Оновлення ключів та сертифікатів цифрового підпису для Платформи

ЗМІСТ

1. Редагування даних ключа
2. Налаштування ключа
- 2.1. Налаштування ключа на файловому носії
- 2.2. Налаштування апаратного ключа
3. Підтвердження змін та застосування конфігурації

🌐 Цей документ доступний українською та англійською мовами. Використовуйте перемикач у правому верхньому куті, щоб змінити версію.

Під час збірки Інсталера, у процесі розгортання Платформи необхідно налаштувати ключі цифрового підпису. Після цього ви можете оновлювати інформацію про ключі в рамках редагування конфігурації Платформи в інтерфейсі адміністративної панелі Control Plane.

Для заміни цифрового ключа Платформи дотримуйтеся кроків, описаних нижче в поточній інструкції.

1. Редагування даних ключа

Увійдіть до адміністративної панелі керування платформою та реєстрами Control Plane, використовуючи попередньо отримані логін та пароль.
Відкрийте меню Керування Платформою.
У правому верхньому куті сторінки натисніть Редагувати.
Перейдіть до секції Дані про ключ та виконайте подальші налаштування.

2. Налаштування ключа

Можна налаштувати два типи ключів:

файловий ключ — зберігається на користувацькому носії у форматі *.dat;
апаратний ключ — зберігаються на мережевому криптомодулі та управляється програмним забезпеченням АТ "ІІТ".

2.1. Налаштування ключа на файловому носії

Оберіть Тип носія — Файловий носій (встановлюється за замовчуванням).
Додайте новий системний ключ, натиснувши кнопку Вибрати файл. У новому вікні перейдіть до теки, де зберігається файл ключа формату *.dat, оберіть його і натисніть Відкрити.
Наступним кроком необхідно зазначити назву АЦСК у полі АЦСК, що видав ключ.
- 3.1. Щоб дізнатися назву АЦСК ключа, завантажте додаток «Користувач центру сертифікації ключів» з офіційного ресурсу АТ "ІІТ" за посиланням https://iit.com.ua/downloads.
  
  Далі відкрийте завантажений файл для інсталяції ПЗ.
  
  Подальший приклад буде розглянуто для користувача ОС Microsoft Windows з додатком EUInstall.exe.
- 3.2. Інсталюйте та запустіть програму «ІІТ Користувач ЦСК», пройшовши всі запропоновані кроки.

3.3. У вікні програми натисніть Зчитати.
3.4. Оберіть ключ у відповідній директорії. Далі введіть пароль ключа і натисніть Зчитати.
3.5. Після зчитування ключа в інтерфейсі програми «ІІТ Користувач ЦСК» з’явиться нове меню Переглянути власний сертифікат — натисніть на нього.
3.6. У новому вікні буде зазначена інформація з назвою АЦСК у полі ЦСК.

3.7. Скопіюйте назву ЦСК на попередньому кроці й вставте її значення у поле АЦСК, що видав ключ у налаштуваннях Control Plane.

change key 13

Введіть пароль обраного системного ключа у відповідному полі.

Далі вкажіть Перелік дозволених ключів, підпис яких може вважатися правдивим.

У цьому блоці зазначається перелік ключів, у тому числі й старих (наприклад, при ротації ключів), щоб все, що раніше було підписано старим ключем, вважалося перевіреним (провалідованим). Тобто перелік дозволених ключів повинен містити історію даних усіх ключів, що використовувались у системі для накладання підпису.

У переліку дозволених ключів вказуються наступні дані ключа:

«Емітент ключа» (див. кроки 5.1.-5.2. цієї інструкції);
«Серійний номер ключа» (див. кроки 5.3.-5.4. цієї інструкції).

change key 16

5.1. Для отримання інформації для поля Емітент ключа відкрийте детальну інформацію про ключ, після його зчитування у програмі «ІІТ Користувач ЦСК» (див. кроки 3.3.-3.6. цієї інструкції), натиснувши Детальна інформація.

5.2. У новому вікні оберіть рядок Реквізити ЦСК, і в нижньому полі скопіюйте його повне значення для заповнення поля Емітент ключа у Control Plane.

change key 18

5.3. Для отримання інформації для поля Серійний номер ключа відкрийте детальну інформацію про ключ, після його зчитування в програмі «ІІТ Користувач ЦСК» (див. кроки 3.3.-3.6. цієї інструкції), натиснувши Детальна інформація.
5.4. У новому вікні оберіть рядок Реєстраційний номер, і в нижньому полі скопіюйте його повне значення для заповнення поля Серійний номер ключа у Control Plane.

change key 19

На завершення перевірте внесену інформацію і натисніть кнопку Підтвердити.

change key 20

У результаті оновлення даних про ключ на інтерфейсі Control Plane, створюється новий запит на оновлення конфігурації cluster-mgmt, який необхідно підтвердити.

2.2. Налаштування апаратного ключа

Оберіть Тип носія — Апаратний носій.
Значення поля Тип ключа зазначається за замовчуванням значенням криптомод. ІІТ Гряда-301.
Введіть пароль апаратного ключа у відповідному полі.

Пароль ключа має наступну структуру ##User##Password.
Наступним кроком зазначте назву АЦСК у полі «Ім’я АЦСК».
- 4.1. Отримати інформацію про назву АЦСК можливо у програмі «ІІТ Користувач ЦСК», відкрийте її.
  
  Кроки інсталяції програми описані у пунктах 3.1-3.3 попереднього розділу.
- 4.2. У вікні програми натисніть «Зчитати».
- 4.3. Оберіть ключ у директорії «криптомод. ІІТ Гряда-301». Далі введіть пароль ключа (у форматі ##User##Password) і натисніть «Зчитати».
- 4.4. Після зчитування ключа в інтерфейсі програми «ІІТ Користувач ЦСК» з’явиться нове меню «Переглянути власний сертифікат» - натисніть на нього.
- 4.5. Натисніть «Детальна інформація»
- 4.6. Скопіюйте назву ЦСК.
- 4.7. Вставте значення в поле Ім’я АЦСК в налаштуваннях Control Plane.

Наступним кроком вкажіть параметр Хост АЦСК.

change key 28

Значення можна переглянути у файлі параметрів взаємодії із сумісними ЦСК (CAs.json), який можна отримати на сайті АТ "ІІТ" за посиланням https://iit.com.ua/downloads.

change key 26

Далі заповніть параметр Порт АЦСК.

change key 29

change key 27

Вкажіть Серійний номер пристрою.

change key 32

Наступні параметри зазначаються під час створення і налаштування мережевого криптомодуля.

change key 31

Серійний номер пристрою відображається в назві ключа, наприклад:

001:3016(10.0.200.102), де

001 — серійний номер пристрою;
3016 — порт ключа;
10.0.200.102 — хост ключа.

change key 30

Вкажіть Порт ключа.
Вкажіть Хост ключа (IP-адреса).
Вкажіть Маску ключа.

За замовчуванням встановлюється значення 255.255.255.255.
На підставі усіх раніше вказаних параметрів буде автоматично сконфігуровано INI-файл. Детальна інформація щодо його вмісту і додаткових параметрів відображається у відповідному полі INI конфігурація, яке доступне до редагування.

Вкажіть Перелік дозволених ключів, підпис яких може вважатися правдивим.

У переліку дозволених ключів вказуються наступні дані ключа:

«Емітент ключа» (як отримати інформацію, показано у кроках 5.1.-5.2. попереднього розділу);
«Серійний номер ключа» (як отримати інформацію, показано у кроках 5.3.-5.4. попереднього розділу).

На завершення перевірте внесену інформацію та натисніть Підтвердити.

change key 37

У результаті оновлення даних про ключ на інтерфейсі Control Plane, створюється новий запит на оновлення конфігурації cluster-mgmt, який необхідно підтвердити.

3. Підтвердження змін та застосування конфігурації

Оновлення платформних ключів виконується через внесення змін до конфігурації Сервісу цифрового підпису.

3.1. Алгоритм конфігурації ключів цифрового підпису

Загальний алгоритм конфігурації наступний для ключів платформи та реєстру:

Адміністратор редагує платформні, або реєстрові ключі цифрового підпису в інтерфейсі адміністративної панелі Control Plane.
Вебінтерфейс Control Plane зберігає внесені адміністратором зміни до сервісу HashiCorp Vault підсистеми управління секретами та шифруванням, або до сервісу Gerrit підсистеми розгортання та налаштування Платформи та реєстрів.
Вебінтерфейс Control Plane відображає шлях до значень та файлів у відповідних конфігураціях values.yaml.
Пайплайн забирає необхідні дані із HashiCorp Vault або Gerrit та створює необхідні секрети в OpenShift.

Нижче подано схему оновлення платформних та реєстрових ключів та конфігурацію сервісу цифрового підпису.

Зображення 1. Оновлення платформних та реєстрових ключів та конфігурація сервісу цифрового підпису

3.2. Параметри конфігурації та створення секретів

Адміністративна панель Control Plane зберігає наступні дані у Vault для Сервісу цифрового підпису (DSO):

Перелік АЦСК
KeySecretData
CASecretData
AllowedKeysSecretData
osplm.ini
Дані для змінних середовища DSO (DSO env vars)

Шлях до engine для платформних ключів виглядає так:

registry-kv/cluster/key-management

Параметри та шляхи додаються до конфігурації values.yaml у компоненті cluster-mgmt.

Приклад 1. Конфігурація values.yaml компонента cluster-mgmt для оновлення даних про файловий ключ

digital-signature:
  data:
    CACertificates: <path to vault>
    CAs: <path to vault>
    Key-6-dat: <path to vault>
    allowed-keys-yml: <path to vault>
    osplm.ini: ""
  env:
    sign.key.device-type: file
    sign.key.file.issuer: <path to vault>
    sign.key.file.password: <path to vault>
    sign.key.hardware.device: ""
    sign.key.hardware.password: ""
    sign.key.hardware.type: ""

Приклад 2. Конфігурація values.yaml компонента cluster-mgmt для оновлення даних про апаратний ключ

digital-signature:
  data:
    CACertificates: <path to vault>
    CAs: <path to vault>
    Key-6-dat: ""
    allowed-keys-yml: <path to vault>
    osplm.ini: <path to vault>
  env:
    sign.key.device-type: hardware
    sign.key.file.issuer: ""
    sign.key.file.password: ""
    sign.key.hardware.device: <path to vault>
    sign.key.hardware.password: <path to vault>
    sign.key.hardware.type: <path to vault>

Пайплайн Master-Build-cluster-mgmt створює секрети для digital-signature-env-vars та digital-signature-data і зберігає їх в OpenShift.

Адміністративна панель перезаписує дані у Vault при оновленні інформації про ключі.
Пайплайн при оновленні даних про ключ, перестворює секрети, тобто є ідемпотентним.

Зміст секретів, які створює пайплайн на основі values.yaml:

Приклад 3. Секрети для файлового ключа

digital-signature-data:
    CACertificates.p7b
    CAs.json
    Key-6.dat
    allowed-keys.yml
    osplm.ini -- порожній
digital-signature-env-vars:
    sign.key.device-type
    sign.key.file.issuer
    sign.key.file.password
    sign.key.hardware.device -- порожній
    sign.key.hardware.password -- порожній
    sign.key.hardware.type -- порожній

Приклад 4. Секрети для апаратного ключа

digital-signature-data:
    CACertificates.p7b
    CAs.json
    Key-6.dat -- порожній
    allowed-keys.yml
    osplm.ini -- згенерований із шаблону
digital-signature-env-vars:
    sign.key.device-type
    sign.key.file.issuer -- порожній
    sign.key.file.password -- порожній
    sign.key.hardware.device
    sign.key.hardware.password
    sign.key.hardware.type

3.3. Підтвердження змін та запуск пайплайну

У результаті оновлення даних про ключ на інтерфейсі Control Plane, створюється новий запит на оновлення конфігурації компонента cluster-mgmt, який необхідно підтвердити.

В інтерфейсі адмін-панелі Control Plane поверніться до розділу Керування платформою, прокрутіть бігунок униз сторінки та знайдіть секцію Запити на оновлення.
Відкрийте сформований запит, натиснувши іконку перегляду — 👁.

Запропоновані зміни вносяться до конфігурації файлу deploy-templates/values.yaml у разі підтвердження.
У новому вікні зіставте 2 версії змін, переконайтеся, що внесені вами дані вірні, та натисніть Підтвердити.

Зображення 2. Внесення даних про файловий ключ до конфігурації values.yaml

Зображення 3. Внесення даних про апаратний ключ до конфігурації values.yaml

Далі відбувається автоматичний запуск пайплайну Master-Build-cluster-mgmt, який застосовує параметри заданої конфігурації та створює секрети для ключів цифрового підпису.
Зачекайте, доки виконається збірка коду. Це може зайняти декілька хвилин.

Ви можете перевірити поточний статус та результат виконання за посиланням CI на інтерфейсі.

В інтерфейсі Jenkins знайдіть відповідний пайплайн та відстежуйте статус виконання.