X x-road.mn
LIVE · X-Road v7.8.0 · cs.xroad.mn · 38.180.203.234

Монголын үндэсний өгөгдөл солилцооны давхарга

X-Road MN instance — NIIS-ийн X-Road v7.8.0 платформ дээр баригдсан, Гэрэгэ Системс ХХК-аас үйл ажиллагаа явуулдаг, Цахим хөгжил инновац харилцаа холбооны яамны хяналтад дамжуулагдсан, төр-хувийн хэвшлийн мэдээллийн системийг найдвартай, баталгаажсан, цаг тэмдэгтэй мессежээр холбож байна.

Гишүүн болох алхам → Топологи үзэх GitHub repo ↗
Security Server
5

CS + 4 member SS

Producer subsystem
2

GEREGE-ID + EIDMONGOL

Гишүүн
4

3 COM + 1 GOV

Active service-client
8+

ACL-аар олгогдсон

01 · Юу вэ

X-Road гэж юу вэ?

X-Road бол байгууллага хооронд баталгаажсан, татгалзашгүй, нэгдсэн стандарттай мэдээлэл солилцоход зориулсан нээлттэй эх кодтой давхарга. Эстонид 2001 онд гарсан, одоо NIIS (Финланд + Эстони + Исланд) хамтран хөгжүүлдэг. Mongolian X-Road instance "MN" нь энэ платформын Монгол улс дахь production хэрэгжилт юм.

mTLS

Мутуал TLS бүхэн

SS бүр AUTH cert + SIGN cert эзэмшинэ. globalconf-д бүртгэгдсэн cert hash-аар нэг бүрчлэн хариуцагдана. Гэрэгэ Issuing CA-аас гарал.

SIG

Татгалзашгүй гарын үсэг

Мессеж бүр SIGN key-ээр гарын үсэгтэй, RFC 3161 timestamp-тай. Маргаан гарвал хэн, хэзээ, ямар өгөгдөл илгээсэн нь нотлогдоно.

OCSP

Real-time cert validation

ocsp.gerege.mn сертификатын статусыг 60c тутамд freshness window-р шалгана. Хүчингүй болсон cert-аар явсан мессеж шууд татгалзагдана.

02 · Топологи

Архитектур ба сүлжээ

MN instance нь нэг Central Server + Management SS + producer/consumer SS-үүдийн хослолоор бүтнэ. Бүх SS нэг нийтлэг trust anchor-той — Гэрэгэ Root CA.

Trust plane Control plane Data plane — member SS-үүд Гэрэгэ Root CA ca.gerege.mn self-signed · EC P-384 ROOT CA OCSP responder ocsp.gerege.mn CRL distribution crl.gerege.mn RFC 3161 TSA timeserver.mn Sigstore · EC P-256 Central Server cs.xroad.mn signs globalconf · instance MN CS · INSTANCE AUTHORITY Management SS mgmt.xroad.mn MN/GOV/6806252 ЦХИХХЯ · MANAGEMENT globalconf · port 4001/4002 Member SS ss.paygrid.mn MN/COM/7181609 Гэрэгэ Smart Metering PAYGRID-CORE Consumer SS ss.gerege.mn MN/COM/6884857 Гэрэгэ Кор ХХК GEREGE-WALLET-BFF Producer SS rp.gerege.mn MN/COM/6235972 Гэрэгэ Системс ХХК GEREGE-ID + EIDMONGOL X-Road message · port 5500 mTLS cert chain (бүх SS) timestamps · RFC 3161 globalconf download · 1×/мин

Source of truth: docs/topology.md — frozen 2026-05-07

03 · PKI

Trust hierarchy

Бүх MN instance нь нэг trust anchor-аас гаралтай: Гэрэгэ Root CA (EC P-384, self-signed). SS бүрд тусдаа intermediate шаардлагагүй — `shared-params.xml` зөвхөн Гэрэгэ-аас гаргасан CA-уудыг хүлээн зөвшөөрнө.

Гэрэгэ Root CA self-signed · EC P-384 trust anchor ROOT Гэрэгэ Issuing CA KU keyCertSign + CRLSign no EKU restriction ISSUING CA Гэрэгэ TSA Issuing CA CA:TRUE · pathlen:0 EKU critical timeStamping TSA ISSUING CA xroad_auth certs SS authentication digitalSignature clientAuth + serverAuth xroad_sign certs SS message signing nonRepudiation emailProtection User AUTH/SIGN + OCSP responder + infra certs TimeServer.mn TSA Signer EC P-256 · leaf KU + EKU critical

Яагаад 2 intermediate?

Sigstore TSA нь `certchain.pem` доторх бүх non-root cert-д id-kp-timeStamping EKU шаардана. Ерөнхий зориулалттай Issuing CA нь EKU restriction-гүй учир TSA leaf-ийг шууд гаргавал Sigstore татгалздаг. Тийм учраас тусдаа TSA-only intermediate сонгосон.

Profile-ууд

  • xroad_auth · digitalSignature+keyEncipherment · clientAuth+serverAuth
  • xroad_sign · nonRepudiation · emailProtection
  • xroad_tsa · digitalSignature(crit) · timeStamping(crit)

04 · Service catalog

Гишүүн болсны дараа дуудаж болох үйлчилгээнүүд

rp.gerege.mn нь Гэрэгэ Системс ХХК-ийн нэрийн дор 2 producer subsystem-ыг публикуулдаг. Сертификат, иргэний баталгаажуулалт, гарын үсэг — REST/OpenAPI3 spec-тэй, ACL-аар хяналттай.

MN/COM/6235972/GEREGE-ID

Gerege ID (legacy)

REGISTERED

IS = https://ca.gerege.mn/xroad/v1/...

ServiceOpenAPI
auth-svc/auth/initiate · /auth/session/{id}
sign-svc/sign/initiate · /sign/session/{id}
cert-svc/certificate/validate · /certificate/lookup/{id}

MN/COM/6235972/EIDMONGOL

e-ID Mongolia v2 ★ recommended

REGISTERED

IS = https://api.eidmongol.mn/

ServiceOpenAPI
auth-svc/.well-known/openapi/eid-rp/auth.yaml
sign-svc/.well-known/openapi/eid-rp/sign.yaml
— no cert-svcnational-id lookup нь auth callback-д шилжсэн (privacy)

05 · Гишүүд

Одоогоор нэгдсэн байгууллагууд

5 Security Server, 4 хууль ёсны этгээд (3 ХХК + 1 яам), 8+ active subsystem.

Host Эзэмшигч Member ID Subsystems Үүрэг
cs.xroad.mn Үндэсний дата төв — (instance owner) Central Server
mgmt.xroad.mn Цахим хөгжил инновац харилцаа холбооны яам MN/GOV/6806252 MANAGEMENT, BANK1/2/3-DBANK, NBFI1/2-DEMO Management SS
rp.gerege.mn Гэрэгэ Системс ХХК MN/COM/6235972 GEREGE-ID, GEREGE-WEB, EIDMONGOL Producer
ss.gerege.mn Гэрэгэ Кор ХХК MN/COM/6884857 GEREGE-WALLET-BFF Consumer
ss.paygrid.mn Гэрэгэ Smart Metering MN/COM/7181609 PAYGRID-CORE Consumer + Producer

06 · Гишүүнчлэл

Member SS-ээр нэгдэх 6 алхам

Доорх playbook нь production-аас гарал үүсэлтэй. ss.paygrid.mn нь 2026-05-06–07-нд яг энэ дарааллаар нэг өдөрт REGISTERED болсон.

  1. STEP 01

    Хууль ёсны этгээд + IP

    Регистрийн дугаар, member class (COM/GOV/NEE), SS-ийн public IP, consumer/producer/both эсэх — биднд илгээнэ.

  2. STEP 02

    CS-д member бүртгэх

    cs.xroad.mn UI → Members → Add Member. Энэ алхмыг бид хийнэ. Танай talaас action хэрэггүй.

  3. STEP 03

    AUTH + SIGN CSR-ээ илгээх

    SS UI → Generate key → 2 CSR (auth + sign). Гэрэгэ Issuing CA-аар гарын үсэг зурж буцаана.

  4. STEP 04

    TSP entry нэмэх

    Settings → Timestamping Services → https://tsa.timeserver.mn/. Үгүй бол clientReg fail болно.

  5. STEP 05

    Subsystem бүртгэх

    SS UI → Clients → Add subsystem → код (жнь. PAYGRID-CORE) → Register. CS-д approve хийнэ.

  6. STEP 06

    Service ACL хүсэх

    EIDMONGOL/GEREGE-ID-д ямар service-уудад орох хэрэгтэйг мэдэгдэнэ. rp.gerege.mn-д Service-clients ACL-д танай subsystem-ыг нэмнэ.

Партнер танай SS Партнер танай SS Гэрэгэ CA ca.gerege.mn Гэрэгэ CA ca.gerege.mn Central Server cs.xroad.mn Central Server cs.xroad.mn Management SS mgmt.xroad.mn Management SS mgmt.xroad.mn Producer SS rp.gerege.mn Producer SS rp.gerege.mn CSR + cert issuance SS-side prerequisites CS-side registration Subsystem + service access 01 AUTH + SIGN CSR-ийг илгээ 02 2× signed .cer файл буцаана 03 Cert import + activate (SS UI) 04 TSP entry → tsa.timeserver.mn 05 clientReg signed message 06 proxy → /managementservice/manage/ 07 Approved → REGISTERED 08 Subsystem register → CS approve 09 POST /r1/MN/COM/6235972/EIDMONGOL/auth-svc/... 10 Response (signed + RFC 3161 timestamped)

Бүтэн checklist: docs/onboarding-new-member-ss.md

07 · Үйл ажиллагаа

Operational guarantees

60s

Globalconf refresh

xroad-confclient минут тутамд CS-аас globalconf татаж шинэчилнэ.

3600s

OCSP freshness

Cert валидаци 1 цагийн window-той. Энэ хязгаарт багтаж OCSP refresh хийнэ.

EC P-384

Root CA key

Гэрэгэ Root CA — гадаад trust root шаардлагагүй. Нэгдсэн Mongolian trust anchor.

RFC 3161

Trusted timestamps

Sigstore TSA, Гэрэгэ Root-аас гарал. Маргаан гарвал legal-grade нотолгоо.

08 · Холбоо барих

Гишүүн болохыг хүсэж байна уу?

Танай байгууллагын регистрийн дугаар, SS-ийн төлөвлөж буй public IP, consumer/producer/both дүрийн талаар бичээд илгээнэ. Дунджаар 1 ажлын өдөрт CS-д member бүртгэгдээд CSR signing хийгдэнэ.

xroad@gerege.mn руу email бичих → GitHub дээрх документ ↗