feat(admin): авто-загрузка сертификатов УЦ НРД + ежесуточное обновление

Новый раздел /admin/setup → «Сертификаты УЦ» (и в шаге 3 wizard'а): список
URL .cer-файлов УЦ (одна ссылка на строку). По кнопке «Скачать сейчас»
система качает каждый URL, парсит X.509, и через certmgr -inst импортирует
в mroot (если cert == issuer, т.е. корневой) или uRoot (промежуточный).

Дедуп по SHA-256: если файл по URL не изменился — повторного импорта нет.
В runtime-конфиге сохраняется журнал FetchedCerts (CN/SHA-256/срок/статус)
для отображения в UI.

Чекбокс «Авто-обновление раз в сутки» включает фоновую горутину
StartCACertsAutoUpdater — стартует через 30 сек после bj-server, потом
тикает раз в 24 часа. При изменении сертификата он переустанавливается
без участия оператора.

Mastered tasks: #44.

internal/lkgateway/cacerts.go

@@ -0,0 +1,269 @@
+package lkgateway
+
+import (
+	"context"
+	"crypto/sha256"
+	"crypto/x509"
+	"encoding/hex"
+	"encoding/pem"
+	"fmt"
+	"io"
+	"log"
+	"net/http"
+	"net/url"
+	"os"
+	"os/exec"
+	"path/filepath"
+	"strings"
+	"time"
+)
+
+// defaultNSDCAURLs — список URL для авто-загрузки сертификатов УЦ НРД.
+// Эти URL пользователь может скорректировать в /admin/setup → «Сертификаты
+// УЦ» (раздел появляется после первого сохранения настроек). На сайте НРД
+// (www.nsd.ru/workflow/system/cryptography/) сертификаты выложены в виде
+// .cer файлов — нужно скопировать их прямые URL сюда.
+//
+// По умолчанию список пустой, потому что прямые URL у НРД меняются от
+// релиза к релизу и должны быть проверены оператором перед использованием.
+var defaultNSDCAURLs = []string{
+	// https://www.nsd.ru/workflow/system/cryptography/ — раскомментируйте
+	// нужные ссылки в UI после того, как уточните URL у НРД.
+}
+
+// FetchCACertificates скачивает все URL из настроек, парсит .cer, и при
+// успехе вызывает certmgr -inst -store mroot. Возвращает обновлённую
+// CACertsSettings (для записи в runtime-конфиг) и сводку как строку.
+func FetchCACertificates(ctx context.Context, s CACertsSettings) (CACertsSettings, string) {
+	if len(s.URLs) == 0 {
+		return s, "Список URL пуст. Добавьте ссылки на .cer-файлы УЦ НРД в /admin/setup → «Сертификаты УЦ»."
+	}
+	var logBuf strings.Builder
+	now := time.Now()
+	newFetched := make([]FetchedCACert, 0, len(s.URLs))
+
+	for _, u := range s.URLs {
+		u = strings.TrimSpace(u)
+		if u == "" {
+			continue
+		}
+		fc := FetchedCACert{URL: u, FetchedAt: now}
+		der, err := downloadAndParseCert(ctx, u)
+		if err != nil {
+			fc.Error = err.Error()
+			newFetched = append(newFetched, fc)
+			fmt.Fprintf(&logBuf, "%s — ОШИБКА: %s\n", u, err)
+			continue
+		}
+		cert, perr := x509.ParseCertificate(der)
+		if perr != nil {
+			fc.Error = "не удалось распарсить X.509: " + perr.Error()
+			newFetched = append(newFetched, fc)
+			fmt.Fprintf(&logBuf, "%s — не X.509: %s\n", u, perr)
+			continue
+		}
+		fc.SubjectCN = cert.Subject.CommonName
+		fc.IssuerCN = cert.Issuer.CommonName
+		fc.NotAfter = cert.NotAfter
+		fc.SHA256 = hex.EncodeToString(sha256Bytes(der))
+		// УЦ-сертификаты с самоподписью (Issuer == Subject) идут в mroot,
+		// промежуточные — в uRoot.
+		store := "uRoot"
+		if cert.Subject.CommonName == cert.Issuer.CommonName {
+			store = "mroot"
+		}
+		fc.Store = store
+
+		// Дедуп: если sha256 совпадает с уже импортированным — пропускаем
+		// сам импорт (но фиксируем что проверили).
+		alreadyImported := false
+		for _, old := range s.FetchedCerts {
+			if old.URL == u && old.SHA256 == fc.SHA256 && old.Error == "" {
+				alreadyImported = true
+				break
+			}
+		}
+		if alreadyImported {
+			fmt.Fprintf(&logBuf, "%s — не изменился (sha256=%s...)\n", u, fc.SHA256[:12])
+			newFetched = append(newFetched, fc)
+			continue
+		}
+
+		// Импорт через certmgr.
+		if err := importCertToStore(ctx, der, store); err != nil {
+			fc.Error = "certmgr: " + err.Error()
+			fmt.Fprintf(&logBuf, "%s — certmgr упал: %s\n", u, err)
+		} else {
+			fmt.Fprintf(&logBuf, "%s — импортирован в %s (CN=%s, sha256=%s...)\n",
+				u, store, fc.SubjectCN, fc.SHA256[:12])
+		}
+		newFetched = append(newFetched, fc)
+	}
+
+	s.LastFetch = now
+	s.LastFetchLog = logBuf.String()
+	s.FetchedCerts = newFetched
+	return s, logBuf.String()
+}
+
+func sha256Bytes(b []byte) []byte {
+	h := sha256.Sum256(b)
+	return h[:]
+}
+
+// downloadAndParseCert качает URL и возвращает DER-байты сертификата.
+// Поддерживает PEM (-----BEGIN CERTIFICATE-----) и сырой DER.
+func downloadAndParseCert(ctx context.Context, rawURL string) ([]byte, error) {
+	u, err := url.Parse(rawURL)
+	if err != nil {
+		return nil, fmt.Errorf("не URL: %w", err)
+	}
+	if u.Scheme != "http" && u.Scheme != "https" {
+		return nil, fmt.Errorf("поддерживаются только http/https, получено %q", u.Scheme)
+	}
+	reqCtx, cancel := context.WithTimeout(ctx, 30*time.Second)
+	defer cancel()
+	req, err := http.NewRequestWithContext(reqCtx, http.MethodGet, rawURL, nil)
+	if err != nil {
+		return nil, err
+	}
+	req.Header.Set("User-Agent", "bj-server/1.0 (cacerts auto-fetch)")
+	client := &http.Client{Timeout: 30 * time.Second}
+	resp, err := client.Do(req)
+	if err != nil {
+		return nil, fmt.Errorf("сеть: %w", err)
+	}
+	defer resp.Body.Close()
+	if resp.StatusCode >= 400 {
+		return nil, fmt.Errorf("HTTP %d", resp.StatusCode)
+	}
+	data, err := io.ReadAll(io.LimitReader(resp.Body, 5<<20))
+	if err != nil {
+		return nil, err
+	}
+	// Пробуем PEM.
+	if block, _ := pem.Decode(data); block != nil && block.Type == "CERTIFICATE" {
+		return block.Bytes, nil
+	}
+	// Иначе считаем что DER.
+	return data, nil
+}
+
+// importCertToStore вызывает certmgr -inst -store <store> -file <tmp>.
+func importCertToStore(ctx context.Context, der []byte, store string) error {
+	const certmgr = "/opt/cprocsp/bin/amd64/certmgr"
+	if _, err := os.Stat(certmgr); err != nil {
+		return fmt.Errorf("certmgr не найден (КриптоПро CSP не установлен?): %w", err)
+	}
+	tmp, err := os.CreateTemp("", "bj-ca-*.cer")
+	if err != nil {
+		return err
+	}
+	defer os.Remove(tmp.Name())
+	if _, err := tmp.Write(der); err != nil {
+		tmp.Close()
+		return err
+	}
+	tmp.Close()
+
+	cmd := exec.CommandContext(ctx, certmgr, "-inst", "-store", store, "-file", tmp.Name())
+	out, err := cmd.CombinedOutput()
+	if err != nil {
+		return fmt.Errorf("%w / %s", err, strings.TrimSpace(string(out)))
+	}
+	return nil
+}
+
+// StartCACertsAutoUpdater запускает горутину, которая раз в сутки
+// перекачивает сертификаты УЦ и переустанавливает изменённые. Возвращает
+// функцию остановки. Если AutoUpdate=false — фон не запускается.
+func StartCACertsAutoUpdater(rc *RuntimeConfig) func() {
+	ctx, cancel := context.WithCancel(context.Background())
+	go func() {
+		// При старте — небольшой запас, чтобы не лезть в сеть в ту же
+		// секунду запуска bj-server.
+		select {
+		case <-ctx.Done():
+			return
+		case <-time.After(30 * time.Second):
+		}
+		ticker := time.NewTicker(24 * time.Hour)
+		defer ticker.Stop()
+		for {
+			s := rc.Snapshot().CACerts
+			if s.AutoUpdate && len(s.URLs) > 0 {
+				updated, _ := FetchCACertificates(ctx, s)
+				if err := rc.UpdateCACerts(updated); err != nil {
+					log.Printf("ca-certs auto-update: save failed: %v", err)
+				} else {
+					log.Printf("ca-certs auto-update: %d url'ов проверено", len(s.URLs))
+				}
+			}
+			select {
+			case <-ctx.Done():
+				return
+			case <-ticker.C:
+			}
+		}
+	}()
+	return cancel
+}
+
+// saveCACerts — POST /admin/setup/cacerts.
+// Принимает форму с textarea (одна URL на строку) и чекбоксом auto_update.
+func (h *setupHandlers) saveCACerts(w http.ResponseWriter, r *http.Request) {
+	if r.Method != http.MethodPost {
+		http.Error(w, "method", http.StatusMethodNotAllowed)
+		return
+	}
+	raw := r.FormValue("urls")
+	auto := r.FormValue("auto_update") == "on"
+	urls := []string{}
+	for _, line := range strings.Split(raw, "\n") {
+		line = strings.TrimSpace(line)
+		if line != "" && !strings.HasPrefix(line, "#") {
+			urls = append(urls, line)
+		}
+	}
+	cur := h.rc.Snapshot().CACerts
+	cur.URLs = urls
+	cur.AutoUpdate = auto
+	if err := h.rc.UpdateCACerts(cur); err != nil {
+		setupFlash(w, r, "Сертификаты УЦ: не получилось сохранить: "+err.Error())
+		return
+	}
+	setupFlash(w, r, fmt.Sprintf("Сертификаты УЦ: сохранено %d URL'ов, авто-обновление: %v", len(urls), auto))
+}
+
+// fetchCACertsNow — POST /admin/setup/cacerts/fetch.
+// Ручной триггер «скачать сейчас», вызывает FetchCACertificates сразу.
+func (h *setupHandlers) fetchCACertsNow(w http.ResponseWriter, r *http.Request) {
+	if r.Method != http.MethodPost {
+		http.Error(w, "method", http.StatusMethodNotAllowed)
+		return
+	}
+	ctx, cancel := context.WithTimeout(r.Context(), 2*time.Minute)
+	defer cancel()
+	cur := h.rc.Snapshot().CACerts
+	updated, summary := FetchCACertificates(ctx, cur)
+	if err := h.rc.UpdateCACerts(updated); err != nil {
+		setupFlash(w, r, "Сертификаты УЦ: ошибка сохранения: "+err.Error())
+		return
+	}
+	if summary == "" {
+		summary = "готово"
+	}
+	// Обрезаем длинный лог в flash-сообщении.
+	if len(summary) > 800 {
+		summary = summary[:800] + "…"
+	}
+	setupFlash(w, r, "Сертификаты УЦ обновлены: "+strings.TrimSpace(summary))
+}
+
+// caCertsTemplateString — компактный URL для отображения в UI.
+func caCertsTemplateString(s CACertsSettings) string {
+	return strings.Join(s.URLs, "\n")
+}
+
+// доп. защита от пустых импортов (linter)
+var _ = filepath.Join