Мультибанковская платформа НРД Транзит 2.0

Для установки программы Терминал Транзит 2.0 (ТТ) необходимо скачать дистрибутив программы установки по ссылке, полученной от сотрудника НРД.

Программа установки представляет собой файл формата msi.

Для начала установки нужно дважды щелкнуть по имени файла и следовать инструкции установщика.

Наименование файла установщика: nsdt-ru-ru.msi (русскоязычная версия программы установки) или nsdt-en-us.msi (англоязычная версия программы установки). 

Подробная инструкция по установке Транзит 2.0 описана в отдельном файле по установке и настройке Терминала Транзита ( 03. Мультибанк. Установка и Настройка Интеграционного Шлюза (ГОСТ).pdf или 03. СПФС. Установка и Первичная настройка Терминала Транзита.pdf) и в Руководстве пользователя Терминала Транзита в разделе Терминал Транзита → Установка → Процесс установки

Для переустановки Терминал Транзит 2.0 необходимо удалить ПО Терминал Транзит 2.0

Для удаления Терминала Транзит 2.0 нужно закрыть выйти из Терминала и закрыть вкладку с Терминалом в браузере (если она была открыта).

Удалить ПО: Панель Управления → Программы → Программы и компоненты →  Транзит 2.0.

Скачать новый дистрибутив и установить приложение согласно инструкции в Руководстве пользователя Терминала Транзита в разделе Терминал Транзита → Установка → Процесс установки.

Если при установке указать уже существующую базу PostgreSQL  с теми же настройками, что и в удаленной версии, то процесс переустановки не повлияет на данные в приложении.

При обновлении Транзит 2.0 не нужно проводить настройку Терминала Транзит 2.0 в процессе установки программного обеспечения.

Ссылка на последнюю версию программы Терминал Транзита передается сотрудниками НРД зарегистрированным пользователям.

Документация к Транзит 2.0 доступна по ссылке на программу Терминал Транзита.

В состав документации входят файлы:

• ClientDoc.zip — форматы документов, используемых в Терминале Транзита с примерами, xsd схемами и параметрами обязательности в зависимости от банка.
• Doc.zip — руководство пользователя в виде сайта. Для работы с этим файлом необходимо его разархивировать и открыть браузером страницу index.html Также руководство пользователя доступно с рабочего места Терминала Транзита по ссылке в левом нижнем углу.

Виды сертификатов для подписания банковских документов подробно описаны в Руководстве пользователя, раздел Руководство пользователя → Виды подписания.

Настройка доменной авторизации Терминала Транзита (Windows аутентификация) описана в Руководстве пользователя в разделе Терминал Транзита → Руководство пользователя → Административная панель → Доменная авторизация.

В личном кабинете участника (эмитента) в разделе Услуги УЦ. Нужно нажать на кнопку «Распечатать акт».

1. Смена (добавление) с помощью Личного кабинета Участника
   Информацию о порядке выпуска и смене сертификатов можно найти в разделе «Услуги УЦ»
   Документацию по работе с разделом можно скачать по ссылке:
   Инструкция по работе с обновленным разделом "Услуги УЦ"
2. Смена (добавление) с помощью АПК «Справочник Сертификатов»
   Документацию о порядке работы с помощью такого способа можно скачать по ссылке:
   https://fs.moex.com/cdp/po/KeysRenovation.zip

По вопросам установки СКЗИ Валидата, выпуску и смене ключей вы можете обратиться в техническую поддержку Удостоверяющего Центра Московской Биржи: , тел. +7 495 363-32-32, доб. 1110

Последовательность замены на сервере ИШ следующая:

1. Выпускаем новый ключ в ЛКУ;
2. Устанавливаем в справочник сертификатов на сервере ИШ;
3. Выполняем в Справочнике: Сервис – экспортировать сертификаты в системное хранилище;
4. Через 2-3 дня (сертификат будет доставлен по каналу ЭДО к банкам). В ПО "Справочник сертификатов" выбираем новый сертификат, нажимаем правую кнопку мыши и выбираем пункт: "Сделать основным";
5. В настройках канала ИШ выбираем новый сертификат, ИШ перезапустит канал.

Желательно перед заменой уведомить банки и на всякий случай разослать им открытую часть нового ключа, чтобы проверить на своей стороне добавление.

1. Изменение настроек БД
   Если PostgreSQL разворачивается на сервере, отличном от локального сервера ТТ, то необходимо в файле настройки БД
   C:\Program Files\PostgreSQL\12\data в файле pg_hba.conf
   внести изменения в соответствующую строку:
   Host      all           all            0.0.0.0/0              md5
2. Перезапустить службу БД
3. Подключить ТТ

Да, пароли конфигурационном файле можно зашифровать.

Подробное описание находится в Руководстве пользователя, раздел Терминал Транзита → Установка → Шифрование паролей.

Для возможности работы Терминала Транзита по https необходимо:

• выпустить SSL сертификат, установить его на сервере Терминала Транзита и сохранить в формате pfx (путь к файлу затем указывается в файле конфигурации Терминала Транзита)
• внести необходимые изменения в раздел “Web” файла конфигурации Терминала Транзита  C:\Program Files (x86)\NSD Tranzit\config\config.json

Пример раздела с добавлением сертификата:

"Web": {
"JwtLifetime": 6000000,
"PasswordLifetime": 365,
"PasswordNotificationTerm": 20,
"HttpsConfig": {
"IPAddress": "0.0.0.0",
"Port": 8000,
"CertificatePath": "C:/nsdt/cert/demo.pfx",
"Password": "123456"
},
"SignOutOnPageClose": false,
"LogoutTimeout": 0
},

Более подробно об установке сертификата можно прочитать по ссылке :
https://devblogs.microsoft.com/dotnet/configuring-https-in-asp-net-core-across-different-platforms/

В Терминале Транзита возможно логировать события ИБ в формате CEF

Подробное описание логируемых событий и порядок настройки содержится в Руководстве Пользователя, раздел Терминал Транзита → Установка → Конфигурация → Включение логирования CEF.

Терминал Транзита 2.0 и Файловый Шлюз возможно установить на один сервер, если пользователь не использует серверную электронную подпись на Терминале Транзита 2.0 Например, если Транзит 2.0 используется для получения выписок и при этом банк, с которым работает пользователь, не требует подписи для получения выписки, или Транзит 2.0 используется для подключения к СПФС через Сервис-бюро НРД.

В большинстве случаев для работы пользователя с банками требуется электронная подпись, при этом клиент может настраивать серверное подписание. В этом случае Терминал Транзита и Интеграционный Шлюз нужно размещать на разных серверах.

Пример:

Нам необходимо на межсетевом экране прописать прямой доступ Интеграционного шлюза к Прод и Тест контурам НРД.

Взаимодействие будет происходить с использованием ГОСТ криптографии.

Подскажите, пожалуйста адреса, IP и порты подключения. 

Ответ:

Взаимодействие Интеграционного Шлюза по web-каналу происходит по порту TCP/443 (https), у каждого контура свой URL для подключения.

Если оборудование межсетевого экрана позволяет использовать dns-имена вместо ip-адресов получателей, то это будет лучший вариант, хоть ip-адреса указанных сервисов не должны меняться.

Адреса контуров:

• https://edog.nsd.ru/onyxpr/WslService — продуктивный доступ к веб-сервису отправки/приема сообщений (ГОСТ)
• https://edor.nsd.ru/onyxpr/WslService — продуктивный доступ к веб-сервису отправки/приема сообщений (RSA)
• https://gost-gt.nsd.ru/onyxgs/WslService  — тестовый доступ (ГОСТ)
• https://rsa-gt.nsd.ru/onyxgs/WslService — тестовый доступ (RSA)

Интеграционный шлюз, который используется для транспорта сообщений, поддерживает работу через прокси.

• https://edog.nsd.ru/onyxpr/WslService — продуктивный доступ к веб-сервису отправки/приема сообщений (ГОСТ);
• https://edor.nsd.ru/onyxpr/WslService — продуктивный доступ к веб-сервису отправки/приема сообщений (RSA);
• https://gost-gt.nsd.ru/onyxgs/WslService — тестовый доступ (ГОСТ);
• https://rsa-gt.nsd.ru/onyxgs/WslService — тестовый доступ (RSA).

Через данные веб-сервисы происходит сам обмен сообщениями между клиентами и банками.

Соединение имеет взаимную аутентификацию на основе сертификатов ГОСТ и такое же шифрование трафика между участниками обмена.

Необходимо сохранить дистрибутив и сделать резервное копирование данных в СУБД PostgreSQL.

Лицензию на КриптоПро можно получить только на официальном сайте КриптоПро: https://www.cryptopro.ru/buy.

Можно проверить сертификат средствами КриптоПро:

1. Проверка сертификата под пользователем сервиса с помощью КриптоПро CSP
   Необходимо зайти на сервер под пользователем, под которым запущен сервис «Транзит 2.0». Средствами КриптоПро CSP проверить контейнер с ключом, который используется для подписания (вкладка тестирование)
2. Проверка сертификата с помощью КриптоПро Plug-in
   Установить  в браузере Chrome на сервере КриптоПро плагин https://www.cryptopro.ru/products/cades/plugin и проверить подпись через браузер средствами плагина
   • через Chrome перейти в CryproPro extension for CadES Browser Plug-in;
   • Выбрать «Проверить работу плагина»;
   • В окне «Выберите сертификат» выбрать сертификат из списка;
   • В появившейся информации о сертификате проверить поле «Статус»;
   • Проверить подпись, нажав кнопку «Подписать».

Для работы Транзит 2.0 необходимо применить стандартные настройки, выбранные по умолчанию в программе-установщике ПО КриптоПро.

Работа Транзит 2.0 с альтернативными каналами ЭДО не предусмотрена, так как Транзит 2.0 изначально разрабатывался для работы с Интеграционным Шлюзом.

Строку в формате CRON можно сформировать с помощью форматтера, например:

https://www.freeformatter.com/cron-expression-generator-quartz.html

Внимание!! Нужно иметь ввиду, что формат CRON не совпадает с форматом CronTab – часто поисковиками выдается именно CronTab по поиску «формат cron».

Для подключения тестового ВТБ необходимо:

1. На тестовый контур необходимо установить Терминал Транзита
2. Установить на сервер ТТ КриптоПро CSP 5.0.
3. Получить у ВТБ
   • 3.1   Открытый ключ банка для шифрования
   • 3.2   Технический ключ для транспортной подписи
4. Установить оба ключа из п.3 в хранилище сертификатов на сервере ТТ (важно установить ключи в хранилище того же пользователя, под которым работает служба ТТ)
5. В тестовом ФШ добавить в участники транзита деп код: NDC0000M0VTB и нажать «Загрузить сертификаты»
6. В настройках ТТ – Банковские модули – ВТБ(НРД) указать в соответствующих параметрах шифрования и подписания ключи из п. 3
7. В настройках ТТ добавить счета ВТБ с модулем ВТБ(НРД) и деп кодом из п.5
8. Настроить модель подписания и предоставить для пользователя полномочия к созданному счету.

В поле «Код депонента» указывается код организации в ЭДО НРД.

Код депонента выдается организации при подключении к ЭДО НРД.

Узнать код депонента можно в настройках канала Интеграционного Шлюза.

Поле «Модуль», в котором задается необходимый банковский модуль, недоступно для редактирования в настройках созданного счета. Исключение составляют модули Газпромбанк и Газпромбанк (версия 6).

Конфигурации банковских модулей используются для настройки банковских модулей.

С подробным описанием банковских модулей, их конфигурацией и настройкой можно ознакомиться в разделе «4.2. Банковские модули» руководства пользователя Транзит 2.0.

Поле «Идентификатор клиента Росбанка» необходимо для отправки документов в Росбанк. Идентификатор клиента Росбанка предоставляется в офисе банка.

Для идентификации ЮКБ помимо ИНН используется код клиента банка.

Этот идентификатор может быть из 6 цифр, или 7, ЮКБ дополняет двумя или одним лидирующим нулем до 8 цифр

Для получения кода клиента нужно обратиться в банк:

Для выдачи прав администратора пользователю необходимо в настройках пользователей кликнуть на строку с пользователем, в модальном окне поставить флажок на «Права администратора» и нажать кнопку «Сохранить».

Первый администратор в момент установки Транзит 2.0 с именем Администратор (логин admin).

НРД не может создавать или менять администраторов в Транзит 2.0 по аналогии с работой в WEB-кабинетах.

Создание и настройка администраторов производится непосредственно в самом приложении Терминала Транзита.

Неактивные кнопки «Подписать и отправить» и «Отправить на контроль» могут быть связаны с отсутствием настройки модели подписания счета документа или полномочий пользователя в настройках пользователей.

С подробным описанием настроек счетов и пользователей можно ознакомиться в разделе «6.1. Администратор» руководства пользователя.

В НРД доступна проверка статуса «Доставлен/Не доставлен» документа, но только в рамках транспорта в ЭДО НРД.

НРД не может посмотреть содержимое отправленного документа. Отправляемые через НРД документы предаются по схеме с так называемым «закрытым конвертом», т.е. содержимое зашифровано на открытом сертификате конечного получателя документа.

Подробнее с данной схемой можно ознакомится в Правилах ЭДО НРД: https://www.nsd.ru/documents/workflow/

Правом подписи документов обладают пользователи с настроенными правами на подпись.

Проверить наличие права на подпись может администратор (пользователь с правами администратора) в настройках пользователей.

С подробным описанием настроек пользователей можно ознакомиться в Руководстве пользователя, раздел Терминал Транзита → Руководство пользователя → Административная панель → Пользователи.

В настройках пользователей администратор может настроить полномочия и права на подпись для каждого пользователя.

С подробным описанием настроек пользователей можно ознакомиться в Руководстве пользователя, раздел Терминал Транзита → Руководство пользователя → Административная панель → Пользователи.

Подробное описание настройки подключения Сбербанка в Терминале Транзита содержится в Руководстве пользователя, раздел Терминал Транзита → Компоненты → API Оркестратор → Настройка Терминала Транзита для адаптера Сбербанка.

1. Необходимо использовать модуль ВТБ(НРД)
2. Необходимо ключ одного из подписантов поставить на сервер Терминала Транзита и в Настройки – банковские модули – ВТБ (НРД) выбрать банковский транспортный и подписанта.
   Второй ключ подписанта соответственно можно использовать для подписи пользователем с записью на флешку.

Ключи подписантов имеют разные полномочия.

Один из этих ключей не имеет права подписи и является техническим.Его и необходимо установить на сервер. Соответственно, второй ключ - обычный для подписи банковских платежей.

1.  Интеграционное взаимодействие строится непосредственно с самим Терминалом Транзита, т.к. с точки зрения архитектуры — это достаточно простое решение. Пример можно посмотреть на схеме сетевого взаимодействия в приложении «Технические требования на комплекс».
2.  API размещено на вашем стенде, где установлен компонент Терминал Транзита.
3.  Можно воспользоваться встроенным компонентом Swagger. Он доступен по адресу http://<hostname>:<port>/swagger где <hostname> и <port> соответствующие значения вашего сервера Терминала Транзита.
4.  Поддерживается Rest API и SMB (файловый обмен).

По любым вопросам связанным с интеграцией с Терминалом Транзита  можно обращаться за помощью 

На практике с другими банками выпуск ключей на стороннем УЦ происходит следующим образом:

1. Клиент выпускает ключ на стороннем УЦ и передает открытую его часть для регистрации в банк.
2. После подтверждения регистрации от банка, клиент начинает подписываться новым ключом.
3. Если приходит запрос с какой-то подписью, и банк не может эту подпись валидировать относительно имеющихся ключей, поэтому клиенту уходит квитанция с отказом в обработке документа.