Форум

ГлавнаяВзаимодействие с ГИС ЖКХ: XLSX vs. SOAP

Взаимодействие с ГИС ЖКХ: XLSX vs. SOAP

RSS
Взаимодействие с ГИС ЖКХ: XLSX vs. SOAP
 
Цитата
milly пишет:
Цитата
mercury пишет:
Отписался в службу поддержки ГИС ЖКХ
пришёл ответ (возможно кому поможет) :
Уважаемый пользователь!
На текущий момент, сменилась учетная запись для basic-авторизации используемой для доступа к СИТ01 и СИТ02.
Реквизиты новой учетной записи:
логин: sit
пароль: rZ_GG72XS^Vf55ZW

Скажите плиз, а откуда вы эти логины пароли брали ( первые). Я просмотрел всё что написано по интеграции у них, даже не понял с чего начинать даже, не только логин пароль найти для тестов. А вообще их документация на интеграцию просто ужасна, словно специально мозг ломают, что б люди помучались побольше.

на этом форуме на 6 странице two_oceans » 06 фев 2017, 06:14 писал , оттуда и взял :)
 
Цитата
mercury пишет:
свойства FaultString, FaultCodeNamespace, FaultCode, FaultActor - пустые
Странно.
Цитата
mercury пишет:
Имя локального устройства уже используется http://prntscr.com/fbg0vj
Что-то не вижу текста "Имя локального устройства уже используется". По коду ошибки определился такой текст? Похоже при написании объекта Майкрософт использовали первый попавшийся код и по факту они просто намекают, что перед повторной инициализацией надо объект закрыть (хотя я не вникал есть ли закрытие/освобождение).
Цитата
mercury пишет:
пытаюсь отправить XML (руками нарисованный) я так понимаю это ответ ГИСа ? http://prntscr.com/fbg8xl
Да, ГИСа. Поздравляю, на правильном пути. Именно это ГИС и отвечает в браузер (то есть без отправки XML), требует сертификат ИС, хотя соединение незащищенное. Из Details самое интересное в строке "SoapFaultException: Certificate in header is blank", которая проясняет что фактически до поиска ИС не дошло, просто сертификат в запросе не обнаружен. Надо точнее разбираться что еще нужно дорисовать в XML или в HTTP заголовки. Скорее всего куда-то добавить сертификат, закодированный в base64.

Отправлено спустя 11 минуты 22 секунды:
Цитата
mercury пишет:
Скажите плиз, а откуда вы эти логины пароли брали ( первые).
А я в свою очередь из чата разработчиков интеграции. Однако, и в документации где-то мелькало (хотя не вспомню где именно). Впрочем на тестовом сейчас многое даже без пароля доступно.
Цитата
mercury пишет:
А вообще их документация на интеграцию просто ужасна, словно специально мозг ломают, что б люди помучались побольше.
Есть такое. Вообще вся эта тема по реализации SOAP со вкусом ГОСТ мучительная, и документация не сильно отличается для разных ФГИС. Но тут конечно еще запутаннее сделали - с кучей независимых сервисов и включением времени в подпись. Это даже в некотором роде смешно что клиент сам может выставить произвольное время (в пределах срока действия сертификата).

Отправлено спустя 18 минуты 4 секунды:
Цитата
milly пишет:
Но то как замутили с ГИС это конечно вынос мозга. Пока не знаю даже с какого конца к этому подходить. Задача безусловно интересная сделать интеграцию, с т.з. программирования, но чувствую одному не осилить.
Похоже да, надо объединяться - сделать некую единую платформу, которая бы всех устраивала. Как минимум для "быстрого старта". И тут уже интереснее обсудить до какого этапа нужно единую платформу довести. Ранее я думал о подходе - 1) после обновления схема разово преобразуется в шаблоны, определяется список данных для подстановки в шаблон. затем многократно используется шаблон с разными наборами данных. Но похоже разработчики ГИС думают в ключе 2) что при каждом! запросе будет анализироваться схема SOAP и по результатам анализа будут вставляться данные. Подход 1 требует хранения шаблонов и данных плюс выглядит "топорно", но выигрывает по времени; подход 2 требует больше времени, большего исправления программы после обновления версии, но с объектами удобнее работать и нет необходимости хранить что-то вне объекта.
 
Дык а почему 1С не воспользоваться. Я на сколько понимаю выбрали именно soap из-за того, что вся страна (не РСО) использует данную информационную систему в предприятиях. Внедрялась она, как сугубо бухгалтерская программа, но сейчас в ней модулей до чертиков (и инженеры, и диспетчеры, и отделы по борьбе с населением). Веб сервис (по идее) должен настраиваться очень просто (!) через wsd файл. Не?
 
НЕЕЕЕЕ
В основном потому, что у каждого программиста кто тут пытается интегрироваться уже есть своя ИС, которая во всем устраивает, только интеграции нет. Ради интеграции на 1С переходить никто не будет, потому что там: 1) нет гарантии интеграции все равно - цепляются через те же объекты MSSoap и XMLHTTP; 2) такая же опа с цифровой подписью по ГОСТ; 3) обновление 1С тоже через одно место - крайне сложно корректировать под каждую версию. Так что НЕ, но если платформа будет к ней можно и 1С прицепить потом (если будут желающие).
 
Цитата
two_oceans пишет:
НЕЕЕЕЕ
В основном потому, что у каждого программиста кто тут пытается интегрироваться уже есть своя ИС, которая во всем устраивает, только интеграции нет. Ради интеграции на 1С переходить никто не будет, потому что там: 1) нет гарантии интеграции все равно - цепляются через те же объекты MSSoap и XMLHTTP; 2) такая же опа с цифровой подписью по ГОСТ; 3) обновление 1С тоже через одно место - крайне сложно корректировать под каждую версию. Так что НЕ, но если платформа будет к ней можно и 1С прицепить потом (если будут желающие).
Пол года назад одна по моему мнению известная компания, которая занимается автоматизацией производства из трех букв предлагала "адаптер" (по моему так они назвали его) который переносит данные из 1С в ГИС.
 
Извините конечно, может не в тему.
Скажите, получил ЭЦП и готов попасть в ГИС ЖКХ. Там нужен паспорт (скан) руководителя?
 
Может кто поделится функцией подписи XML в 1С в формате XMLDSIG?
 
AlcorVol!Добрый день! Я тоже пишу на VFP. Как можно из VFP открыть шаблон xlsx для редактирования? Ка Вы выгружаете информацию? Очень благодарна за любую помощь!
 
Цитата
Natulka93 пишет:
AlcorVol
Добрый. С цитатами быстрее обратят внимание.
Цитата
AlcorVol пишет:
Цитата
Basil пишет:
В соседней теме выкладывали версии класса для работы с XLSX из VFP и если не обращать внимание на отступления, там много полезного. С тех пор вроде бы ещё дальше доработали класс и подклассы.
Цитата
budunovmv пишет:
Может кто поделится функцией подписи XML в 1С в формате XMLDSIG?
Хорошая попытка. По идее такой код должен быть у "счастливых владельцев" версии 1С с выгрузкой в ГИС ЖКХ. Вот только они чаще всего не программисты (программисты сами пилят) и наверно не смогут его "расковырять" для нас.
 
Цитата
Natulka93 пишет:
AlcorVol!Добрый день! Я тоже пишу на VFP. Как можно из VFP открыть шаблон xlsx для редактирования? Ка Вы выгружаете информацию? Очень благодарна за любую помощь!

Я пишу в Delphi. Там есть компоненты для работы с xls (они же работают и xlsx). Если попытаться провести аналогию работы с xlsx в VFP и Delphi, то открываете пустой шаблон, запоняете нужные ячейки, после этого применяете метод сохранения с новым именем, дабы не затереть пустой шаблон.
 
Я в офисе 2007 прекрасно наловчилась загружать шаблоны.))
 
Цитата
Natulka93 пишет:
Я тоже пишу на VFP. Как можно из VFP открыть шаблон xlsx для редактирования? Ка Вы выгружаете информацию? Очень благодарна за любую помощь!
Я Вам уже в личку ответил. Но тему ГИС"а сейчас слегка притормозил. До реальной выгрузки не добрался.
 
ЛЮДИ ДОБРЫЕ! Слышал краем уха, что xlsx-файлы можно загружать не из личного кабинета, а напрямую, используя какие-то интернет-технологии. Подскажите, пожалуйста, где можно подробно ознакомиться с этим. Спасибо!
 
Вот здесь http://pro-ldap.ru/tr/zytrax/tech/ssl.html написано: "Но, прежде чем выкладывать все свои сбережения за новенький блестящий сертификат X.509 (SSL)..."
Вопросы такие:
1) Нужен ли этот сертификат для интеграции (ГИС)?
2) Дорогой ли он?
3) Какой у него срок действия?
Спасибо!
 
Начало там немного в сторону веб-технологий уводит, рекомендую сфокусироваться на сертификатах и читать с "Типы сертификатов X.509 и терминология".
Я так полагаю, уже есть наш ГОСТовский клиентский сертификат? Тогда не нужен, если в нем требования выполнены, используем какой у нас уже есть. Основной недостаток этой статьи - что там не про ГОСТовские сертификаты, части где упоминается RSA нужно мысленно заменить на ГОСТ-2001 и еще бы добавить про квалифицированные сертификаты и специфические расширения квалифицированных сертификатов.
Про блестящий ГОСТовский и так уже знаете - срок действия (КС1, КС2) не более 15 месяцев (как правило от 3 до 12), цена от 0 (для бюджетников в казначействе) до 26000 (суперкрутые сертификаты для торгов всем и везде, с 24/7 поддержкой). Однако механизмы SSL, построение цепочек, корневые/промежуточные/кросс сертификаты, смысл стандартных расширений сертификата, форматы, стандартыв и т.д. полностью такие же при использовании ГОСТовских сертификатов.

Вообще там имеется в виду случай когда сервер поднимаем мы. Тогда нам будет нужен не клиентский, а серверный сертификат. И если предполагается обычный сервер доступный по всему миру, то тут сертификат ГОСТ нам не поможет, так как зайти на него будет сложно не имея установленного криптопровайдера ГОСТ. Хотя OpenSSL его поддерживает и казалось бы браузеры, которые его используют должны успешно соединиться с сайтом, но это не так.
В первую очередь, потому что сама windows не распознает алгоритма из OpenSSL и не сможет проверить сертификат (чтобы опознала нужно зарегистрировать OpenSSL со вкусом ГОСТ в системе, как делают некоторые отечественные криптопровайдеры). То есть всю проверку сертификатов браузер тоже должен будет взять на себя (из распространенных браузеров на такое способен только Firefox). Во-вторых, хотя мы обычно этого не замечаем у нас в системе куча устаревших библиотек OpenSSL установленных разными приложениями. Большинство из них версии 0.9.8, не поддерживающей ГОСТ. Все эти устаревшие версии сильно мешают подключению. В-третьих, пространство доверия ГОСТ строится на сертификате ГУЦ и за границей мало кто о нем имеет представление, так как ни Windows, ни браузеры его не устанавливают автоматически.
Поэтому "новенький блестящий сертификат X.509 (SSL)" подразумевает получение сертификата не-ГОСТ, а значит неквалифицированного, за границей и за валюту. Как вариант настройка 2 сертификатов: один ГОСТ, другой не-ГОСТ. При нынешнем курсе очень дорого. Впрочем, многие наши хостинги их перепродают, например тут подробно описаны различия тарифов, на соседней странице сроки издания и цены.

Для интеграции же это в общем случае не нужно, однако если нужно будет соединить в своей сети несколько криптотоннелей в один, то может потребоваться серверный сертификат, чтобы принять зашифрованное соединение из другого тоннеля. Если все тоннели у себя, то выбор будет ли сертификат по алгоритму ГОСТ или нет на вашей совести, равно как и то покупать его где-то или выпустить свой (для внутреннего пользования), при этом "внешний" для связи с ГИС как обычно покупной ГОСТ. Как сляпать свой сертификат, свой УЦ в статье тоже есть. В случае квалифицированного сертификата ГОСТ конечно надо будет серьезно править конфигурацию OpenSSL (из статьи не подойдет).
Есть 2 основных отличия клиентского и серверного сертификатов: в клиентском стоит расширенное использование "Аутентификация клиента", а в качестве другого имени как правило указана почта. В серверном соответственно "Аутентификация сервера" и список имен сервера. Расширенное использование может быть совмещено, но список имен и почту обычно не совмещают.
 
Учитывая криворукость ланитовых и сложности с интеграцией, было бы нормально сделать так:
В личном кабинете заполняешь форму настроек с такими пунктами:
1) свой IP
2) путь к папке с подготовленными шаблонами;
3) путь к папке с шаблонами, взятыми на обработку;
4) путь к папке с результатами;
5) почтовый адрес и тема письма.
Получив письмо с указанного адреса и заданной темой в настройках, система забирает шаблоны на обработку из папки 2) (автоматически определяя предназначение шаблона), перемещает их в папку 3), результаты сохраняет в папку 4). И все!
 
Хм, наверно этого недостаточно) потому что придется у себя поддерживать сервер (FTP или HTTP c WebDAV), причем чтобы IP не менялся пока идет обработка - то есть статический, а это в свою очередь требует контроля за безопасностью: установки паролей или настройки входа по сертификату ГОСТ. И эцп все равно надо будет проставлять рано или поздно. С их стороны - настроить контроль от спама, чтобы письма не резались фильтром и систему коннекта. Что-то ничуть не проще выйдет.

Вот в обратную строну лучше - чтобы открывали доступ к изолированной ftp папке (как на виртуальном хостинге - ftp пароль и адрес сервера в ЛК) и там те самые три нужных папки, плюс в ЛК кнопка "Забрать". Хотя чего мечтать - они считают, что интеграция прекрасно идет и закачка шаблонов через ЛК тоже.

В этом смысле интереснее локальный клиент- "резидентный монитор", которому можно было скармливать шаблоны и сертификат и он бы сам генерил SOAP и коннектился к ГИС (и перекладывал по папкам). То есть готовое решение, причем не сторонней компании, а самих разработчиков чтобы все обновления на сервере синхронно с клиентом (как в сетевых играх MMO). То есть зарегал в ЛК ИС и сертификат, скормил сертификат и шаблоны клиенту, нажал пуск и пьешь кофе. По идее это бы и разгрузило серверы - разобрать XLSX (архив с кучей xml) посложнее чем один xml. Увы, клиент забыли, когда заказывали ГИС, так что пилим потихоньку сами. Впрочем, с учетом какое демо-приложение, может и хорошо что они клиент не написали. :D
 
Цитата
two_oceans пишет:
они считают, что интеграция прекрасно идет

Вот именно - считают. У меня руки чешутся освоить и наладить интеграцию. Если я начну этим заниматься, то на первых порах будут глюки, скорее всего - мои. Откуда я бужу знать, искать ошибку у себя или этот глюк от ГИС?
 
Значит надо "народный тренажер" сделать.
 
Цитата
two_oceans пишет:
Хм, наверно этого недостаточно) потому что придется у себя поддерживать сервер (FTP или HTTP c WebDAV), причем чтобы IP не менялся пока идет обработка - то есть статический, а это в свою очередь требует контроля за безопасностью: установки паролей или настройки входа по сертификату ГОСТ. И эцп все равно надо будет проставлять рано или поздно. С их стороны - настроить контроль от спама, чтобы письма не резались фильтром и систему коннекта. Что-то ничуть не проще выйдет.

Вот в обратную строну лучше - чтобы открывали доступ к изолированной ftp папке (как на виртуальном хостинге - ftp пароль и адрес сервера в ЛК) и там те самые три нужных папки, плюс в ЛК кнопка "Забрать". Хотя чего мечтать - они считают, что интеграция прекрасно идет и закачка шаблонов через ЛК тоже.

В этом смысле интереснее локальный клиент- "резидентный монитор", которому можно было скармливать шаблоны и сертификат и он бы сам генерил SOAP и коннектился к ГИС (и перекладывал по папкам). То есть готовое решение, причем не сторонней компании, а самих разработчиков чтобы все обновления на сервере синхронно с клиентом (как в сетевых играх MMO). То есть зарегал в ЛК ИС и сертификат, скормил сертификат и шаблоны клиенту, нажал пуск и пьешь кофе. По идее это бы и разгрузило серверы - разобрать XLSX (архив с кучей xml) посложнее чем один xml. Увы, клиент забыли, когда заказывали ГИС, так что пилим потихоньку сами. Впрочем, с учетом какое демо-приложение, может и хорошо что они клиент не написали. :D

Примерно так работает приложение из примера взаимодействия по SOAP, выложенного на сайте ГИС ЖКХ. Подкладываешь ему excel шаблон в виде csv (только в заголовках там имена элементов и атрибутов) . Оно генерит пакет SOAP, подписывает и отправляет его в ГИС. Ответный пакет так же выкладывается в виде excel (csv)
 
Ага ага, только насколько помню:
1) .Net использует, что я считаю существенным минусом (как раз сейчас пытаюсь установить новый и матерюсь - видите ли для установки нужен обновленный компилятор Direct 3D, которого просто так не предлагают установить, впаривают в составе огромного ежемесячного кумулятива и только когда он понадобится скромно говорят "click here");
2) ага сохранять из шаблона xls в cvs конечно можно, но как-то мне кажется противоестественным, не проще тогда приложением xlsx принимать;
3) адрес wsdl как я понимаю нужно указывать для каждого закинутого шаблона, автодетекта (такой-то шаблон отправить по такому-то адресу) нет.
Короче, на то оно и демо-приложение.
 
Цитата
two_oceans пишет:
Ага ага, только насколько помню:
1) .Net использует, что я считаю существенным минусом (как раз сейчас пытаюсь установить новый и матерюсь - видите ли для установки нужен обновленный компилятор Direct 3D, которого просто так не предлагают установить, впаривают в составе огромного ежемесячного кумулятива и только когда он понадобится скромно говорят "click here");
2) ага сохранять из шаблона xls в cvs конечно можно, но как-то мне кажется противоестественным, не проще тогда приложением xlsx принимать;
3) адрес wsdl как я понимаю нужно указывать для каждого закинутого шаблона, автодетекта (такой-то шаблон отправить по такому-то адресу) нет.
Короче, на то оно и демо-приложение.

Ну так ни кто и не спорит, что это демка, а не продакшн. Но, в качестве отправной точки, можно посмотреть.
 
Вопросы по интеграции.

а) Получаю квалифицированный сертификат двумя способами:
1. Скачиваю из личного кабинета удостоверяющего центра.
2. Экспортирую из хранилища Windows.
При этом получаются файлы с расширением cer разного размера.
Во втором способе примерно на килобайт больше, чем в первом.
При регистрации тестовой ИС ГИС принимает каждый из этих сертификатов.
Какой сертификат "скармливать" ГИСу?

б) При регистрации ИС (в другой УО) получают сообщение:
"Класс сертификата должен быть КС-2 и выше".
Как с этим бороться.

Спасибо!
 
Цитата
Programmer пишет:
Вопросы по интеграции.
а) Получаю квалифицированный сертификат двумя способами:
1. Скачиваю из личного кабинета удостоверяющего центра.
2. Экспортирую из хранилища Windows.
При этом получаются файлы с расширением cer разного размера.
Во втором способе примерно на килобайт больше, чем в первом.
При регистрации тестовой ИС ГИС принимает каждый из этих сертификатов.
Какой сертификат "скармливать" ГИСу?
How do I view the details of a digital certificate .cer file?
Для начала стоит сравнить сертификаты любым из предложенных способов. Может, они и не отличаются вообще, просто закодированы по-разному.
По идее, проверка сертификата - забота ГИС, и если её сертификат устраивает, то волноваться не о чем.
 
Цитата
two_oceans пишет:
Ничего себе, а мы все про библитеку говорили, про Эксель и личный кабинет. А тут "интеграционная платформа" и "единое информационное поле".

ЛОХОТРОН!!!
 
Цитата
Programmer пишет:
При этом получаются файлы с расширением cer разного размера.
Цитата
Sergey Cheban пишет:
Для начала стоит сравнить сертификаты любым из предложенных способов.
Согласен, если принимает то все ОК. Если разница примерно в 30% - это скорее всего различие в кодировке. Расширение cer ни о чем не говорит, внутри может быть разный формат файла - кодировка DER, кодировка PEM (Base-64) с заголовками, кодировка PEM без заголовков (последняя позволяет просто скопировать сертификат из XML в CER и увидеть содержимое в понятном виде). Windows открывает их все. Однако пара килобайт - довольно много: нормально если различие 3 и 4,5 Кб, а если 1 и 3 Кб, то много. Большой объем сертификата (3-10 Кб) может быть если УЦ включил в него дополнительную информацию - например логотип УЦ (у российских УЦ не видел) или детальное описание политик.

Кроме кодировки различие может быть из-за того, что при экспорте можно включить (или не включать) в файл сертификат самого удостоверяющего центра или вообще всю цепочку сертификатов. Обычный экспорт Windows при этом предлагает другое расширение файла p7b, pfx и т.д., но если кодировка файла PEM (Base-64) с заголовками, то в нее тоже можно затолкать несколько сертификатов и поставить расширение CER.
При скачивании это тоже актуально - некоторые УЦ включают свой сертификат, некоторые нет (если нет, то идет отдельным файлом). По изначальной задумке предполагается ставить сертификат ГУЦ Минкомсвязи, а кросс-сертификат УЦ должен быть выдан ГУЦ и включен в сертификат конечного пользователя, тогда цепочка восстановится автоматически. Однако какое-то УЦ включает свой корневой вместо кросс от Минкомсвязи, кто-то вообще не включает (это оставляет конечному пользователю выбор какой из сертификатов УЦ использовать, но об автоматике уже речь не идет).
Если у ГИС ЖКХ уже установлен сертификат этого УЦ, то включение/исключение сертификата УЦ из сертификата конечного пользователя не окажет никакого эффекта.
Цитата
Programmer пишет:
б) При регистрации ИС (в другой УО) получают сообщение:"Класс сертификата должен быть КС-2 и выше".
Про это я уже где-то тут отвечал подробно - в свойствах сертификата в "Политики сертификата" должно стоять значение "Класс средства ЭП КС2".

В дополнение к тому ответу скажу, что у КС1 и КС2 практически такой же программный состав КриптоПро, но для фактического класса КС2 по идее запрещено хранить ключи в Реестре - должен быть носитель с ключом (считыватель Реестр по умолчанию не ставится, но можно включить вручную) и что-то меняется с датчиком случайных чисел (биологический датчик по умолчанию отключен, но можно включить вручную, так как другого подходящего для КриптоПро датчика на большинстве компьютеров все равно нет). Лично мне кажется мягко говоря "странным" требовать КС2 для ИС - ИС как раз удобно хранить ключ в реестре, так как флешка/токен: 1) может просто "отвалиться" от сервера; 2) по умолчанию доступны всем пользователям компьютера; 3) весьма проблемно вводить пин-код для ИС; 4) не такие серьезные персональные данные в ГИС ЖКХ. Итого - у большинства все ограничится только отметкой КС2 в сертификате без соблюдения требований Класса КС2.

Сотрудники КриптоПро на форуме официально рекомендуют для ИС сохранять пин-код на уровне хранилища самого КриптоПро, так как при передаче из openssl пин-код не принимается в КриптоПро, параметров командной строки для пин-кода тоже не предусмотрено в утилитах КриптоПро - пин-код запрашивается отдельно (хотя это можно обойти специально составив команду перенаправления ввода-вывода).
 
Цитата отсюда https://habrahabr.ru/post/300856/
"Этот шаблон удалось сформировать расковыряв и проанализировав комплекс, который рекомендует использовать ГИС ЖКХ. Сам он находится в свободном доступе, но для работы требует СКЗИ КриптоПро CSP и СКЗИ Trusted Java 2.0."

Обязательно ли использовать это по? Спасибо!
 
Полагаю со времен той статью шаблон порядком устарел, я на нее натыкался больше года назад. Рекомендации возможно тоже.
Именно такую связку ПО использовать необязательно, но скорее всего придется вносить некие изменения. И даже наверно перечислить/проверить все возможные связки займет немало времени. Но обычно есть какой-то "клин" в каждой связке - или несертифицированный компонент или платный. Во многом ПО зависит от того, на какой стадии сейчас разработка ИС и какие компоненты использованы, какие сертификаты выпущены, потому как не все компоненты взаимозаменяемы (то есть бывает одно с другим не работает).

.Net позволяет заменить Java (и наоборот), для Java есть КриптоПро JSP (версия попроще чем CSP, для подписи XML ее теоретически хватает, но вылезает куча проблем с обновлением Java, поэтому подробно не смотрел). Без .Net и Java можно обойтись если текст запроса уже приведен к каноническому виду - в этом случае openssl достаточно. Над этим пробелом я сейчас работаю - приведение к каноническому виду в самом распространенном варианте уже работает, но еще куча мелочей до полного стандарта. Вместо КриптоПро CSP может использоваться Vipnet CSP (регистрационный номер бесплатен, но нужно указать на сайте реквизиты пользователя, номер приходит на почту), но его контейнеры не совместимы с КриптоПро и информации про перевод контейнеров Vipnet в другие форматы мне не попадалось - то ли все просто, то ли вообще никак, то ли все довольны Випнетом. Контейнеры КриптоПро можно перевести в вид для openssl (хотя работает со скрипом), а если выполняются требования к длине ключа возможно даже обратное преобразование.

Технически можно обойтись openssl и stunnel (если считать, что запросы уже приведены к каноническому виду), есть как бесплатные несертифицированные их версии (работать должно, но вдруг когда-нибудь проверять будут), так и платные сертифицированные версии. Тут есть момент - с КриптоПро ни те, ни другие работают не на 100% (TLS 1.0), поэтому КриптоПро выпустила свою версию, эта версия использует лицензию КриптоПро и сам КриптоПро CSP, без необходимости преобразовывать ключи. Кому-то даже stunnel не понадобился - http компоненты Дельфи сгодились.
 
Цитата
Programmer пишет:
Вопросы по интеграции.

б) При регистрации ИС (в другой УО) получают сообщение:
"Класс сертификата должен быть КС-2 и выше".
Как с этим бороться.

Спасибо!

Тут все просто, читаем требования к сертификату в документации ГИС ЖКХ (Альбом ТТФ):
2.1 Требования к установке защищенного соединения.
Передача данных между внешней системой и тестовым стендом выполняется по протоколу HTTPS с шифрованием по ГОСТ. Для получения доступа к тестовым и промышленным стендам необходимо получить сертификат и ключ, сформированные в соответствии со следующими требованиями:
1. Алгоритм подписи должен быть ГОСТ Р 34.11/34.10-2001 (Signature Algorithm: GOST R 34.11-94 with GOST R 34.10-2001)
2. класс средств ЭП владельца квалифицированного сертификата (Certificate Policies):
КС.2 и выше (должен содержать хотя бы 1.2.643.100.113.2);

Дело в том, что для работы с веб интерфейсом на сайте ГИС ЖКХ и выполнения "защищенных" операций, достаточно сертификата с уровнем защиты КС.1, а вот обмен информацией с помощью веб-сервисов требуют сертификат не ниже класса КС-2.
 
Кто-нибудь работал с новой версией протокола: v.11.14.0.13.4? Как там дела обстоят?
#121
0 0
Цитата
milly пишет:
Цитата
mercury пишет:
Отписался в службу поддержки ГИС ЖКХ
пришёл ответ (возможно кому поможет) :
Уважаемый пользователь!
На текущий момент, сменилась учетная запись для basic-авторизации используемой для доступа к СИТ01 и СИТ02.
Реквизиты новой учетной записи:
логин: sit
пароль: rZ_GG72XS^Vf55ZW

Скажите плиз, а откуда вы эти логины пароли брали ( первые). Я просмотрел всё что написано по интеграции у них, даже не понял с чего начинать даже, не только логин пароль найти для тестов. А вообще их документация на интеграцию просто ужасна, словно специально мозг ломают, что б люди помучались побольше.

на этом форуме на 6 странице two_oceans » 06 фев 2017, 06:14 писал , оттуда и взял :)
#122
0 0
Цитата
mercury пишет:
свойства FaultString, FaultCodeNamespace, FaultCode, FaultActor - пустые
Странно.
Цитата
mercury пишет:
Имя локального устройства уже используется http://prntscr.com/fbg0vj
Что-то не вижу текста "Имя локального устройства уже используется". По коду ошибки определился такой текст? Похоже при написании объекта Майкрософт использовали первый попавшийся код и по факту они просто намекают, что перед повторной инициализацией надо объект закрыть (хотя я не вникал есть ли закрытие/освобождение).
Цитата
mercury пишет:
пытаюсь отправить XML (руками нарисованный) я так понимаю это ответ ГИСа ? http://prntscr.com/fbg8xl
Да, ГИСа. Поздравляю, на правильном пути. Именно это ГИС и отвечает в браузер (то есть без отправки XML), требует сертификат ИС, хотя соединение незащищенное. Из Details самое интересное в строке "SoapFaultException: Certificate in header is blank", которая проясняет что фактически до поиска ИС не дошло, просто сертификат в запросе не обнаружен. Надо точнее разбираться что еще нужно дорисовать в XML или в HTTP заголовки. Скорее всего куда-то добавить сертификат, закодированный в base64.

Отправлено спустя 11 минуты 22 секунды:
Цитата
mercury пишет:
Скажите плиз, а откуда вы эти логины пароли брали ( первые).
А я в свою очередь из чата разработчиков интеграции. Однако, и в документации где-то мелькало (хотя не вспомню где именно). Впрочем на тестовом сейчас многое даже без пароля доступно.
Цитата
mercury пишет:
А вообще их документация на интеграцию просто ужасна, словно специально мозг ломают, что б люди помучались побольше.
Есть такое. Вообще вся эта тема по реализации SOAP со вкусом ГОСТ мучительная, и документация не сильно отличается для разных ФГИС. Но тут конечно еще запутаннее сделали - с кучей независимых сервисов и включением времени в подпись. Это даже в некотором роде смешно что клиент сам может выставить произвольное время (в пределах срока действия сертификата).

Отправлено спустя 18 минуты 4 секунды:
Цитата
milly пишет:
Но то как замутили с ГИС это конечно вынос мозга. Пока не знаю даже с какого конца к этому подходить. Задача безусловно интересная сделать интеграцию, с т.з. программирования, но чувствую одному не осилить.
Похоже да, надо объединяться - сделать некую единую платформу, которая бы всех устраивала. Как минимум для "быстрого старта". И тут уже интереснее обсудить до какого этапа нужно единую платформу довести. Ранее я думал о подходе - 1) после обновления схема разово преобразуется в шаблоны, определяется список данных для подстановки в шаблон. затем многократно используется шаблон с разными наборами данных. Но похоже разработчики ГИС думают в ключе 2) что при каждом! запросе будет анализироваться схема SOAP и по результатам анализа будут вставляться данные. Подход 1 требует хранения шаблонов и данных плюс выглядит "топорно", но выигрывает по времени; подход 2 требует больше времени, большего исправления программы после обновления версии, но с объектами удобнее работать и нет необходимости хранить что-то вне объекта.
#123
0 0
Дык а почему 1С не воспользоваться. Я на сколько понимаю выбрали именно soap из-за того, что вся страна (не РСО) использует данную информационную систему в предприятиях. Внедрялась она, как сугубо бухгалтерская программа, но сейчас в ней модулей до чертиков (и инженеры, и диспетчеры, и отделы по борьбе с населением). Веб сервис (по идее) должен настраиваться очень просто (!) через wsd файл. Не?
#124
0 0
НЕЕЕЕЕ
В основном потому, что у каждого программиста кто тут пытается интегрироваться уже есть своя ИС, которая во всем устраивает, только интеграции нет. Ради интеграции на 1С переходить никто не будет, потому что там: 1) нет гарантии интеграции все равно - цепляются через те же объекты MSSoap и XMLHTTP; 2) такая же опа с цифровой подписью по ГОСТ; 3) обновление 1С тоже через одно место - крайне сложно корректировать под каждую версию. Так что НЕ, но если платформа будет к ней можно и 1С прицепить потом (если будут желающие).
#125
0 0
Цитата
two_oceans пишет:
НЕЕЕЕЕ
В основном потому, что у каждого программиста кто тут пытается интегрироваться уже есть своя ИС, которая во всем устраивает, только интеграции нет. Ради интеграции на 1С переходить никто не будет, потому что там: 1) нет гарантии интеграции все равно - цепляются через те же объекты MSSoap и XMLHTTP; 2) такая же опа с цифровой подписью по ГОСТ; 3) обновление 1С тоже через одно место - крайне сложно корректировать под каждую версию. Так что НЕ, но если платформа будет к ней можно и 1С прицепить потом (если будут желающие).
Пол года назад одна по моему мнению известная компания, которая занимается автоматизацией производства из трех букв предлагала "адаптер" (по моему так они назвали его) который переносит данные из 1С в ГИС.
#126
0 0
Извините конечно, может не в тему.
Скажите, получил ЭЦП и готов попасть в ГИС ЖКХ. Там нужен паспорт (скан) руководителя?
#127
0 0
Может кто поделится функцией подписи XML в 1С в формате XMLDSIG?
#128
0 0
AlcorVol!Добрый день! Я тоже пишу на VFP. Как можно из VFP открыть шаблон xlsx для редактирования? Ка Вы выгружаете информацию? Очень благодарна за любую помощь!
#129
0 0
Цитата
Natulka93 пишет:
AlcorVol
Добрый. С цитатами быстрее обратят внимание.
Цитата
AlcorVol пишет:
Цитата
Basil пишет:
В соседней теме выкладывали версии класса для работы с XLSX из VFP и если не обращать внимание на отступления, там много полезного. С тех пор вроде бы ещё дальше доработали класс и подклассы.
Цитата
budunovmv пишет:
Может кто поделится функцией подписи XML в 1С в формате XMLDSIG?
Хорошая попытка. По идее такой код должен быть у "счастливых владельцев" версии 1С с выгрузкой в ГИС ЖКХ. Вот только они чаще всего не программисты (программисты сами пилят) и наверно не смогут его "расковырять" для нас.
#130
0 0
Цитата
Natulka93 пишет:
AlcorVol!Добрый день! Я тоже пишу на VFP. Как можно из VFP открыть шаблон xlsx для редактирования? Ка Вы выгружаете информацию? Очень благодарна за любую помощь!

Я пишу в Delphi. Там есть компоненты для работы с xls (они же работают и xlsx). Если попытаться провести аналогию работы с xlsx в VFP и Delphi, то открываете пустой шаблон, запоняете нужные ячейки, после этого применяете метод сохранения с новым именем, дабы не затереть пустой шаблон.
#131
0 0
Я в офисе 2007 прекрасно наловчилась загружать шаблоны.))
#132
0 0
Цитата
Natulka93 пишет:
Я тоже пишу на VFP. Как можно из VFP открыть шаблон xlsx для редактирования? Ка Вы выгружаете информацию? Очень благодарна за любую помощь!
Я Вам уже в личку ответил. Но тему ГИС"а сейчас слегка притормозил. До реальной выгрузки не добрался.
#133
0 0
ЛЮДИ ДОБРЫЕ! Слышал краем уха, что xlsx-файлы можно загружать не из личного кабинета, а напрямую, используя какие-то интернет-технологии. Подскажите, пожалуйста, где можно подробно ознакомиться с этим. Спасибо!
#134
0 0
Вот здесь http://pro-ldap.ru/tr/zytrax/tech/ssl.html написано: "Но, прежде чем выкладывать все свои сбережения за новенький блестящий сертификат X.509 (SSL)..."
Вопросы такие:
1) Нужен ли этот сертификат для интеграции (ГИС)?
2) Дорогой ли он?
3) Какой у него срок действия?
Спасибо!
#135
0 0
Начало там немного в сторону веб-технологий уводит, рекомендую сфокусироваться на сертификатах и читать с "Типы сертификатов X.509 и терминология".
Я так полагаю, уже есть наш ГОСТовский клиентский сертификат? Тогда не нужен, если в нем требования выполнены, используем какой у нас уже есть. Основной недостаток этой статьи - что там не про ГОСТовские сертификаты, части где упоминается RSA нужно мысленно заменить на ГОСТ-2001 и еще бы добавить про квалифицированные сертификаты и специфические расширения квалифицированных сертификатов.
Про блестящий ГОСТовский и так уже знаете - срок действия (КС1, КС2) не более 15 месяцев (как правило от 3 до 12), цена от 0 (для бюджетников в казначействе) до 26000 (суперкрутые сертификаты для торгов всем и везде, с 24/7 поддержкой). Однако механизмы SSL, построение цепочек, корневые/промежуточные/кросс сертификаты, смысл стандартных расширений сертификата, форматы, стандартыв и т.д. полностью такие же при использовании ГОСТовских сертификатов.

Вообще там имеется в виду случай когда сервер поднимаем мы. Тогда нам будет нужен не клиентский, а серверный сертификат. И если предполагается обычный сервер доступный по всему миру, то тут сертификат ГОСТ нам не поможет, так как зайти на него будет сложно не имея установленного криптопровайдера ГОСТ. Хотя OpenSSL его поддерживает и казалось бы браузеры, которые его используют должны успешно соединиться с сайтом, но это не так.
В первую очередь, потому что сама windows не распознает алгоритма из OpenSSL и не сможет проверить сертификат (чтобы опознала нужно зарегистрировать OpenSSL со вкусом ГОСТ в системе, как делают некоторые отечественные криптопровайдеры). То есть всю проверку сертификатов браузер тоже должен будет взять на себя (из распространенных браузеров на такое способен только Firefox). Во-вторых, хотя мы обычно этого не замечаем у нас в системе куча устаревших библиотек OpenSSL установленных разными приложениями. Большинство из них версии 0.9.8, не поддерживающей ГОСТ. Все эти устаревшие версии сильно мешают подключению. В-третьих, пространство доверия ГОСТ строится на сертификате ГУЦ и за границей мало кто о нем имеет представление, так как ни Windows, ни браузеры его не устанавливают автоматически.
Поэтому "новенький блестящий сертификат X.509 (SSL)" подразумевает получение сертификата не-ГОСТ, а значит неквалифицированного, за границей и за валюту. Как вариант настройка 2 сертификатов: один ГОСТ, другой не-ГОСТ. При нынешнем курсе очень дорого. Впрочем, многие наши хостинги их перепродают, например тут подробно описаны различия тарифов, на соседней странице сроки издания и цены.

Для интеграции же это в общем случае не нужно, однако если нужно будет соединить в своей сети несколько криптотоннелей в один, то может потребоваться серверный сертификат, чтобы принять зашифрованное соединение из другого тоннеля. Если все тоннели у себя, то выбор будет ли сертификат по алгоритму ГОСТ или нет на вашей совести, равно как и то покупать его где-то или выпустить свой (для внутреннего пользования), при этом "внешний" для связи с ГИС как обычно покупной ГОСТ. Как сляпать свой сертификат, свой УЦ в статье тоже есть. В случае квалифицированного сертификата ГОСТ конечно надо будет серьезно править конфигурацию OpenSSL (из статьи не подойдет).
Есть 2 основных отличия клиентского и серверного сертификатов: в клиентском стоит расширенное использование "Аутентификация клиента", а в качестве другого имени как правило указана почта. В серверном соответственно "Аутентификация сервера" и список имен сервера. Расширенное использование может быть совмещено, но список имен и почту обычно не совмещают.
#136
0 0
Учитывая криворукость ланитовых и сложности с интеграцией, было бы нормально сделать так:
В личном кабинете заполняешь форму настроек с такими пунктами:
1) свой IP
2) путь к папке с подготовленными шаблонами;
3) путь к папке с шаблонами, взятыми на обработку;
4) путь к папке с результатами;
5) почтовый адрес и тема письма.
Получив письмо с указанного адреса и заданной темой в настройках, система забирает шаблоны на обработку из папки 2) (автоматически определяя предназначение шаблона), перемещает их в папку 3), результаты сохраняет в папку 4). И все!
#137
0 0
Хм, наверно этого недостаточно) потому что придется у себя поддерживать сервер (FTP или HTTP c WebDAV), причем чтобы IP не менялся пока идет обработка - то есть статический, а это в свою очередь требует контроля за безопасностью: установки паролей или настройки входа по сертификату ГОСТ. И эцп все равно надо будет проставлять рано или поздно. С их стороны - настроить контроль от спама, чтобы письма не резались фильтром и систему коннекта. Что-то ничуть не проще выйдет.

Вот в обратную строну лучше - чтобы открывали доступ к изолированной ftp папке (как на виртуальном хостинге - ftp пароль и адрес сервера в ЛК) и там те самые три нужных папки, плюс в ЛК кнопка "Забрать". Хотя чего мечтать - они считают, что интеграция прекрасно идет и закачка шаблонов через ЛК тоже.

В этом смысле интереснее локальный клиент- "резидентный монитор", которому можно было скармливать шаблоны и сертификат и он бы сам генерил SOAP и коннектился к ГИС (и перекладывал по папкам). То есть готовое решение, причем не сторонней компании, а самих разработчиков чтобы все обновления на сервере синхронно с клиентом (как в сетевых играх MMO). То есть зарегал в ЛК ИС и сертификат, скормил сертификат и шаблоны клиенту, нажал пуск и пьешь кофе. По идее это бы и разгрузило серверы - разобрать XLSX (архив с кучей xml) посложнее чем один xml. Увы, клиент забыли, когда заказывали ГИС, так что пилим потихоньку сами. Впрочем, с учетом какое демо-приложение, может и хорошо что они клиент не написали. :D
#138
0 0
Цитата
two_oceans пишет:
они считают, что интеграция прекрасно идет

Вот именно - считают. У меня руки чешутся освоить и наладить интеграцию. Если я начну этим заниматься, то на первых порах будут глюки, скорее всего - мои. Откуда я бужу знать, искать ошибку у себя или этот глюк от ГИС?
#139
0 0
Значит надо "народный тренажер" сделать.
#140
0 0
Цитата
two_oceans пишет:
Хм, наверно этого недостаточно) потому что придется у себя поддерживать сервер (FTP или HTTP c WebDAV), причем чтобы IP не менялся пока идет обработка - то есть статический, а это в свою очередь требует контроля за безопасностью: установки паролей или настройки входа по сертификату ГОСТ. И эцп все равно надо будет проставлять рано или поздно. С их стороны - настроить контроль от спама, чтобы письма не резались фильтром и систему коннекта. Что-то ничуть не проще выйдет.

Вот в обратную строну лучше - чтобы открывали доступ к изолированной ftp папке (как на виртуальном хостинге - ftp пароль и адрес сервера в ЛК) и там те самые три нужных папки, плюс в ЛК кнопка "Забрать". Хотя чего мечтать - они считают, что интеграция прекрасно идет и закачка шаблонов через ЛК тоже.

В этом смысле интереснее локальный клиент- "резидентный монитор", которому можно было скармливать шаблоны и сертификат и он бы сам генерил SOAP и коннектился к ГИС (и перекладывал по папкам). То есть готовое решение, причем не сторонней компании, а самих разработчиков чтобы все обновления на сервере синхронно с клиентом (как в сетевых играх MMO). То есть зарегал в ЛК ИС и сертификат, скормил сертификат и шаблоны клиенту, нажал пуск и пьешь кофе. По идее это бы и разгрузило серверы - разобрать XLSX (архив с кучей xml) посложнее чем один xml. Увы, клиент забыли, когда заказывали ГИС, так что пилим потихоньку сами. Впрочем, с учетом какое демо-приложение, может и хорошо что они клиент не написали. :D

Примерно так работает приложение из примера взаимодействия по SOAP, выложенного на сайте ГИС ЖКХ. Подкладываешь ему excel шаблон в виде csv (только в заголовках там имена элементов и атрибутов) . Оно генерит пакет SOAP, подписывает и отправляет его в ГИС. Ответный пакет так же выкладывается в виде excel (csv)
#141
0 0
Ага ага, только насколько помню:
1) .Net использует, что я считаю существенным минусом (как раз сейчас пытаюсь установить новый и матерюсь - видите ли для установки нужен обновленный компилятор Direct 3D, которого просто так не предлагают установить, впаривают в составе огромного ежемесячного кумулятива и только когда он понадобится скромно говорят "click here");
2) ага сохранять из шаблона xls в cvs конечно можно, но как-то мне кажется противоестественным, не проще тогда приложением xlsx принимать;
3) адрес wsdl как я понимаю нужно указывать для каждого закинутого шаблона, автодетекта (такой-то шаблон отправить по такому-то адресу) нет.
Короче, на то оно и демо-приложение.
#142
0 0
Цитата
two_oceans пишет:
Ага ага, только насколько помню:
1) .Net использует, что я считаю существенным минусом (как раз сейчас пытаюсь установить новый и матерюсь - видите ли для установки нужен обновленный компилятор Direct 3D, которого просто так не предлагают установить, впаривают в составе огромного ежемесячного кумулятива и только когда он понадобится скромно говорят "click here");
2) ага сохранять из шаблона xls в cvs конечно можно, но как-то мне кажется противоестественным, не проще тогда приложением xlsx принимать;
3) адрес wsdl как я понимаю нужно указывать для каждого закинутого шаблона, автодетекта (такой-то шаблон отправить по такому-то адресу) нет.
Короче, на то оно и демо-приложение.

Ну так ни кто и не спорит, что это демка, а не продакшн. Но, в качестве отправной точки, можно посмотреть.
#143
0 0
Вопросы по интеграции.

а) Получаю квалифицированный сертификат двумя способами:
1. Скачиваю из личного кабинета удостоверяющего центра.
2. Экспортирую из хранилища Windows.
При этом получаются файлы с расширением cer разного размера.
Во втором способе примерно на килобайт больше, чем в первом.
При регистрации тестовой ИС ГИС принимает каждый из этих сертификатов.
Какой сертификат "скармливать" ГИСу?

б) При регистрации ИС (в другой УО) получают сообщение:
"Класс сертификата должен быть КС-2 и выше".
Как с этим бороться.

Спасибо!
#144
0 0
Цитата
Programmer пишет:
Вопросы по интеграции.
а) Получаю квалифицированный сертификат двумя способами:
1. Скачиваю из личного кабинета удостоверяющего центра.
2. Экспортирую из хранилища Windows.
При этом получаются файлы с расширением cer разного размера.
Во втором способе примерно на килобайт больше, чем в первом.
При регистрации тестовой ИС ГИС принимает каждый из этих сертификатов.
Какой сертификат "скармливать" ГИСу?
How do I view the details of a digital certificate .cer file?
Для начала стоит сравнить сертификаты любым из предложенных способов. Может, они и не отличаются вообще, просто закодированы по-разному.
По идее, проверка сертификата - забота ГИС, и если её сертификат устраивает, то волноваться не о чем.
#145
0 0
Цитата
two_oceans пишет:
Ничего себе, а мы все про библитеку говорили, про Эксель и личный кабинет. А тут "интеграционная платформа" и "единое информационное поле".

ЛОХОТРОН!!!
#146
0 0
Цитата
Programmer пишет:
При этом получаются файлы с расширением cer разного размера.
Цитата
Sergey Cheban пишет:
Для начала стоит сравнить сертификаты любым из предложенных способов.
Согласен, если принимает то все ОК. Если разница примерно в 30% - это скорее всего различие в кодировке. Расширение cer ни о чем не говорит, внутри может быть разный формат файла - кодировка DER, кодировка PEM (Base-64) с заголовками, кодировка PEM без заголовков (последняя позволяет просто скопировать сертификат из XML в CER и увидеть содержимое в понятном виде). Windows открывает их все. Однако пара килобайт - довольно много: нормально если различие 3 и 4,5 Кб, а если 1 и 3 Кб, то много. Большой объем сертификата (3-10 Кб) может быть если УЦ включил в него дополнительную информацию - например логотип УЦ (у российских УЦ не видел) или детальное описание политик.

Кроме кодировки различие может быть из-за того, что при экспорте можно включить (или не включать) в файл сертификат самого удостоверяющего центра или вообще всю цепочку сертификатов. Обычный экспорт Windows при этом предлагает другое расширение файла p7b, pfx и т.д., но если кодировка файла PEM (Base-64) с заголовками, то в нее тоже можно затолкать несколько сертификатов и поставить расширение CER.
При скачивании это тоже актуально - некоторые УЦ включают свой сертификат, некоторые нет (если нет, то идет отдельным файлом). По изначальной задумке предполагается ставить сертификат ГУЦ Минкомсвязи, а кросс-сертификат УЦ должен быть выдан ГУЦ и включен в сертификат конечного пользователя, тогда цепочка восстановится автоматически. Однако какое-то УЦ включает свой корневой вместо кросс от Минкомсвязи, кто-то вообще не включает (это оставляет конечному пользователю выбор какой из сертификатов УЦ использовать, но об автоматике уже речь не идет).
Если у ГИС ЖКХ уже установлен сертификат этого УЦ, то включение/исключение сертификата УЦ из сертификата конечного пользователя не окажет никакого эффекта.
Цитата
Programmer пишет:
б) При регистрации ИС (в другой УО) получают сообщение:"Класс сертификата должен быть КС-2 и выше".
Про это я уже где-то тут отвечал подробно - в свойствах сертификата в "Политики сертификата" должно стоять значение "Класс средства ЭП КС2".

В дополнение к тому ответу скажу, что у КС1 и КС2 практически такой же программный состав КриптоПро, но для фактического класса КС2 по идее запрещено хранить ключи в Реестре - должен быть носитель с ключом (считыватель Реестр по умолчанию не ставится, но можно включить вручную) и что-то меняется с датчиком случайных чисел (биологический датчик по умолчанию отключен, но можно включить вручную, так как другого подходящего для КриптоПро датчика на большинстве компьютеров все равно нет). Лично мне кажется мягко говоря "странным" требовать КС2 для ИС - ИС как раз удобно хранить ключ в реестре, так как флешка/токен: 1) может просто "отвалиться" от сервера; 2) по умолчанию доступны всем пользователям компьютера; 3) весьма проблемно вводить пин-код для ИС; 4) не такие серьезные персональные данные в ГИС ЖКХ. Итого - у большинства все ограничится только отметкой КС2 в сертификате без соблюдения требований Класса КС2.

Сотрудники КриптоПро на форуме официально рекомендуют для ИС сохранять пин-код на уровне хранилища самого КриптоПро, так как при передаче из openssl пин-код не принимается в КриптоПро, параметров командной строки для пин-кода тоже не предусмотрено в утилитах КриптоПро - пин-код запрашивается отдельно (хотя это можно обойти специально составив команду перенаправления ввода-вывода).
#147
0 0
Цитата отсюда https://habrahabr.ru/post/300856/
"Этот шаблон удалось сформировать расковыряв и проанализировав комплекс, который рекомендует использовать ГИС ЖКХ. Сам он находится в свободном доступе, но для работы требует СКЗИ КриптоПро CSP и СКЗИ Trusted Java 2.0."

Обязательно ли использовать это по? Спасибо!
#148
0 0
Полагаю со времен той статью шаблон порядком устарел, я на нее натыкался больше года назад. Рекомендации возможно тоже.
Именно такую связку ПО использовать необязательно, но скорее всего придется вносить некие изменения. И даже наверно перечислить/проверить все возможные связки займет немало времени. Но обычно есть какой-то "клин" в каждой связке - или несертифицированный компонент или платный. Во многом ПО зависит от того, на какой стадии сейчас разработка ИС и какие компоненты использованы, какие сертификаты выпущены, потому как не все компоненты взаимозаменяемы (то есть бывает одно с другим не работает).

.Net позволяет заменить Java (и наоборот), для Java есть КриптоПро JSP (версия попроще чем CSP, для подписи XML ее теоретически хватает, но вылезает куча проблем с обновлением Java, поэтому подробно не смотрел). Без .Net и Java можно обойтись если текст запроса уже приведен к каноническому виду - в этом случае openssl достаточно. Над этим пробелом я сейчас работаю - приведение к каноническому виду в самом распространенном варианте уже работает, но еще куча мелочей до полного стандарта. Вместо КриптоПро CSP может использоваться Vipnet CSP (регистрационный номер бесплатен, но нужно указать на сайте реквизиты пользователя, номер приходит на почту), но его контейнеры не совместимы с КриптоПро и информации про перевод контейнеров Vipnet в другие форматы мне не попадалось - то ли все просто, то ли вообще никак, то ли все довольны Випнетом. Контейнеры КриптоПро можно перевести в вид для openssl (хотя работает со скрипом), а если выполняются требования к длине ключа возможно даже обратное преобразование.

Технически можно обойтись openssl и stunnel (если считать, что запросы уже приведены к каноническому виду), есть как бесплатные несертифицированные их версии (работать должно, но вдруг когда-нибудь проверять будут), так и платные сертифицированные версии. Тут есть момент - с КриптоПро ни те, ни другие работают не на 100% (TLS 1.0), поэтому КриптоПро выпустила свою версию, эта версия использует лицензию КриптоПро и сам КриптоПро CSP, без необходимости преобразовывать ключи. Кому-то даже stunnel не понадобился - http компоненты Дельфи сгодились.
#149
0 0
Цитата
Programmer пишет:
Вопросы по интеграции.

б) При регистрации ИС (в другой УО) получают сообщение:
"Класс сертификата должен быть КС-2 и выше".
Как с этим бороться.

Спасибо!

Тут все просто, читаем требования к сертификату в документации ГИС ЖКХ (Альбом ТТФ):
2.1 Требования к установке защищенного соединения.
Передача данных между внешней системой и тестовым стендом выполняется по протоколу HTTPS с шифрованием по ГОСТ. Для получения доступа к тестовым и промышленным стендам необходимо получить сертификат и ключ, сформированные в соответствии со следующими требованиями:
1. Алгоритм подписи должен быть ГОСТ Р 34.11/34.10-2001 (Signature Algorithm: GOST R 34.11-94 with GOST R 34.10-2001)
2. класс средств ЭП владельца квалифицированного сертификата (Certificate Policies):
КС.2 и выше (должен содержать хотя бы 1.2.643.100.113.2);

Дело в том, что для работы с веб интерфейсом на сайте ГИС ЖКХ и выполнения "защищенных" операций, достаточно сертификата с уровнем защиты КС.1, а вот обмен информацией с помощью веб-сервисов требуют сертификат не ниже класса КС-2.
#150
0 0
Кто-нибудь работал с новой версией протокола: v.11.14.0.13.4? Как там дела обстоят?
Сейчас на форуме никого нет :(
Сейчас на форуме никого нет :(

Подпишись на рассылку новостей ЖКХ, а также наших статей!

Спасибо, вы успешно подписались на рассылку!