1.Установите сервер электронной подписи КриптоПро DSS. Подробнее см. в документации КриптоПро DSS, статья «Развертывание КриптоПро DSS».

2.В КриптоПро DSS зарегистрируйте OAuth-клиент для системы Directum RX. Для этого с помощью PowerShell-сценария выполните командлет Add-DssClient. Пример:

Add-DssClient -Identifier Sungero -Name DirectumRX -AllowedFlow TokenExchange

Так как сервер КриптоПро DSS установлен локально, в качестве идентификатора OAuth-клиента -Identifier можно указать значение с любым понятным названием.

3.В КриптоПро DSS укажите систему Directum RX в качестве стороннего центра идентификации (СЦИ) и настройте доверие к ее маркерам доступа. Для этого с помощью PowerShell-сценария выполните командлеты Add-DssIdentityProvider и Add-DssIdentityProviderSigningCertificate. Пример:

Add-DssIdentityProvider -IssuerName IssuerSungero
Set-DssIdentityProviderWsFedEndpoint -IssuerName IssuerSungero
Set-DssIdentityProvider -IssuerName IssuerSungero -ShowInUi 1
$Id = (Get-DssIdentityProvider -IssuerName IssuerSungero).Id
Add-DssIdentityProviderSigningCertificate -ID $Id -Kid 4ABB66CF02C4C302959DCF9A495677BCFA7C9ED9 -Certificate "D:\Cert\Sungero.cer"

В командлетах укажите отпечаток и открытый ключ сертификата Sungero data protection проверки токена доступа к сервисам.

Сертификат генерируется во время установки Directum RX, его отпечаток записывается в конфигурационном файле config.yml в секцию common_config в параметр DATA_PROTECTION_CERTIFICATE_THUMBPRINT. Файл сертификата можно выгрузить на сервере с помощью оснастки Сертификаты.

4.На странице Центра идентификации КриптоПро DSS войдите в «Личный кабинет», затем на вкладке «Пользователи» создайте пользователей, которые будут использовать облачную ЭП. Логин пользователя СЭП должен совпадать с именем учетной записи Directum RX, то есть пользователей Directum RX нужно продублировать в СЭП.

ПРИМЕЧАНИЕ. Если используется Windows-аутентификация, то имя пользователя и в Directum RX, и в СЭП нужно указывать в формате, который принят в используемой операционной системе, например <Домен>\<Имя пользователя>.

5.В СЭП для каждого пользователя настройте внешний логин, чтобы пользователь мог подключаться из Directum RX к КриптоПро DSS. Для этого на странице Центра идентификации КриптоПро DSS на вкладке «Пользователи» перейдите в «Настройки аутентификации пользователя». Затем добавьте способ входа, задайте внешний логин и установите переключатель Аутентификация по SAML-токену. В результате в списке «Пользователи» в поле Логин будет отображаться внешний логин.

6.Если вы планируете использовать усиленную неквалифицированную ЭП, то в КриптоПро DSS включите подписание хеша документов. Для этого с помощью PowerShell-сценария выполните командлет Set-DssProperties:

Set-DssProperties -AllowHashSigning 1

7.Если вы планируете использовать усиленную квалифицированную ЭП, то установите сервис обработки документов. Подробнее см. в документации КриптоПро DSS, статьи «Сервис обработки документов» и «Развертывание сервиса обработки документов».

8.Если вы планируете подписывать усиленной квалифицированной ЭП значительное количество документов (более 10 в минуту и размером более 5 Мбайт), то настройте потоковый доступ к документам по инструкции КриптоПро «Настройка потокового доступа к документам (FILESTREAM)».

ПРИМЕЧАНИЕ. Если используется усиленная неквалифицированная ЭП, то на сервер КриптоПро DSS передается только хеш документа. При подписании усиленной квалифицированной ЭП передается содержимое документа, поэтому документы большого размера подписываются медленнее.

9.В СЭП для каждого пользователя на закладке «Сертификаты» сгенерируйте сертификаты облачного подписания

10.В справочнике «Цифровые сертификаты» добавьте сертификаты, которые сгенерировали на предыдущем шаге. В карточке добавленных сертификатов в поле Плагин укажите идентификатор плагина подписания КриптоПро DSS – 22837f59-e686-4c9b-a8e0-8dec1562aa0a.

11.Настройте плагин подписания КриптоПро DSS:

•задайте стандартные настройки плагина, при которых аутентификация в КриптоПро DSS выполняется средствами Directum RX (рекомендуемый способ);

•добавьте дополнительные настройки, если требуется настроить аутентификацию в КриптоПро DSS по протоколу OAuth 2.0 с помощью внешнего провайдера Active Directory Federation Services (ADFS).

12.В Directum RX не поддерживается двухфакторная аутентификация при подписании, поэтому отключите политику подтверждения действий в КриптоПро DSS. Для этого с помощью PowerShell-сценария выполните командлет Set-DssConfirmationPolicy. Пример:

Set-DssConfirmationPolicy -IdpId 1 -NoneOpcActions -AllowChangeByUser 0 -AllowOverride 0 -AllowChangeByOperator 0