feat: живой цикл M2M с НРД + мастер установки ключа на флешку

Инфраструктура M2M (живой обмен с НРД через ИШ): - обработка M2MTransferResponse: ERROR(M2Mxx) → заявка Отклонена, сохранение ответа; INFO → ждём Decision; идемпотентность поллера - fallback-корреляция ответов с нулевым GUID (M2M14/M2M17) по FIFO - сырой XML ответа НРД в карточке заявки (для пересылки в ТП) - тестовый пакет роботу приведён к эталону m2m_robot_samples (CostInfo=Yes, 4 бумаги, IsolationStatus, DocumentSeries=сценарий); override паспорта - редирект из теста сразу в карточку заявки Мастер установки ключа Валидаты на флешку (admin/setup/keywizard): - пошаговый: загрузка .7z+пароль → выбор флешки → запись → справочник сертификатов (CRL) → перезапуск+проверка ИШ → готово - привилегированный воркер (bj-keymedia) в host-namespace через файл-обмен, bj-server остаётся в песочнице - сохранение структуры профиля архива (spr<N>), перечисление съёмных USB Прочее: - пакет-доказательство для ТП НРД + форма регистрации участника M2M - эталонные образцы робота (DOC/m2m_robot_samples) Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
2026-06-19 00:03:21 +03:00
parent 6e503433d4
commit 9737c787f9
110 changed files with 10771 additions and 1690 deletions
@@ -0,0 +1,44 @@
+# nginx.conf — reverse-proxy для bj-artifactory с TLS.
+# Раздаёт релизы и обновления bj-server по HTTPS.
+#
+# Установка: положить в /etc/nginx/sites-available/, заменить server_name
+# и пути сертификатов, выпустить TLS через certbot, symlink в sites-enabled.
+#
+#   updates.example.com  →  bj-artifactory на 127.0.0.1:8090
+#
+# bj-artifactory запускается как systemd-сервис (см. artifactory.service).
+
+server {
+    listen 80;
+    server_name updates.example.com;
+    # Редирект на HTTPS (кроме ACME-челленджа certbot).
+    location /.well-known/acme-challenge/ { root /var/www/certbot; }
+    location / { return 301 https://$host$request_uri; }
+}
+
+server {
+    listen 443 ssl http2;
+    server_name updates.example.com;
+
+    ssl_certificate     /etc/letsencrypt/live/updates.example.com/fullchain.pem;
+    ssl_certificate_key /etc/letsencrypt/live/updates.example.com/privkey.pem;
+    ssl_protocols TLSv1.2 TLSv1.3;
+    ssl_prefer_server_ciphers on;
+
+    # Манифесты маленькие — не кэшируем агрессивно (быстрое распространение релизов).
+    location /v1/ {
+        proxy_pass http://127.0.0.1:8090;
+        proxy_set_header Host $host;
+        proxy_set_header X-Real-IP $remote_addr;
+        # Артефакты могут быть крупными (jar ~20МБ) — без буферизации тела.
+        proxy_buffering off;
+        client_max_body_size 0;
+    }
+
+    location /healthz {
+        proxy_pass http://127.0.0.1:8090;
+    }
+
+    # Всё остальное — 404.
+    location / { return 404; }
+}