Публикация Веб-интерфейса КриптоПро DSS на внешнем ресурсе (DSS 3284 и выше)

В данной статье описываются настройки, которые необходимо выполнить для публикации компонентов Веб-интерфейса КриптоПро DSS на внешнем ресурсе. К компонентам Веб-интерфейса DSS относятся: веб-интерфейс пользователя, личный кабинет оператора, личный кабинет оператора аудита. После выполнения приведённых ниже действий веб-интерфейс DSS будет доступен из браузеров пользователей по внешнему URL-адресу, отличному от локального адреса сервера, на котором развёрнуты компоненты.

Важно:

Для доступа к сервисам КриптоПро DSS по API никакие дополнительные настройки компонентов не требуются.

После настройки необходимо заходить в веб-интерфейс DSS только по новым адресам.

Перед выполнением настроек необходимо сконфигурировать в привязках веб-сервера IIS TLSсертификат, в котором в SAN указано внешнее(по которому будут опубликованы сервисы DSS) и внутренее имя хоста.

Так как после настроек Веб-интерфейс DSS будет доступен только по внешнему адресу, рекомендуется для доступа к нему с самого сервера или из локальной сети настроить через файл hosts разрешение внешнего имени в правильный внутренний IP-адрес (на самом сервере в качестве IP-адреса можно указывать loopback 127.0.0.1).

Последовательность действий для изменения настроек:

1.        Изменить параметры аутентификации Веб-интерфейса пользователя по протоколу OIDC.
2.        Изменить адрес перенаправления для OAuth-клиента, соответствующего Веб-интерфейсу пользователя.
3.        Для доверенной стороны Веб-интерфейса пользователя изменить параметр AdministrativeUrl в соответствии с новым внешним адресом.
4.        Для доверенной стороны Веб-интерфейса Аудита добавить в список Identities значение с указанием нового внешнего адреса
5.        Изменить параметры аутентификации Веб-интерфейса Аудита по протоколу OIDC.
6.        Выполнить команду iisreset (или перезапуск всех настроенных экземпляров) на каждом узле кластера DSS.

Важно: настройки для пункта 1 должны быть выполнены на всех узлах кластера DSS(так как настройки Веб-интерфейса пользователя хранятся локально на сервере).

Пример выполнения командлетов (пронумеровано согласно номерам пунктов выше):

$Displayname = "<имя пула приложений фронтенда>"
$Displaynameidp ="<имя пула приложений центра идентификации>"
$Displaynameaudit ="<имя пула приложений сервиса аудита>"
$NEWDNSName ="<новое DNS имя>"

1. set-DssFeOidcSettings -Displayname $Displayname –Realm https://$NEWDNSName/$Displayname -Issuer https://$NEWDNSName/$Displaynameidp
2. $feclient= (Get-DssFeOidcSettings -Displayname $Displayname ).ClientId
set-DssClient -Displayname $Displaynameidp -ClientId $feclient -RedirectUri "https://$NEWDNSName/$Displayname/Users/ExternalCallback","https://$NEWDNSName/$Displayname/Admins/Users/ExternalCallback"
3. set-DssRelyingPartyTrust -Displayname $Displaynameidp -Id <id доверенной стороны фронтенда> -AdministrativeUrl https://$NEWDNSName/$Displayname/Admins/
4. $identities = (Get-DssRelyingPartyTrust -Displayname $Displaynameidp -Id <id доверенной стороны аудита> ).Identities $identities.Add("https://$NEWDNSName/$Displaynameaudit/Audit")
#убираем отпечаток из массива
$x= 0
$identities = $identities | Where-Object { $_ -ne $identities[$x] }
Set-DssRelyingPartyTrust -Displayname $Displaynameidp -Id <id доверенной стороны аудита> -Identities $identities
5. set-dssAnalyticsWSFederationSettings -Displayname $Displaynameaudit -Issuer https://$NEWDNSName/$Displaynameidp/sts/issue/ -Realm https://$NEWDNSName/$Displaynameaudit/Audit
6. #Если значение SslAuthHostName в DssStsProperties было задано, надо будет изменить его в сооветствии с новым DNS именем
iisreset