S6-2[3] - Сервера СГДС
ФХД - Сервера баз данных Федерального хранилища данных (ФХД);
DB1 - Сервер баз данных, на котором размещена СЦВ НСИ
DB2 - Сервер баз данных, на котором размещена технологическая база данных ЛК-3;
DB3 - Сервера баз данных, на которых размещены федеральные базы данных ЕГРЮЛ, ЕГРН;
Web Портал-in - Веб-сервер, на котором размещён портал ЛК-3 для доступа налоговых органов (внутренний портал).
Схема работы налогоплательщика в "ЛК-3":
Пользователь системы открывает портал ЛК-3 с использованием тонкого клиента - браузера посредством установления защищённого соединения TLS 1.0 с двухсторонней аутентификацией (клиента и сервера). Шифрование используется после установления соединения и для всех последующих сообщений. Для аутентификации сервера используется сертификат, заверенный центром сертификации ГНИВЦ. Для аутентификации клиента используется КСКПЭП, выданный центром сертификации, аккредитованным в соответствии с требованиями Федерального закона N 63-ФЗ.
На стороне сервера КСКПЭП клиента при установлении соединения проверяется на доверие путем построения от него цепочки сертификатов с использованием кросс-сертификации по локальным хранилищам сертификатов сервера, а также по локальным спискам отозванных сертификатов.
С началом каждого сеанса работы с порталом (сеанс определяется уникальным идентификатором, передаваемым на сервер из браузера через механизм COOKIE) пользователь проходит процедуру автоматической авторизации. Авторизация также производится с использованием квалифицированного сертификата ключа проверки электронной подписи, выданного одним из удостоверяющих центров, аккредитованных в соответствии с требованиями Федерального закона N 63-ФЗ. Полномочия пользователя на доступ к порталу проверяются на основе федеральной базы данных ЕГРЮЛ, путем сравнения сведений о представителе налогоплательщика из СКП с данными о налогоплательщике в ЕГРЮЛ.
Все запросы с портала поступают в очередь в буферной зоне на сервере S2. Взаимодействие между сервером S1 и S2 организуется с помощью обмена xml сообщениями (веб-сервисы по технологии SOAP). Запрос на получение сообщений, поступивших с портала, может инициироваться только из защищённого сегмента МИ ФНС России по ЦОД с сервера S-BL. После получения сообщения, содержащего запрос из буферной зоны, запрос направляется на сервер S-BL и, в зависимости от типа сообщения, может быть перенаправлен на S-IS01, S3 или S5. После исполнения запроса ответ возвращается последовательно на сервера S2, S1.
Сервер | Аппаратные средства | Прикладное ПО |
| S1 | Веб-сервер | RedHat Enterprise Linux 6.4Cryptopro CSP 3.6Apache 2.2 + mod_digt_tlsPHP 5.3.6 (собранные из source с расширениями php-memcache, php-soap)Memcached 1.4.5MySQL 5.0.77 |
| S2 | Сервер услуг (очередей сообщений)- m9965-app316- m9965-app317 | Microsoft Windows Server 2008 R2 |
| S-BLS-IS | Сервер приложений бизнес-логики и Интеграционный сервер предоставления данных- m9965-app441- m9965-app444 | Microsoft Windows Server 2008 R2MS .Net Framework 4Oracle Client 12.1.0.1Crystal Reports 10.5 |
| S-IS-SEOD | Интеграционный сервер взаимодействия с СЭОД- m9965-app440- m9965-app442 | Microsoft Windows Server 2008 R2MS .Net Framework 4Oracle Client 12.1.0.1Crystal Reports 10.5 |
| S-Load | Сервер обработки выгрузок и загрузки данных- m9965-app443 | Microsoft Windows Server 2008 R2MS .Net Framework 4Oracle Client 12.1.0.1Crystal Reports 10.5 |
| DB2 | Технологическая БД- m9965-app341- m9965-app342 | Microsoft Windows Server 2008 R2MS SQL Server 2008 R2 SP1 |
| Web Портал-in | Внутренний портал- m9965-app446 | RedHat Enterprise Linux 5.7Apache 2.2PHP 5.3.6 (собранные из source с расширениями php-memcache, php-soap, php-ldap)Memcached 1.4.5MySQL 5.0.77 |
Приложение 2 к Регламенту Инструкция по настройке и проверке работоспособности ПО "Шлюз", Web-сервиса "Сервис взаимодействия СЭОД и ЛК3"
Сервис взаимодействия ПК СЭОД и "ЛК-3" работает через ПО "Шлюз".
Настройка ПО "Шлюз":
Провести на промышленном контуре настройку доступа в МИ ФНС России по ЦОД для Web-сервиса с типом 28 "Сервис взаимодействия СЭОД и ЛК3". Параметры доступа в МИ ФНС России по ЦОД настраиваются с помощью режима "Установить параметры взаимодействия с ФЦОД":
Администрирование системы\Администрирование доступа к web-сервисам ФЦОД\Установка параметров доступа в ФЦОД.
Необходимо заполнить параметр "Адрес доступа":
http:// IP-Addres-AIS-GW:PORT/EodDocument.
Авторизация не требуется
Время опроса выставить 10 - каждые 10 минут.
После этого перезапустить сервер приложений ПК "СЭОД". В журнале приложений не должно появляться сообщений с ошибками после старта.
Проверка работоспособности ПО "Шлюз":
Для проверки работоспособности необходимо выполнить следующее:
В списке web-сервисов выберите "Сервис взаимодействия СЭОД и ЛК3".
Проверяем что компьютер, на котором установлен ПО "Шлюз", доступен и отвечает на запросы ping (далее данные 10.152.252.30 - ip и порт 8081, необходимо заменить на свои, на которых ПО "Шлюз" принимает запросы). А также доступен по порту, на котором он принимает запросы.
 | |
| 1940 × 1505 пикс. Открыть в новом окне | |
Пример результата проверки:
ping 10.152.252.30
Обмен пакетами с 10.152.252.30 по 32 байт:
Ответ от 10.152.252.30: число байт=32 время<1мс TTL=128
Ответ от 10.152.252.30: число байт=32 время<1мс TTL=128
Ответ от 10.152.252.30: число байт=32 время<1мс TTL=128
Ответ от 10.152.252.30: число байт=32 время<1мс TTL=128
Статистика Ping для 10.152.252.30:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 0 мсек, Максимальное = 0 мсек, Среднее = 0 мсек
telnet 10.152.252.30 8081
При успешном соединении telnet будет открывать пустое окно.
При отсутствии соединения необходимо выяснить, запущено ли ПО "Шлюз" и правильно ли указан порт доступа. Также надо проверить настройку службы Брандмауэра и Антивируса.
Настройки, которые должны быть выполнены на ПО "Шлюз":
1. Пользователю, от которого идет обращение из ПК СЭОД, необходимо разрешить доступ к данным сервисам.
2. В настройках сервиса убрать логин доступа на федеральный уровень.
3. Проверить что компьютер имеет доступ (получает WSDL) к используемым ресурсам. Запустить IE и открыть следующие ссылки
a. http://10.251.200.20:8011/
 | |
| 1630 × 1185 пикс. Открыть в новом окне | |
В случае, если отсутствуют ответы, необходимо проверить доступность федеральных сервисов, используя команды ping и telnet:
- ping 10.251.200.20
- telnet 10.251.200.20 8011