1С:Аналитика
28.02.2024

Руководство администратора по настройке платформы "1С:Предприятие 8" для работы по протоколу HTTPS

Основные этапы установки:

Рис. 1. Схема взаимодействия 1С:Аналитики с сервисами 1С:Предприятия 8

Изображение image001.jpg

 

Общие положения


Установка службы веб-публикаций Microsoft (IIS)

В панели управления Windows открываем "Программы и компоненты", далее "Включение или отключение компонентов Windows", включаем службы IIS.
В дополнение к установкам по умолчанию включаем расширения ISAPI, фильтры ISAPI и проверку подлинности Windows.



После установки в списке служб Windows появится новый сервис "Служба веб-публикаций", а в меню Windows - "Диспетчер служб IIS".
Проверим, что в браузере по адресу http://localhost доступен веб-сайт IIS по умолчанию.


 

Создание и установка цифрового сертификата SSL для IIS

Если у вас уже есть подписанный CA сертификат, то в диспетчере служб IIS добавьте его в локальное хранилище через "Запрос установки сертификатов".
Для примера ниже будем использовать самозаверенный сертификат. Создадим его в оснастке сервиса веб-публикаций.

  

Привязываем сертификат к сайту "Default Web Site"

   

В консоли сертификатов локального компьютера проверяем, что новый сертификат добавлен в группу "Доверенные корневые центры сертификации".



В браузере подключение к сайту по умолчанию теперь защищено.

 

Публикация информационной базы 1С на веб-сервере

Запускаем конфигуратор 1С от имени администратора операционной системы (правая кнопка мыши, запуск от имени администратора), переходим в меню "Администрирование", "Публикация на веб-сервере".

Как минимум нужно выбрать:

Перезапускаем веб-сервис. Теперь приложение доступно в веб-браузере по адресу https://веб-сервер/имяпубликации.
Можно проверить по адресу https://веб-сервер/имяпубликации/ans/data будет сообщение "Недопустимое состояние потока записи JSON". Это означает, что публикация прошла успешно. В нашем примере адрес публикации https://alexeev-av/erpdemo.




Подключение 1С:Аналитики к веб-публикации информационной базы по протоколу HTTPS

Необходимо настроить сертификат веб-сервера в качестве доверенного на сервере 1С:Аналитики. Для этого есть два варианта:

Вариант 1 (рекомендуемый)

Установите сертификат в группу Доверенные корневые центры сертификации Локального компьютера.

Вариант 2

Установите сертификат в java trust store - файл truststore.jks, который по умолчанию находится в папке C:\ProgramData\1C\ans\wd\data\security

Для этого скопируйте файл сертификата "server.crt" в папку C:\ProgramData\1C\ans\wd\data\security

В командной строке перейдите в папку 
 cd C:\ProgramData\1C\ans\wd\data\security

Выполните команду 
 keytool.exe -import -trustcacerts -alias c1 -file server.crt -keystore truststore.jks

Пароль по-умолчанию к хранилищу сертификатов adminadmin

При добавлении сертификата надо поставить флаг доверия к сертификату
Trust this certificate? [no]: yes

analytics.exe необходимо запускать с параметром
 --jvmopt -Djavax.net.ssl. trustStore="C:\ProgramData\1C\ans\wd\data\security\truststore.jks" (штатно не будет работать ни через runner.jar, ни через сервис, устанавливаемый инсталлятором)

Необходимо использовать свежий JRE (проверено на Liberica Full JRE 11.0.13+8 x86 64 bit)

Запуск 1С:Аналитики по протоколу HTTPS

В примерах ниже мы используем версию 1С:Аналитики 1.70.1. Последние версии опубликованы на сайте https://releases.1c.ru/.
Устанавливаем с настройками по умолчанию как службу Windows. Нам также понадобится цифровой сертификат.

Если у вас есть подписанный СА сертификат

Копируем в папку по умолчанию C:\ProgramData\1C\ans\wd\data\security.
В файле настроек C:\ProgramData\1C\ans\wd\config\security.yml указываем путь к сертификату и пароль.

Копировать в буфер обмена
security:  
     key-stores:
    - name: defaultKeyStore
      file: ${instance.root}/data/security/СА_сертификат.pfx
      password: пароль

В файле настроек C:\ProgramData\1C\ans\wd\config\server.yml указываем имя хоста сервера 1С:Аналитики, пароль сертификата и протокол https.

Внимание: при запуске сервиса 1С:Аналитики через runner.jar протокол https, номер порта и рабочую директорию необходимо указать в командной строке. Параметры: --protocol https --port 8181 --workdir C:\ProgramData\1C\ans\wd
Пример командной строки: "C:\Program Files\BellSoft\LibericaJRE-11-Full\bin\java.exe" -jar "C:\Program Files\1C\analytics\1.70.1\runner.jar" --protocol https --port 8181 --workdir C:\ProgramData\1C\ans\wd

Копировать в буфер обмена
server:
  endpoints:   
 - address: хост.домен:8181
   protocol: https 
   server-certificate-store: defaultKeyStore     
   server-certificate-password: пароль

Нет СА сертификата, создадим самозаверенный

По умолчанию хранилище сертификатов 1С:Аналитики находится в рабочей папке C:\ProgramData\1C\ans\wd\data\security.

Открываем командную строку Windows – cmd.exe от имени администратора.
Переходим в папку хранилища сертификатов cd C:\ProgramData\1C\ans\wd\data\security.
Выполняем команду keytool.exe для выпуска самозаверенного сертификата (dns и ip соответственно имена и адреса хоста 1С:Аналитики):

Копировать в буфер обмена
keytool.exe -genkey -keyalg RSA -alias ans -keystore keystore.jks -validity 365 -keysize 2048 -ext SAN=dns:alexeev-av,dns:localhost,ip:10.xx.x.xxx,ip:127.0.0.1

Пароль по умолчанию adminadmin.
Ответы на другие вопросы даем таким образом, чтобы была возможнось найти сертификат в хранилище Windows.
Пример:
Is CN=1CAnalitika, OU=1C, O=1C, L=Unknown, ST=Unknown, C=Unknown correct?
отвечаем yes.

Сертификат записан в хранилище keystore.jks. Теперь нужно получить сертификат в совместимом формате для записи в хранилище доверенных сертификатов Windows следующей командой:

Копировать в буфер обмена
keytool.exe -exportcert -keystore keystore.jks -alias ans  -file analitika.cer
Файл analitika.cer установим в хранилище "Доверенные корневые центры сертификации" Windows для локального компьютера.


  




Далее, в настройках сервера 1С:Аналитики указываем протокол https.
Для этого в файле C:\ProgramData\1C\ans\wd\data\security\server.yml устанавливаем protocol: https.

Можно запускать сервис 1С:Analytics в консоли "Службы" Windows.
Если при запуске получили сообщение об ошибке, детали можно посмотреть в C:\ProgramData\1C\ans\wd\logs\server.log.

Если все получилось в браузере по адресу https://localhost:8181 или dns имени хоста (в примере https://alexeev-av:8181) откроется экран входа в систему для администратора.
Имя пользователя и пароль по умолчанию admin, admin.

 

Подключение 1С:Аналитики к информационной базе 1С:Предприятия

Рекомендуемый метод доступа к 1С:Аналитике – интегрированное подключение, когда 1С:Аналитика открывается из интерфейса платформы 1С (меню "Аналитика" или адрес_публикации_инфобазы/ans).
Переходим к настройке интегрированного подключения.

1. В интерфейсе 1С:Аналитики создаем новое подключение к веб-публикации информационной базы. В нашем примере адрес публикации "https://alexeev-av/erpdemo", название подключения "erpdemo".

2. Открываем веб-клиент 1С:Предприятия. В текущем примере "https://alexeev-av/erpdemo". В настройках включаем режим технического специалиста.




В меню "Сервис и настройка", "Функции технического специалиста" Переходим в "Управление системой аналитики" где установим адрес подключения 1С:Аналитики (в нашем примере "https://alexeev-av:8181/applications/erpdemo").
Полный адрес подключения можно найти в адресной строке веб-браузера если открыть его в интерфейсе 1С:Аналитики.

Мы настроили интегрированное подключение к 1С:Аналитике. В меню платформы сразу появился новый пункт "Аналитика".
Обратите внимание, теперь если пользователь откроет меню, он автоматически будет авторизован в 1С:Аналитике. Имя пользователя и пароль повторно вводить не нужно.
Новый адрес для интегрированного подключения адрес_публикации/ans", в нашем примере "https://alexeev-av/erpdemo/ans".





Подключение доменной авторизации MS Windows

Сценарий 1: две публикации информационной базы

Платформа 1С:Предприятие поддерживает проверку подлинности Windows. Для этого рекомендуем создать вторую публикацию информационной базы на веб-сервере. См. "Публикация информационной базы 1С на веб-сервере", только укажем новое имя публикации. В нашем примере "erpwin"


Теперь доступно две публикации: основная для работы пользователей с доменной авторизацией и системная для подключения 1С:Аналитики.



Проверка подлинности Windows была добавлена нами при установке IIS.
Включаем проверку подлинности Windows для подключения "erpwin", анонимную проверку подлинности отключаем.


 

В конфигураторе 1С сопоставляем учетные записи пользователей платформы с учетными записями домена Windows.

Проверяем в браузере, что доменная авторизация для новой публикации работает. В нашем примере полный адрес публикации "https://alexeev-av/erpwin".

Сценарий 2: одна публикация информационной базы

Вариант с двумя подключениями является предпочтительным, так как он более простой для настройки и отладки. Тем не менее может потребоваться работа с только с одной публикацией. В этом случае в свойствах страницы публикации на IIS необходимо удалить поставщика проверки подлинности "Negotiate".



Установка службы веб-публикаций Apache для MS Windows

Новые версии веб-сервера Apache для MS Windows доступны по адресу https://httpd.apache.org/docs/current/platform/windows.html 
Установка заключается в копировании папки Apache24 из архива (последняя версия на момент написания статьи httpd-2.4.55-o111s-x64-vs17.zip) в папку по умолчанию для платформы 1С "C:\Program Files\Apache Software Foundation\Apache2.4"
Более подробно о параметрах размещения Apache2.4 можно найти на ИТС https://its.1c.ru/db/v8320doc#bookmark:adm:TI000000771

Если планируете изменить путь к рабочему каталогу Apache для платформы 1С см. ниже пример файла MS Registry - 1CApache.reg для изменения папки Apache по умолчанию на "C:\Apache24"

Копировать в буфер обмена
Windows Registry Editor Version 5.00
;1С
[HKEY_CURRENT_USER\SOFTWARE\Apache Software Foundation]
[HKEY_CURRENT_USER\SOFTWARE\Apache Software Foundation\Apache]
[HKEY_CURRENT_USER\SOFTWARE\Apache Software Foundation\Apache\2.4]
"ServerRoot"="c:\\Apache24\\"

Укажем путь к рабочей папке Apache в файле настроек C:\Program Files\Apache Software Foundation\Apache2.4\conf\httpd.conf, для этого изменим значение переменной SRVROOT:

Копировать в буфер обмена
 Define SRVROOT "C:\Program Files\Apache Software Foundation\Apache2.4"

Для установки Apache как сервис Windows в командной строке выполняем команду:

Копировать в буфер обмена
"C:\Program Files\Apache Software Foundation\Apache2.4\bin\httpd.exe" -k install

В консоли Windows "Службы" запускаем сервис Apache2.4. Проверяем доступ к сервису. При переходе по адрес http://localhost должна отображаться страница Apache по умолчанию.

 

Создание и установка самозаверенного цифрового сертификата SSL для Apache

Создадим самозаверенный цифровой сертификат для работы сервиса Apache по протоколу HTTPS при помощи openssl.exe (поставляется с сервером Apache).
В параметре DNS укажите полное имя вашего веб-сервера:

Копировать в буфер обмена
"C:\Program Files\Apache Software Foundation\Apache2.4\bin\openssl.exe" req -newkey rsa:2048 -nodes -keyout server.key -x509 -days 365 -out server.crt -addext "subjectAltName = DNS:alexeev-av " -config "C:\Program Files\Apache Software Foundation\Apache2.4\conf\openssl.cnf"

В результате будет сформировано два файла: приватный ключ server.key и сертификат server.crt

Перенесем с заменой ключ и сертификат в папку C:\Program Files\Apache Software Foundation\Apache2.4\conf\ssl

В проводнике откройте сертификат server.crt, добавьте его в хранилище "Доверенные корневые центры сертификации" локального компьютера.


    

Перезапустите службу Apache, убедитесь, что браузер устанавливает безопасное соединение с веб-сервером



Публикация информационной базы 1С на веб-сервере для сервера Apache

Запускаем конфигуратор 1С от имени администратора операционной системы.
В интерфейсе платформы публикация информационной базы на веб-сервере Apache отличается от IIS только выбором сервера и каталогом публикации. В нашем случае Apache2.4, "C:\Work\webpub\erpdemo\"

Процесс подключение 1С:Аналитики к информационной базе 1С:Предприятия не зависит от веб-сервера. Следуйте инструкциям в соответствующем разделе выше.