. После получения сертификата из центра сертификации перейдите к процедуре установки сертификата на Web-сервере.

Выдача сертификата


После установки центра сертификации можно производить выдачу сертификатов по запросам на сертификаты. Для этого:

  1. В стартовом меню Windows (Start/Пуск) выберите Administrative Tools/Администрирование и запустите оснастку Центр сертификации (Certification Authority Tool).

  2. Раскройте свой центр сертификации и выберите папку Pending Requests/Запросы в ожидании.

  3. Выберите запрос на сертификат, посланный вами (как описано в разделе «Отправка запроса на сертификат сервера»).

  4. В меню Actions/Действие выберите All Tasks>Issue /Все задачи/Выдать.

  5. Убедитесь, что сертификат появился в папке Issued Certificates/Выданные сертификаты и щелкните на нем дважды для просмотра.

  6. На закладке Details/Подробно выберите опцию Copy to File/Копировать в файл и сохраните сертификат как Base-64 encoded X.509 сертификат.

  7. Закройте окно со свойствами сертификата и выйдите из оснастки Центр сертификации.

Установка и проверка сертификата на Web-сервере


Чтобы установить сертификат на Web-сервере:

  1. Скопируйте файл сертификата (.cer) в папку C:\Windows\System32\CertLog.

  2. В стартовом меню Windows (пункт Start/Пуск) выберите опцию Control Panel > Administrative Tools / Панель управления > Администрирование и дважды щелкните на пункте Internet Information Services (IIS) Manager/Диспетчер служб IIS.

  3. Дважды щелкните на Web-сайте, на который необходимо установить сертификат сервера, и выберите опцию Properties/Свойства.

  4. Перейдите на закладку Directory Security/Безопасность каталогов и в секции Secure Communications/Защита обмена данными щелкните на кнопке Server Certificate…/Сертификат сервера… для запуска мастера сертификатов.

  5. В мастере сертификатов Web-сервера щелкните на кнопке Next>/Далее>. Выберите опцию переключателя Process the pending request and install the certificate/Выполнить ожидающий запрос и установить сертификат и еще раз щелкните на кнопке Next>/Далее>.

  6. Перейдите к сертификату, полученному из ЦС, два раза щелкните на кнопке Next>/Далее>, а затем на кнопке Finish/Готово.

Проверка новых настроек

Выполните следующую процедуру для проверки правильности настроек безопасности, установленных на компьютере:



  1. В стартовом меню Windows (пункт Start/Пуск) выберите опцию Control Panel > Administrative Tools / Панель управления > Администрирование и дважды щелкните на пункте Internet Information Services (IIS) Manager/Диспетчер служб IIS.

  2. Дважды щелкните на Web-сайте, к которому приписан сертификат сервера, и выберите опцию Properties/Свойства.

  3. Перейдите на закладку Directory Security/Безопасность каталогов и в секции Secure Communications/Защита обмена данными щелкните на кнопке View Certificate…/Просмотреть сертификат… для просмотра сертификата, а затем щелкните два раза на кнопке OK для выхода из окна.

Введение требования подключений SSL на Web-сервере и их включение


После установки сертификата сервера необходимо ввести требование SSL-подключений, а затем включить подключения SSL на Web-сервере.

Примечание



  • После включения требования SSL-соединения с вашим Web-сервером, все ссылки на этот сервер необходимо обновить, используя в них https вместо http.

Для выполнения задачи по введению требования и включению SSL подключений необходимо чтобы:



  • выполняющий настройку пользователь входил в группу Администраторов на Web-сервере;

  • был установлен IIS Manager (iis.msc).

Чтобы ввести требование SSL-подключений:

  1. В стартовом меню Windows (пункт Start/Пуск) выберите опцию Control Panel > Administrative Tools / Панель управления > Администрирование и дважды щелкните на пункте Internet Information Services (IIS) Manager/Диспетчер служб IIS.

  2. Дважды щелкните на Web-сайте, на котором необходимо ввести подключения SSL, и выберите опцию Properties/Свойства.

  3. Перейдите на закладку Directory Security/Безопасность каталогов и в секции Secure Communications/Защита обмена данными щелкните на кнопке Edit…/Изменить….

  4. Отметьте опцию Require secure channel (SSL)/Необходим безопасный канал (SSL), выберите степень шифрования и щелкните на кнопке OK.

Примечание

  • Если указывается 128-битное шифрование, то компьютеры клиентов, в которых используется 40-битное или 56-битное шифрование, не смогут подключиться к данному узлу, пока не будет произведена модернизация Web-браузеров до версий, поддерживающих 128-битное шифрование.


Чтобы включить подключения SSL на Web-сервере:

  1. В стартовом меню Windows (пункт Start/Пуск) выберите опцию Control Panel > Administrative Tools / Панель управления > Администрирование и дважды щелкните на пункте Internet Information Services (IIS) Manager/Диспетчер служб IIS.

  2. Дважды щелкните на Web-сайте, на котором будут включены подключения SSL, и выберите опцию Properties/Свойства.

  3. Перейдите на закладку Web Site/Веб-узел и в секции Web site identification/Идентификация веб-узла убедитесь, чтоб в поле SSL Port/Порт SSL введено значение 443.

  4. Щелкните на кнопке Advanced…/Дополнительно…. Обычно появляются два окна, причем IP-адрес и порт Web-сайта приведены в окне Multiple SSL identities for this Web site/SSL-удостоверения данного веб-узла.

  5. Если порта 443 еще нет в списке, щелкните на кнопке Add…/Добавить… под этим окном. Выберите IP-адрес сервера, введите численное значение 443 в поле SSL Port/Порт SSL и щелкните на кнопке OK.

Проверка новых настроек

Выполните следующую процедуру для проверки правильности настроек безопасности, установленных на компьютере:



  1. Откройте Web-браузер и попытайтесь подключиться в Web-серверу при помощи стандартного префикса протокола http://. Например, в адресную строку введите http://localhost и нажмите на .

  • Если введено требование подключения по протоколу SSL, возникает следующее сообщение об ошибке:

  • (в английской версии браузера) The page must be viewed over a secure channel. The page you are trying to access is secured with Secure Sockets Layer (SSL).

  • (в русской версии браузера) Страница должна просматриваться по безопасному каналу. Страница, к которой производится попытка подключения, защищена протоколом SSL.

  1. Попробуйте подключиться к странице еще раз, используя префикс безопасного протокола https://. Например, в адресную строку введите https://localhost и нажмите на .

  • Обычно при этом появляется установленная по умолчанию страница указанного Web-сервера.


Установка сертификата центра сертификации на клиенте


Для просмотра страницы, защищенной протоколом SSL, следует установить на компьютере, с которого она просматривается, сертификат самого Центра сертификации, выдавшего сертификат для настройки протокола SSL. Это нужно для того, чтобы Ваш обозреватель доверял сертификатам, выданным этим Центром.
Чтобы установить сертификат Центра сертификации:

  1. В окне браузера наберите адрес https://<адрес_сервера>/CertSrv, где <адрес_сервера> — адрес сервера, на котором установлена система веб-сбора и, соответственно, установлены Службы сертификации.

  2. Перейдите по ссылке «Загрузка сертификата ЦС, цепочки сертификатов или CRL» \ «Download a CA certificate, certificate chain, or CRL», затем по ссылке «Загрузка сертификата ЦС» \ « Download CA certificate».

  3. На предложение о загрузке файла ответьте «Сохранить» и сохраните файл на локальном диске (под произвольным именем).

  4. Откройте папку с сохраненным сертификатом и двойным щелчком загрузите файл. Нажмите «Установить сертификат…».

  5. В открывшемся окне мастера импорта сертификатов нажмите «Далее >». На странице выбора хранилища сертификатов выберите пункт «Поместить все сертификаты в следующее хранилище» и, нажав на «Обзор…» выберите папку «Доверенные корневые центры сертификации».

  6. Нажмите «Далее >» и «Готово».

  7. В окне «Предупреждение об опасности» на предложение «Установить данный сертификат?» ответьте «Да».


Приложение 2


Рекомендуемая топология сети:

Firewall может быть как программным, так и аппаратным. Его задача разделить DMZ и сеть Интранет, при этом оставив доступ по описанным в Инструкции по инсталляции портам.

В качестве SMTP сервера должен использоваться не Lotus-сервер, а развернутый отдельно SMTP Server (например, Exchange server). Именно на него указывается ссылка в процессе инсталляции.

Подсеть «Единое окно » является отдельным, независимым сегментом сети и не должен быть задействован при инсталляции ЕССО.



Приложение 3


Проверка версии .NET Framework

При работе с компьютером, на котором установлено несколько различных версий .NET Framework, для определения версии, используемой ASP.NET приложением, необходимо просмотреть script map для него через Диспетчер служб IIS.



Для просмотра script map ASP.NET приложения:

  1. В стартовом меню Windows (Start/Пуск) выберите Administrative Tools > Internet Information Services (IIS) Manager / Администрирование > Диспетчер служб IIS.



  1. Перейдите в папку, содержащую нужное ASP.NET приложение, щелкните на ней правой кнопкой мыши и в контекстном меню выберите опцию Properties/Свойства.



  1. В открывшемся окне перейдите на закладку Directory/Каталог и щелкните на кнопке Configuration…/Настройка….



  1. На закладке Mappings/Связь с приложениями выберите расширение ASP.NET приложения (например, .asmx или .aspx). В во втором столбце (путь к исполняемому файлу) содержится путь к версии ASP.NET ISAPI, используемой приложением. По умолчанию ASP.NET ISAPI устанавливается по следующему пути:

  • systemroot\Microsoft.NET\Framework\versionNumber

  • Здесь versionNumber — номер версии ASP.NET ISAPI, используемой приложением. Версия ASP.NET ISAPI определяет версию .NET Framework, используемую приложением.

Приложение 4


Настройка SMTP-сервера

Установка SMTP-сервера описана в файле помощи Windows 2003 Server. Получить ее можно здесь: Диспетчер служб IIS > Контекстное меню > Справка > Службы IIS (раздел справки) > Настройка узлов (раздел справки) > Настройка сервера SMTP (раздел справки)

В этом же файле справки есть раздел Администрирование сервера. Справка по установке приведена ниже:

Служба SMTP, входящая в состав IIS, представляет собой обычный компонент для доставки исходящих сообщений электронной почты. Доставка сообщения инициируется передачей сообщения на указанный сервер SMTP. На основе доменного имени адреса электронной почты получателя сервер SMTP устанавливает связь с сервером DNS, который находит и возвращает имя узла на SMTP-сервере получателя, соответствующее данному домену.

Затем сервер SMTP отправителя устанавливает связь с сервером SMTP получателя по протоколу TCP/IP через порт 25. Если имя пользователя получателя в адресе электронной почты соответствует одной из авторизованных учетных записей на сервере, исходное сообщение электронной почты передается на этот сервер, и оно хранится там, пока адресат не заберет его с помощью клиентской программы.

В случае, если SMTP-сервер отправителя не может напрямую обмениваться данными с севером получателя, служба SMTP может передать сообщение через один или несколько промежуточных ретрансляционных SMTP-серверов. Ретрансляционный сервер получает исходное сообщение, а затем передает его на сервер получателя или перенаправляет на другой ретрансляционный сервер. Этот процесс продолжается до тех пор, пока сообщение не будет доставлено или не закончится заданное время ожидания.

Служба SMTP не устанавливается по умолчанию. Она должна быть установлена с помощью панели управления. При установке службы SMTP создается конфигурация SMTP по умолчанию, которую затем можно настроить с помощью диспетчера служб IIS.

На веб-узле Microsoft Developer Network (MSDN) имеется много статей о развертывании и настройке конфигурации службы SMTP; чтобы найти их, следует задать аргумент поиска «smtp».





Внимание! Для выполнения следующих процедур необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования. В целях безопасности рекомендуется входить в систему по учетной записи, не включенной в группу администраторов, а затем использовать команду Запуск от имени для запуска диспетчера IIS от имени администратора. В командной строке введите: runas /user:имя_учетной_записи_администратора "mmc %systemroot%\system32\inetsrv\iis.msc".
Чтобы установить службу SMTP:

  1. В меню Пуск выберите команду Панель управления.

  2. Дважды щелкните значок Установка и удаление программ.

  3. В левой области нажмите кнопку Установка компонентов Windows.

  4. В списке Компоненты выделите категорию Сервер приложений, а затем нажмите кнопку Состав.

  5. В списке Сервер приложений — состав выделите категорию Службы IIS, а затем нажмите кнопку Состав.

  6. В списке Службы IIS — состав установите флажок Служба SMTP.

  7. Нажмите кнопку ОК.

  8. Нажмите кнопку Далее. Программа установки может запросить компакт-диск операционной системы семейства Windows Server 2003 или путь сетевой установки.

  9. Нажмите кнопку Готово.

При установке службы SMTP создается домашний каталог по умолчанию локальный_диск:\Inetpub\Mailroot.

При первоначальной установке службы SMTP можно настроить общие параметры виртуального сервера SMTP, а также параметры его отдельных компонентов.



Чтобы настроить общие параметры SMTP:

  1. В диспетчере служб IIS разверните ветвь локального компьютера, щелкните правой кнопкой папку Виртуальный SMTP-сервер по умолчанию и выберите команду Свойства.

  2. При необходимости измените заданные по умолчанию параметры на вкладках свойств. Для получения сведений об отдельных параметрах нажмите кнопку Справка.

Чтобы настроить параметры компонентов виртуального SMTP-сервера:

  1. В диспетчере служб IIS разверните ветвь локального компьютера, откройте папку Виртуальный SMTP-сервер по умолчанию, щелкните правой кнопкой компонент для настройки и выберите команду Свойства.

  2. При необходимости измените заданные по умолчанию параметры на вкладках свойств. Для получения сведений об отдельных параметрах нажмите кнопку Справка.

Дополнительные сведения об администрировании службы SMTP см. в разделе Администрирование серверов SMTP.


Приложение 5


Описание настройки параметров IntegrationEngine

Настройки параметров InegrationEngine производятся в файле IntegraionEngine.exe.config.



Подключение к базе данных


Путь к БД RSTAT прописывается в 2-х местах:

- секция :



 

   

connectionStrin="User ID=sa; Password=12345678;Data Source=.\SQL2005;Initial Catalog=RSTAT; Pooling=true;"

      providerName="System.Data.SqlClient" />

 
- секция , ключ "RstatConnectionString":


Строки должны быть одинаковыми.

Настройка логирования


Можно настроить уровень логирования в Журнале сообщений. Возможные уровни:

  • Verbose – логировать все сообщения

  • Information – логировать сообщения типа Information, Warning, Error

  • Warning - логировать сообщения типа Warning, Error

  • Error - логировать сообщения типа только типа Error

Для выбора необходимого уровня нужно поставить его значение во все атрибуты switchValue в файле конфигурации в секции <specialSources>.

Например:


   

     

       

         

       

     

     

     

       

         

       

     

   
Уровень по умолчанию – Information.

Настройка периодичности работы сервисов


Под сервисом IntegrationEngine одновременно выполняется несколько заданий. С помощью конфигурационного файла можно управлять тем, с какой периодичностью они запускаются или отключить некоторые из них вовсе. Ниже приведен список параметров и их функциональная роль:

        SendReportsToVerificationTaskPeriod. Периодичность просмотра БД ЕССО на предмет загруженных отчетов для отправки на проверку в СТАТЕК. Задается в секундах. Значение по умолчанию "60".

        ImportReportsTaskPeriod. Периодичность просмотра БД WEBSBOR на предмет новых отчетов и импорта их в систему ЕССО и СТАТЕК. Задается в секундах. Значение по умолчанию "60".

        SsoDirMonitorTaskPeriod. Периодичность просмотра папки с отчетами ошибок от СТАТЕК. Задается в секундах. Значение по умолчанию "60".

        ExportFormsTaskPeriod. Периодичность синхронизации форм между БД WSBOR и ЕССО. Задается в секундах. Значение по умолчанию "60". 

        SendTodayPackageTaskPeriod. Периодичность автоматической рассылки пакетов и напоминаний. Задается в секундах. Значение по умолчанию "86400" - сутки.

       CRLUpdateProcessorTaskPeriod. Периодичность просмотра списка отозванных сертификатов. Задается в секундах. Значение по умолчанию "86400" – сутки.

Все эти параметры задаются в секции для в атрибуте value тэгов с соответствующим значением в поле key. Если нужно отключить выполнение какого-либо задания, то в поле value нужно задать значение 0 или меньше 0 (-1, -3 и т.д.).



Для заданий автоматической рассылки и просмотра списка отозванных сертификатов есть дополнительный параметр – время старта. Они называется SendTodayPackageTaskStartTime и CRLUpdateProcessorTaskStartTime соответственно. В них указывается время первого старта этого задания. Последующие старты определяются периодом перезапуска. Так, если вы хотите рассылать пакеты уведомления  1 в сутки в 23:34, то параметр SendTodayPackageTaskStartTime нужно задать "23:34", а в SendTodayPackageTaskPeriod указать "86400".

Настройки SMTP сервера


Для рассылки писем через сетевое соединение с SMTP сервером в конфигурационном файле указывается ключ:



Настройка папок


Папка, из которой будут браться протоколы проверки отчетов из СТАТЕК, задается параметром SsoDirPath. После обработки протоколы сохраняются в папку, указанную в параметре SsoBackupDirPath. Также нужно задать маску, по которой будет производиться поиск новых протоколов в значении параметра SsoReporResultFileName. По умолчанию это "err_*.txt".

Проверка подписи ЭЦП


Для включения функции проверки ЭЦП при загрузке online заполненного отчета нужно задать значение ключа "VerifySignature" = «true» («false» - проверка подписи отключена).
Также проверьте корректность внешнего адреса развернутой подсистемы Webstat в параметрах ключа fillFormUrl (проверьте указание протокола, если настроен SSL, или порта, по которому открыт доступ к системе).