docs(ish): полный комплект документации ИШ НРД + help-страница «Архитектура обмена»

С официальной страницы НРД (https://www.nsd.ru/workflow/system/programs/web-service/)
скачано всё необходимое для подключения ИШ:

DOC/:
- ruk_install_ish_2025_11_10.pdf (4.7 МБ) — Руководство по установке ИШ
  от 10.11.2025, с разделами «6. Технические требования» и «7.3.2 Установка
  под Linux»
- ruk_pol_ish.pdf (3.5 МБ) — Руководство пользователя ИШ
- QA_ish.pdf (2.5 МБ) — Часто задаваемые вопросы
- test-case_ish.pdf (1.3 МБ) — Тест-кейсы для проверки работоспособности
- instr_int_sh_01072025.pdf (0.4 МБ) — Инструкция по заявке на тестирование
- web_service_nrd_standard_soap_rest.pdf (2.2 МБ) — техрекомендации
  Web-сервиса ONYX

dist/ish/:
- igate_100.0-765_amd64.deb (117 МБ) — дистрибутив ИШ для Astra Linux,
  не в git (в .gitignore), но всегда есть для установки
- igate_95.0-716_amd64.SGN — ЭП к дистрибутиву
- README.md — индекс файлов + ссылки на повторное скачивание

Ключевые факты из руководства (попали в REPORT.md и help-страницу):
- ИШ работает на Astra Linux SE 1.6/1.7 (РЕД ОС не упомянута) или Windows
- СКЗИ — Валидата CSP + АПК Валидата Клиент L (НЕ КриптоПро!)
  Дистрибутив Валидаты — по запросу soed@nsd.ru / pki@moex.com
- БД — PostgreSQL (обязательна для REST API ИШ) или SQLite
- Сертификат — только от УЦ Московской Биржи (ca.moex.com)

Добавлена help-страница /admin/help/architecture с:
- ASCII-диаграммой полной схемы (bj-server → ИШ → ONYX → робот)
- Таблицей «кто на чьей стороне, какая ОС, какая СКЗИ»
- 8 FAQ-вопросов (включая «ИШ — это сервер НРД?», «можно ли в одну ВМ?»,
  «зачем Валидата если есть КриптоПро» и др.)
- Чек-лист «что у нас уже готово»

REPORT.md обновлён:
- общая готовность 70% → 72%
- 7 внешних блокеров вместо 6 (Astra Linux ВМ + Валидата CSP стали явными)
- раздел «Дистрибутив ИШ и полная документация» с описанием каждого файла

Cleanup: .gitignore теперь исключает /dist/ish/*.deb но пропускает
README.md внутри той же папки.

REPORT.md

@@ -1,6 +1,6 @@
 # Bridge-and-Join-s — отчёт о ходе работ
 
-**Дата:** 14.05.2026 (обновлено вечером — добавлен REST-клиент ИШ + эмулятор робота)
+**Дата:** 14.05.2026 (3-я редакция за день — скачан дистрибутив ИШ + полная документация ИШ)
 **Контур:** дев-стенд РЕД ОС 8 (10.10.10.22), bj-server на :8080, lk-emulator на :8083
 **Целевая интеграция:** сервис MOEX МОСТ (M2M) через НКО АО НРД
 
@@ -22,15 +22,17 @@
 | Эмулятор робота-автотеста НРД (внутренний mock) | **90%** | ⚠ Сценарий 3333 — частично |
 | Реальное подключение к роботу на TEST3 НРД | **30%** | ⚠ REST-клиент ИШ готов, ждём сам ИШ + сертификат |
 | REST-клиент ИШ НРД (по DOC/instr-ish-rest-api.pdf) | **100%** | ✅ POST file, GET status, GET list, GET package, упаковщик ZIP, 10/10 тестов |
-| Интеграционный шлюз НРД (ИШ) — серверная часть от НРД | **0%** | ⏳ Не скачан, не установлен (заблокировано НРД) |
-| Сертификат УЦ Московской Биржи для подписи | **0%** | ⏳ Не получен |
+| Дистрибутив ИШ НРД и полная документация | **100%** | ✅ Скачаны: `igate_100.0-765_amd64.deb` (117 МБ) + 6 PDF |
+| Установка ИШ на наш стенд | **0%** | ⏳ Требуется Astra Linux ВМ (не РЕД ОС) — см. блокер #1 |
+| Получение СКЗИ «Валидата CSP» для Linux | **0%** | ⏳ Запрос в soed@nsd.ru / pki@moex.com — см. блокер #2 |
+| Сертификат УЦ Московской Биржи для подписи | **0%** | ⏳ Не получен — см. блокер #3 |
 | Подключение реального ЛК ESIA Finance | **20%** | ⚠ Эмулятор lk-emulator работает, реальный URL не указан |
 | Контракт с Fansy (ETL) | **30%** | ⚠ Контракт документирован, ETL не реализован стороной Fansy |
 | Уведомления (e-mail, мессенджеры) | **0%** | ⏳ M3-M4 |
 | Тесты, CI/CD | **40%** | ⚠ Unit-тесты компонентов, нет E2E против реального НРД |
 
-**Общая готовность системы:** **≈ 70%** (по объёму функциональности)
-**Готовность к интеграционному тесту с роботом:** **≈ 85%** (зависит только от внешних факторов — серверный ИШ от НРД, сертификат)
+**Общая готовность системы:** **≈ 72%** (по объёму функциональности)
+**Готовность к интеграционному тесту с роботом:** **≈ 85%** (зависит только от внешних факторов: Astra Linux ВМ, Валидата CSP, сертификат УЦ МБ)
 
 ---
 
@@ -94,6 +96,25 @@
 - Покрыто тестами: 10/10 PASS (httptest + zip round-trip + 4xx без ретраев + retry на 5xx)
 - Готов к переключению: как только получим живой ИШ от НРД, нужно только указать BaseURL и Channel в `/admin/setup` — код уже всё умеет
 
+### Дистрибутив ИШ и полная документация (получены 14.05.2026)
+По наводке от заказчика на странице `https://www.nsd.ru/workflow/system/programs/web-service/` найдены и скачаны все официальные материалы:
+
+- **Дистрибутив ИШ Linux**: `dist/ish/igate_100.0-765_amd64.deb` (117 МБ, для Astra Linux)
+- **Электронная подпись к дистрибутиву**: `dist/ish/igate_95.0-716_amd64.SGN`
+- **DOC/ruk_install_ish_2025_11_10.pdf** (4.7 МБ) — Руководство по установке ИШ от 10.11.2025. Главное:
+  - Поддерживаемые ОС: Windows 10/Server, **Astra Linux SE 1.6/1.7** (РЕД ОС не упомянута)
+  - СКЗИ: **«Валидата CSP» + АПК «Валидата Клиент L»** (НЕ КриптоПро)
+  - БД: SQLite или PostgreSQL (PostgreSQL обязателен для REST API)
+  - Только ГОСТ-криптография под Linux (RSA — только Windows)
+  - Только сертификаты от УЦ МБ
+- **DOC/ruk_pol_ish.pdf** (3.5 МБ) — Руководство пользователя ИШ
+- **DOC/QA_ish.pdf** (2.5 МБ) — Q&A
+- **DOC/test-case_ish.pdf** (1.3 МБ) — Тест-кейсы для проверки работоспособности ИШ
+- **DOC/instr_int_sh_01072025.pdf** (0.4 МБ) — Инструкция по созданию заявки на тестирование
+- **DOC/web_service_nrd_standard_soap_rest.pdf** (2.2 МБ) — Техрекомендации Web-сервиса ONYX
+
+`dist/ish/.deb` не коммитится в git (большой), но `dist/ish/README.md` содержит все ссылки на повторное скачивание.
+
 ### Безопасность и надёжность
 - Баннер «🟡 РЕЖИМ ЭМУЛЯЦИИ» отображается на каждой странице админки пока не настроен ИШ или СКЗИ — оператор не сможет случайно принять mock-результат за реальный.
 - Контекстная навигация после действий (после POST возврат на ту же страницу, не в /admin/setup).
@@ -106,32 +127,39 @@
 
 ### Внешние блокеры (без них не двинемся к реальному НРД)
 
-1. **Дистрибутив ИШ НРД**
-   - Где взять: https://www.nsd.ru/workflow/system/programs/#0-widget-faq-0-4
-   - Что неизвестно: системные требования (ОС, СКЗИ — JCP или CSP, БД, Java), нужен ли отдельный договор/лицензия. В наших документах эти детали отсутствуют — они в «Руководстве по установке ИШ», которого у нас нет.
-   - Что нужно сделать: запросить «Руководство по установке и настройке ПО Интеграционный шлюз НРД» у НРД (контакт: `M2MOST@nsd.ru`).
-   - Срок: зависит от ответа НРД.
+1. **Astra Linux ВМ для ИШ** ⭐ новый блокер
+   - Дистрибутив ИШ — только `igate_100.0-765_amd64.deb` (под Astra Linux SE 1.6/1.7). РЕД ОС официально не поддерживается, RPM-версии нет.
+   - Что нужно: поднять отдельную Astra Linux ВМ (10.10.10.23?) или попробовать запустить ИШ в Docker-контейнере с Astra-образом.
+   - Альтернативы: Windows 10/Server (есть .exe-дистрибутив, но это шаг назад от Linux).
+   - Срок: зависит от инфра-команды; ~1 день поднять ВМ + ~30 мин установить ИШ.
 
-2. **Сертификат подписи УЦ Московской Биржи** (ca.moex.com)
-   - Нужен для подписи отправляемых сообщений (через ИШ — кладётся в ИШ; без ИШ — в bj-server).
-   - Что нужно: оформить заявку в УЦ МБ от организации, получить сертификат + приватный ключ (на токене или в контейнере).
-   - Срок: зависит от УЦ.
+2. **СКЗИ «Валидата CSP» + АПК «Валидата Клиент L»** ⭐ новый блокер
+   - ИШ требует именно Валидату, **НЕ КриптоПро CSP** (у нас стоит КриптоПро, придётся ставить параллельно или вместо).
+   - Где взять: только по запросу — `soed@nsd.ru` (НРД) или `pki@moex.com` (МБ). Временная лицензия выдаётся.
+   - Что нужно: отправить письмо с реквизитами организации и обоснованием (подключение к MOEX МОСТ M2M).
+   - Срок: ~1-3 дня на ответ НРД.
 
-3. **Сертификаты УЦ НРД** (для проверки квитанций)
+3. **Сертификат подписи УЦ Московской Биржи** (ca.moex.com)
+   - Нужен для подписи отправляемых сообщений. Кладётся в Справочник сертификатов АПК Валидата Клиент L, экспортируется в системное хранилище.
+   - Что нужно: оформить заявку в УЦ МБ от организации, получить сертификат + приватный ключ.
+   - Срок: зависит от УЦ МБ.
+
+4. **Заявка на тестирование в TEST3 НРД**
+   - Форма: `https://www.nsd.ru/workflow/zayavka-na-testirovanie/`
+   - Инструкция: `DOC/instr_int_sh_01072025.pdf`
+   - Получаем код депонента-тестера и доступ к контурам GUEST/TEST3.
+
+5. **Сертификаты УЦ НРД** (для проверки квитанций)
    - Где взять: `https://www.nsd.ru/workflow/system/cryptography/` — сейчас отдаёт 404 на нашем дев-стенде (вероятно перенесено в ЛК НРД депонента).
    - В коде уже есть форма «Авто-загрузка сертификатов УЦ» в `/admin/setup` — как только получим прямые URL .cer, добавим их.
 
-4. **Окно техработ TEST3: 18.05.2026 — 22.05.2026**
+6. **Окно техработ TEST3: 18.05.2026 — 22.05.2026**
    - Полевое тестирование в этот период невозможно. Реальные прогоны — до 18-го или после 22-го мая.
 
-5. **Доступ к API реального ЛК ESIA Finance**
+7. **Доступ к API реального ЛК ESIA Finance**
    - Сейчас bj-server работает с встроенным эмулятором `lk-emulator` на :8083.
    - Что нужно: URL продакшен/тест ЛК, Basic-auth учётка.
 
-6. **«Руководство пользователя ПО Интеграционный шлюз НРД»** и **«Руководство по установке и настройке…»**
-   - Упомянуты как ссылки в `DOC/Инструккия M2M.pdf` стр. 6, но самих файлов у нас нет.
-   - REST API мы уже реализовали по `instr-ish-rest-api.pdf` — но настройка каналов ЭДО (channel=?), параметры ключевого хранилища ИШ, порт по умолчанию — оттуда.
-
 ### Внутренние задачи (можем делать параллельно)
 
 | Задача | Приоритет | Эффект |