Надстройки ArcGIS Desktop можно снабдить цифровыми подписями для обеспечения дополнительной защиты в тех случаях, когда файлы надстроек публикуются и находятся в общем доступе. Используя файлы надстроек с цифровыми подписями вы можете определить источник файла и проверить, было ли изменено оригинальное содержание файла, после добавления подписи. Наличие цифровой подписи в файле надстройки не гарантирует, однако, что в надстройке нет программных ошибок. Если содержание файла надстройки с цифровой подписью каким-либо образом изменяется или удаляется, цифровая подпись повреждается. При установке файлов надстроек и просмотре существующих файлов надстроек с помощью Менеджера надстроек о поврежденных подписях файлов надстроек выдается специальное сообщение пользовательского интерфейса. Каждая цифровая подпись связана со стандартным цифровым сертификатом ITU X.509, используемым для создания подписи в процессе подписывания. Заслуживающие доверия подписи - это подписи, созданные на основе цифрового сертификата, выданного надежным сертифицирующим органом. Операционная система Windows поддерживает базу данных надежных сертификатов в хранилище Доверенные корневые центры сертификации. Вы можете просмотреть сертификаты, зарегистрированные в этом хранилище, с помощью MMC Certificates Snap-in или Internet Explorer в Сервис > Свойства обозревателя > Содержание.
Более подробно о цифровых сертификатах см. в разделе Работа с сертификатами.
Установка файлов надстроек с цифровыми подписями
Хотя файлы надстроек можно установить, просто скопировав их в соответствующую стандартную папку, делать это без предварительной проверки источника и содержания файла не рекомендуется. Дважды щелкните ссылку на файл надстройки в веб-браузере, почтовом клиенте или Проводнике Windows, чтобы открыть диалоговое окно Утилита ESRI для установки надстроек ArcGIS, показанное ниже.
В этом диалоговом окне отображается информация о надстройке, в том числе название, дата, автор, версия и описание надстройки. Если файл надстройки имеет цифровую подпись, в диалоговом окне отображается также информация о подписи. Если какая-то информация вызывает подозрения, пользователь может отменить процесс установки, и файл надстройки не будет установлен.
Файлы надстроек могут иметь несколько цифровых подписей, в зависимости от внутреннего регламента организации-автора. В секции Цифровая подпись (подписи) диалогового окна утилиты ESRI ArcGIS Add-In Installation Utility отображается информация об авторе подписи, временной метке и сроке действия выбранной подписи, а также информация о надежности органа, выдавшего сертификат. Подробную информацию о выбранном сертификате подписи можно посмотреть, нажав кнопку Показать сертификат.
Безопасный файл надстройки должен иметь по крайней мере одну действительную и надежную цифровую подпись. Недействительная подпись означает, что после добавления подписи содержание файла надстройки было изменено.
Управление политикой безопасности надстроек ArcGIS Desktop
В диалоговом окне Менеджер надстроек, доступном в меню Настроить в каждом настольном приложении, отображается список всех файлов надстроек, установленных в настоящее время на вашем компьютере.
Статус цифровой подписи, наряду с другой информацией о файлах надстроек, отображается в области, выделенной на снимке экрана ниже:
Статус подписи определяется согласно таблице ниже:
Status | Описание |
---|---|
None | Выбранный файл надстройки не содержит цифровых подписей. |
Не заслуживающая доверия | Источник цифровой подписи файла надстройки не является надежным. |
Недопустимый | Цифровая подпись недействительна в связи с изменением содержания файла надстройки или окончанием срока действия сертификата. |
Аутентифицированный | Файл имеет цифровую подпись, которая действительна и основана на надежном сертификате. |
В закладке Опции диалогового окна Менеджер надстроек можно просмотреть и изменить опции безопасности, связанные с файлами надстроек. Опции, в порядке снижения уровня безопасности, перечислены ниже:
- Загружать и использовать только надстройки, опубликованные Esri; то есть, не загружать и не выполнять в этом приложении пользовательские файлы надстроек.
- Загружать и использовать только файлы надстроек, имеющие цифровую подпись надежного сертифицирующего органа.
- Загружать все надстройки, независимо от наличия цифровых подписей.
Добавление цифровых подписей к файлам надстроек
Утилита ESRISignAddIn.exe, входящая в пакет загрузки Мастера надстроек Python, используется для подписи надстроек ArcGIS Desktop.
Чтобы использовать эту утилиту, скопируйте ее в папку bin, расположенную в каталоге установки, и убедитесь, что у вас есть сертификат ITU X.509, содержащий публичные и частные шифровальные ключи. Цифровые сертификаты могут выдаваться отделом сертификации внутри организации или публичным сертифицирующим органом, таким как VeriSign или Thawte. После того, как вы выберете файл надстройки, вам будет предложен список сертификатов, которые можно использовать для подписи. После того, как вы укажете корректный сертификат, файл надстройки получит подпись и будет преобразован в выходной файл, либо перезаписью исходного файла, либо присвоением ему нового имени. Утилиту можно также использовать для просмотра или удаления существующих цифровых подписей.
Техническая информация
Файлы надстроек – это сжатые архивные (.zip) файлы, содержащие различные файлы и подпапки и удовлетворяющие требованиям стандарта ECMA Open Packaging Conventions. Формат цифровой подписи соответствует стандарту цифровой подписи W3C XML Digital Signature Standard (XMLDsig).