Войти как партнер
Войти как партнер
Перейти к содержанию

Часто задаваемые вопросы по КриптоАРМ Server#

Для чего нужен КриптоАРМ Gate?#

КриптоАРМ Gate (Trusted Gate) — это программный шлюз безопасности, который функционирует как обратный прокси-сервер (reverse proxy). Он предназначен для защиты веб-сервисов организации, организации безопасного удаленного доступа и автоматизации криптографических проверок непосредственно на периметре сети. Подробнее архитектура решения описана в статье О продукте.

Какие криптографические и сетевые операции поддерживает КриптоАРМ Gate?#

  • Терминация ГОСТ TLS: Обеспечение защищенного соединения клиентов к веб-серверам организации с поддержкой шифрования по государственным стандартам (ГОСТ Р 34.10-2012 / ГОСТ Р 34.11-2012).

  • Автоматическая проверка ЭП «на лету»: Перехват, извлечение и валидация электронных подписей (CMS/CAdES, XMLDSig/XAdES) из транзитного HTTP/REST/SOAP трафика до его отправки во внутреннюю сеть.

  • Строгая аутентификация (mTLS): Двусторонняя проверка подлинности пользователей по сертификатам электронной подписи с контролем их актуальности через службы OCSP и списки отзыва (CRL).

  • Инъекция контекста безопасности: Извлечение реквизитов владельца сертификата (ФИО, СНИЛС, ИНН) и автоматическая передача этих данных во внутренние системы (СЭД, ERP) в виде HTTP-заголовков.

  • Делегирование тяжелых операций: Интеграция по REST API с внешним компонентом КриптоАРМ Server для выполнения ресурсоемких задач (массового серверного подписания, шифрования архивов или визуализации штампов подписи в PDF).

Как КриптоАРМ Gate встраивается в существующую сеть организации?#

Шлюз устанавливается на периметре сети (в DMZ-зоне) перед целевыми веб-сервисами. Он принимает весь внешний входящий трафик, выполняет его проверку и только после этого перенаправляет очищенные запросы во внутренний контур безопасности.

Обязательно ли устанавливать КриптоПро CSP на конечные серверы приложений (бэкэнд)?#

Нет, не обязательно. КриптоАРМ Gate полностью берет на себя функции терминации ГОСТ TLS и валидации электронных подписей. Внутренние СЭД и ERP-системы могут получать трафик по обычному протоколу HTTP/HTTPS без использования криптопровайдера.

Может ли шлюз работать в контейнерах Docker без потери производительности?#

Да. Для микросервисных сред поставляется оптимизированный Docker-образ на базе Astra Linux. Криптографические операции выполняются через обращение к СКЗИ, которое может быть развернуто как внутри контейнера, так и на хост-системе.

Каким образом шлюз проверяет электронную подпись в веб-запросах?#

При поступлении API-запроса (REST/SOAP) шлюз анализирует тело пакета (JSON, XML). Он автоматически находит файлы и связанные с ними отсоединенные или присоединенные подписи, после чего валидирует их через СКЗИ КриптоПро CSP.

Что происходит, если пользователь прислал документ с отозванной или поврежденной подписью?#

КриптоАРМ Gate блокирует такой запрос непосредственно на сетевом периметре. Запрос не доходит до внутренней СЭД, а внешнему клиенту шлюз автоматически возвращает ошибку (например, 403 Forbidden) с описанием причины отказа.

Как внутренние системы узнают, чья подпись была проверена шлюзом?#

Шлюз использует механизм инъекции заголовков (Header Injection). После успешной проверки он добавляет в HTTP-пакет служебные заголовки (например, X-User-INN, X-Signature-Status) с данными владельца сертификата и передает их бэкэнду.

Для повышения удобства работы и хранения данных веб-сайт TRUSTED.RU использует файлы COOKIE. Продолжая работу с веб-сайтом, Вы даете свое согласие на работу с этими файлами.