Приведенная ниже инструкция позволяет создать защищенное соединение для работы с тестовым стендом, которое может быть использовано программными средствами без возможности обеспечить шифрование по ГОСТ (например, SOAPUI, браузер Chrome).

1. Загрузить и установить КриптоПро CSP, требуется регистрация на сайте https://www.cryptopro.ru/products/csp/downloads
2. Создать и отправить запрос на сертификат https://www.cryptopro.ru/ui/Register/RegGetSubject.asp (ИНН и ОГРН/ОГРНИП в сертификате должны совпадать с ИНН и ОГРН/ОГРНИП Оператора системы, указанными в заявке на подключение ИС к информационному взаимодействию с ГИС ЖКХ) В качестве шаблона сертификата выбрать «Сертификат пользователя УЦ». Для генерации сертификата на сайте КРИПТО-ПРО необходимо использовать браузер Intenet Explorer.
3. Экспортировать открытую часть сертификата в формате DER, прислать файл оператору ГИС ЖКХ и сохранить на жёсткий диск, например C:\client.cer.
4. Установить КриптоПро Stunnel https://www.cryptopro.ru/products/other/stunnel путём запуска stunnel.exe –install. В дальнейшем служба для старта будет использовать файл stunnel.exe из той папки откуда была проведена установка.
5. Скопировать контейнер с закрытым ключом в хранилище компьютера и установить сертификат из него. Для того, что бы перенести контейнер в хранилище компьютера необходимо в КриптоПро CSPна вкладке “Сервис” нажать кнопку “Копировать” и выбрать необходимый контейнер. В следующем окне ввести новое имя контейнера и установить переключатель в позицию “Компьютер”. После этого установить сертификат при помощи кнопки “Посмотреть сертификат в контейнере” на вкладке “Cервис”, так же установив переключатель в положение “Компьютер”. Если поле “Компьютер” не активно необходимо запустить КриптоПро CSPc правами Администратора. Контейнер должен быть без пароля, либо пароль должен быть сохранен. Так же возможно настроить службу stunnelна запуск от локального пользователя, которому принадлежат контейнер и сертификат.
6. Создать файл C:\WINDOWS\system32\stunnel.confследующего вида:

output=C:\stunnel.log

socket = l:TCP_NODELAY=1

socket = r:TCP_NODELAY=1

debug = 7

[https]

client = yes

accept=localhost:8080

connect = 217.107.108.147:10081

cert=C:\clent.cer

verify=2

директивы outputи verifyустанавливают путь к файлу журнала и уровень протоколирования;

директива connectможет иметь значение 217.107.108.156:10081;

директива verifyзадаёт режим проверки сертификата удалённого компьютера:

0 — Игнорировать сертификат

1 — Проверять сертификат если есть

2 — Всегда проверять сертификат.

В тестовом режиме необходимо устаановить сертификат Тестового УЦ ООО «КРИПТО-ПРО» в хранилище “Доверенные корневые центры сертификации” Локального компьютера.

7. Проверить доступность порта 8080, запустив из командной строки cmd: netstat–an, если порт нигде не фигурирует, значит можно использовать его.
8. Запуск, остановка и изменение параметров запуска службы осуществляются через стандартную оснастку управления службами (services.msc). В дальнейшем работа с сервером интеграции осуществляться по адресу:

 http://localhost:8080/<адрес_интеграционного_сервиса>.

9. Для реализации защищенного соединения с промышленным стендом ГИС ЖКХ необходимо:

- использовать полноценную (не демо) лицензионную версию КриптоПро CSP;

- для генерации сертификата и ключа использовать аккредитованный, не тестовый УЦ. Список аккредитованных УЦ распостраняется через портал http://e-trust.gosuslugi.ru/, сертификат должен проходить проверку подлинности ИС ГУЦ http://www.gosuslugi.ru/pgu/eds/

- для директивы connectуказать значение api.dom.gosuslugi.ru:443.

- установить сертификат Головного УЦ в хранилище “Доверенные корневые ЦС”.

- установить сертификаты ЦС УЦ ФГУП «Почта России» и необходимые сертификаты УЦ 1-2 ИС ГУЦ в хранилище “Промежуточные центры сертификации”.