Секреты сервиса и данных шифруются сертификатами, указанными в конфигурационном файле сервиса ключей. При развертывании сервиса устанавливается два сертификата: основной и запасной. Если что-то произойдет с основным, например, истечет срок действия, будет использоваться второй сертификат. При замене сертификатов новые секреты шифруются новыми сертификатами, а существующие – старыми. Старые сертификаты используются только для расшифрования старых секретов.

Важно. Обязательно сохраните резервную копию сертификатов шифрования и секретов сервиса, так как:

•одновременная утеря закрытых ключей основного и запасного сертификата ведет к невозможности расшифровки всех документов, секреты которых зашифрованы этими сертификатами;

•утеря секрета сервиса ведет к невозможности расшифровки всех документов, для шифрования которых использовался этот секрет сервиса.

Даже если у вас есть резервные копии документов, их нельзя будет восстановить, так как они зашифрованы. Резервные копии секретов рекомендуется хранить отдельно от копий сертификатов.

При плановой замене сертификатов шифрования, когда истек срок действия основного или запасного сертификата либо в аварийных ситуациях система позволяет защитить данные. Для этого вы можете оперативно заменить сертификаты и запустить перешифрование секретов сервиса, секретов данных и перешифровать содержимое документов.

Плановая замена сертификатов

Предположим, что через несколько дней истекает срок действия основного или запасного сертификата. Чтобы заменить сертификат:

1.Установите новый основной или запасной сертификат на сервере, где развернут сервис ключей. Для установки используйте утилиту certificate-tool.

Установите на сервере открытый и закрытый ключ основного сертификата. Для запасного сертификата установите только открытый ключ, а закрытый ключ сохраните отдельно и разместите, например в сейфе.

2.В конфигураторе Directum Launcher в секции Сервис ключей (KeyDerivationService) заполните параметр SECRET_CERTIFICATE_THUMBPRINT – отпечаток основного сертификата шифрования секрета или BACKUP_SECRET_CERTIFICATE_THUMBPRINT – отпечаток запасного сертификата шифрования секрета.

3.Запустите командную строку и с помощью команды gen-new-secret сгенерируйте новый секрет сервиса.

do keyderivationservice gen-new-secret

В результате новые секреты сервиса и данных будут шифроваться обновленным сертификатом, предыдущие секреты будут расшифровываться старым сертификатом.

4.Если нужно, чтобы все предыдущие и новые секреты сервиса и данных шифровались только обновленным сертификатом, перешифруйте секрет сервиса и связанные с ним секреты данных. В результате старый сертификат не будет участвовать ни в каких процессах, его можно удалить с сервиса ключей.

Замена основного сертификата

Если истек срок действия основного сертификата, он отозван и др., то система не сможет шифровать или расшифровывать документы. В этом случае для замены сертификата:

1.Установите закрытый ключ запасного сертификата на сервере, где развернут сервис ключей. Расшифрование документов возобновится.

2.Установите новый основной сертификат на сервере, где развернут сервис ключей. Для установки используйте утилиту certificate-tool.

3.В конфигураторе Directum Launcher в секции Сервис ключей (KeyDerivationService) замените значение в параметре SECRET_CERTIFICATE_THUMBPRINT – отпечаток основного сертификата шифрования секрета.

4.Запустите командную строку и с помощью команды gen-new-secret сгенерируйте новый секрет сервиса. Работа шифрования возобновится.

do keyderivationservice gen-new-secret

5.Перешифруйте секреты сервиса, которые шифровались старым сертификатом.

6.Перешифруйте секреты данных, которые связаны с секретами сервиса.

7.Удалите закрытый ключ запасного сертификата с сервиса ключей, храните его отдельно, например в сейфе.

Замена запасного сертификата

Если истек срок действия запасного сертификата, он отозван и др., то система не сможет шифровать документы. В этом случае для замены сертификата:

1.Установите новый запасной сертификат. На сервере, где развернут сервис ключей, установите открытый ключ сертификата. Закрытый ключ сохраните отдельно и разместите, например в сейфе.

2.В конфигураторе Directum Launcher в секции Сервис ключей (KeyDerivationService) замените значение в параметре BACKUP_SECRET_CERTIFICATE_THUMBPRINT – отпечаток запасного сертификата шифрования секрета.

3.Запустите командную строку и с помощью команды gen-new-secret сгенерируйте новый секрет сервиса. Работа шифрования возобновится.

do keyderivationservice gen-new-secret

4.Перешифруйте секреты сервиса, которые шифровались старым сертификатом.

5.Перешифруйте секреты данных, которые связаны с секретами сервиса.

Замена сертификатов, секретов сервиса и перешифрование документов

Если утерян закрытый ключ основного или запасного сертификата, например скомпрометирован, то чтобы злоумышленники не смогли расшифровать секреты сервиса, а затем и содержимое документов, выполните действия:

1.Отзовите сертификат, закрытый ключ которого скомпрометирован.

2.Если утерян закрытый ключ основного сертификата, установите закрытый ключ запасного сертификата на сервере, где развернут сервис ключей.

3.Установите новый сертификат на сервере, где развернут сервис ключей.

Для основного сертификата установите на сервере открытый и закрытый ключ. Для запасного сертификата установите только открытый ключ, а закрытый сохраните отдельно и разместите, например в сейфе.

4.В конфигураторе Directum Launcher в секции Сервис ключей (KeyDerivationService) заполните параметры:

•SECRET_CERTIFICATE_THUMBPRINT – если заменяется основной сертификат;

•BACKUP_SECRET_CERTIFICATE_THUMBPRINT – если заменяется запасной сертификат.

5.Запустите командную строку и с помощью команды gen-new-secret сгенерируйте новый секрет сервиса.

do keyderivationservice gen-new-secret

6.Перешифруйте секреты сервиса, которые шифровались утерянным сертификатом.

7.Перешифруйте секреты данных, которые связаны с секретами сервиса.

8.Перешифруйте содержимое документов с использованием актуального секрета сервиса и секрета данных.

© Компания Directum, 2024