Skip to content

Info from IIT Library docs for encryption service

Jump to bottom
Dmytro Minochkin edited this page Oct 25, 2024 · 1 revision

Encryption Service

Бібліотека euscp.so завантажується прикладними програмами засобами ОС.

Бібліотека euscp.so, а також інші бібліотеки, які використовуються нею, повинні бути розміщені у каталозі, який внесений у змінну оточення LD_LIBRARY_PATH (ОС Linux, Sun OS, FreeBSD), LIBPATH (ОС AIX).

Important

При використанні бібліотеки в Docker-контейнері на базі Alpine Linux, необхідно додатково встановити бібліотеку gcompat та додати змінну оточення LD_PRELOAD=/lib/libgcompat.so.0. Приклад конфігурації Dockerfile:

ENV LD_PRELOAD=/lib/libgcompat.so.0
RUN apk add gcompat

Параметри роботи бібліотеки

Параметри, що використовуються бібліотекою, зберігаються у файлі конфігурації osplm.ini з використанням кодування CP-1251.

Пошук файлу конфігурації в системі виконується бібліотекою в наступній послідовності:

  • в каталогах, що внесені у змінну оточення LD_LIBRARY_PATH (ОС Linux, Sun OS, FreeBSD), LIBPATH (ОС AIX);
  • в поточному каталозі;
  • в каталозі з програмою.

У випадку, якщо не знайдено файл конфігурації osplm.ini, бібліотекою буде виконано пошук файлу конфігурації ospcu.ini у послідовності, що вказана вище.

Якщо файли конфігурації не знайдено, файл osplm.ini буде створено в каталозі де розташовано бібліотеку euscp.so.

Якщо права запису до файлу конфігурації відсутні, параметри буде збережено у внутрішньому стані бібліотеки.

Якщо в якості місця розташування параметрів використовується файл конфігурації та зміни вносяться безпосередньо до цього файлу (без використання відповідних функцій бібліотеки), для застосування встановлених параметрів необхідно переініціалізувати бібліотеку.

Загальні параметри

Для роботи бібліотеки необхідно обов’язково встановити (проініціалізувати значеннями) наступні параметри:

  • файлового сховища (FileStore);
  • Proxy-сервера (Proxy);
  • TSP-сервера (TSP);
  • OCSP-сервера (OCSP);
  • LDAP-сервера (LDAP).

Important

Каталог з сертифікатами та СВС повинен містити кореневі сертифікати ЦСК (файли з розширенням *.cer, *.crt, *.p7b) з якими буде працювати криптобібліотека.

У випадку використання сервісів ЦСК (OCSP, TSP, CMP) додатково в каталозі необхідно розмістити сертифікати сервісів.

Note

Параметри доступу до TSP-сервера для отримання мітки часу обираються в наступній послідовності:

  • поле "Точка доступу до TSP-сервера" з сертифіката підписувача;
  • поле "DNS ім’я чи інше технічного засобу" з сертифіката TSP–сервера того ж ЦСК, що й сертифікат підписувача;
  • параметри криптобібліотеки для TSP-сервера "Address" та "Port".

У випадку якщо поле "Точка доступу до TSP-сервера" з сертифіката підписувача або поле "DNS ім’я чи інше технічного засобу" з сертифіката TSP–сервера не містить порт для підключення використовується значення "Port" для TSP-серверу з параметрів криптобібліотеки.

Note

Параметри доступу до OCSP-сервера для перевірки сертифіката обираються в наступній послідовності:

  • поле "Точка доступу до OCSP-сервера" з сертифіката, який перевіряється;
  • параметри доступу до серверу OCSP "Address" та "Port" того ж ЦСК, що й сертифікат, який перевіряється (визначається за IssuerCN);
  • поле "DNS ім’я чи інше технічного засобу" з сертифіката OCSP–сервера того ж ЦСК, що й сертифікат, який перевіряється;
  • параметри криптобібліотеки для OCSP-сервера "Address" та "Port".

У випадку якщо поле "Точка доступу до OCSP-сервера" сертифіката, який перевіряється, або поле "DNS ім’я чи інше технічного засобу" з сертифіката OCSP–сервера не містить порт для підключення використовується значення "Port" для OCSP-серверу з параметрів криптобібліотеки.

Clone this wiki locally