криптопро установить корневой сертификат linux
Работа с КриптоПро на linux сервере
Ссылки
Лицензия
Для установки другой лицензии (под root):
Корневые сертификаты
Просмотр корневых сертификатов
Добавление корневых сертификатов (под root) из файла cacer.p7b
Необходимо последовательно добавить все сертификаты
Сертификаты
Список установленных сертификатов
Добавление реального сертификата
Добавить только сертификат (только проверка ЭЦП):
Добавление реального сертификата с привязкой к закрытому ключу и возможностью подписывать документы
Закрытый ключ состоит из шести key-файлов:
Способ с дискетой или флешкой
С жесткого диска
Поставить «минимальные» права:
Узнать реальное название контейнера:
Ассоциировать сертификат с контейнером, сертификат попадет в пользовательское хранилище My :
Если следующая ошибка, нужно узнать реальное название контейнера (см. выше):
Установить сертификат УЦ из-под пользователя root командой:
Проверка успешности установки закрытого ключа
Добавление тестового сертификата
Ввести пароль на контейнер. По-умолчанию: 12345678
Удаление сертификата
Проверка сертификата
Просмотр всех атрибутов сертификата
Получаем SHA 1 хеши:
В цикле извлекаем сертификаты:
Настройка openssl для поддержки ГОСТ:
В файл /etc/ssl/openssl.cnf
Экспорт сертификатов на другую машину
Экспорт самих сертификатов (если их 14):
Переносим эти файлы на машину и смотрим, какие контейнеры есть:
И как обычно, связываем сертификат и закрытый ключ:
Если закрытый ключ и сертификат не подходят друг к другу, будет выведена ошибка:
Если нет закрытого ключа, то просто ставим сертификат:
Подписание документа ЭЦП
Пример создания ЭЦП (по SHA1 Hash):
Проверка подписи ЭЦП
Для верифицирования сертификатов нужен сертификат удостоверяющего центра и актуальный список отзыва сертификатов, либо настроенный для этого revocation provider.
Корневой сертификат УЦ, список отзыва сертификата является одним из реквизитов самого сертификата.
Контрагенты когда открывают подписи в КриптоАРМ используют revocation provider, он делает проверки отзыва сертификата онлайн. Как реализована проверка в Шарепоинте не знаю. Знаю только что используется библиотека Крипто.Net
Проверка конкретной подписи из локального хранилища по его хешу:
Получение исходного файла
Получение исходного файла (сообщения):
Будет ругаться на сертификат (так как не будет проверки), но подпись удалит. Вариант с проверкой:
Криптопро установить корневой сертификат linux
Установка сертификатов используя КриптоПРО в Linux
Описание процесса установки приведено на примере дистрибутива семейства Debian (x64).
Названия файлов и директорий могут варьироваться от системы к системе.
При установке личных сертификатов не нужны права суперпользователя, и наоборот, при установке сертификатов УЦ (корневых и промежуточных) могут потребоваться такие права.
Подключите USB носитель с ключевыми контейнерами и проверьте результат команды:
Пример установки отдельно взятого сертификата из контейнера
При необходимости скопируйте ключевой контейнер \\.\FLASH\.\sidorov на жесткий диск:
Наличие [ErrorCode: 0x00000000] в завершении каждой команды КриптоПРО говорит о ее успешном выполнении.
Проверьте наличие нового контейнера \\.\HDIMAGE\sidor :
Установите личный сертификат:
Установите закрытый ключ для личного сертификата:
Скачайте корневой сертификат по ссылке выше (из поля CA cert URL ): http://cert1.ucestp.ru/estp.crt и перенесите его, например, в домашнюю папку:
Установите корневой сертификат (возможно потребуются права суперпользователя):
Проверьте установку личного сертификата:
Показать список корневых сертификатов
Посмотреть данные одного сертификата:
Удалить сертификат из хранилища:
Посмотреть лицензию КриптоПРО (возможно потребуются права суперпользователя):
Установить лицензионный ключ КриптоПРО (возможно потребуются права суперпользователя):
Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.
Установка и настройка подписи ЭЦП через КриптоПро CSP на Linux(Ubuntu)
1. Чтобы установить КриптоПро CSP: 1. Зарегистрируйтесь на сайте http://cryptopro.ru/products/csp/downloads, скачайте программу установки и разархивируйте ее.
Информация по установке
Выполните предварительно команды в терминале под суперпользователем:
Для обновления списка доступных пакетов до последних изменений в репозитариях набрать следующее:
sudo apt-get update
Для обновления всех установленных пакетов программ:
sudo apt-get upgrade
Скачанные пакеты необходимо разархивировать:
После при помощи команды установить пакеты:
sudo sh install_gui.sh
При котором откроется терминал с возможностью установки через GUI.
Лучше поставить пакеты вручную:
sudo apt-get install libpangox-1.0-dev
2. Скачать утилиту администрирования Рутокен по ссылке: https://www.rutoken.ru/support/download/drivers-for-nix/
Прямая ссылка: https://www.rutoken.ru/support/download/get/rtDrivers-x64-deb.html
Для того чтобы установить драйверы Рутокен для Linux(Ubuntu), загрузите установочный файл. После завершения процесса установки подключите Рутокен к компьютеру.
2.1 Произвести установку в систему.
Для deb-based систем (Debian, Ubuntu, Linux Mint и др.) это библиотека libccid не ниже 1.3.11, пакеты pcscd и libpcsclite1. Для установки указанных пакетов запустите терминал и выполните команду:
sudo apt-get install libccid pcscd libpcsclite1
После выполнить установку пакета утилиты администрирования рутокен:
Информация по установке
В редких случаях если не определяется Рутокен в утилите администрирования, необходимо перезагрузить систему, после данных манипуляций Рутокен должен определиться в системе.
Для обеспечения работоспособности электронных идентификаторов Рутокен ЭЦП ряде дистрибутивов GNU/Linux, может потребоваться добавить запись об устройстве в конфигурационный файл libccid. Расположение Info.plist в файловой системе:
GNU/Linux: /usr/lib/pcsc/drivers/ifd-ccid-bundle/Contents/Info.plist
Info.plist представляет собой текстовый файл, который открывается любым текстовым редактором с правами суперпользователя.
Для работы электронных идентификаторов Рутокен ЭЦП необходимо добавить в файл следующие строки (данные строки стандартно уже прописаны в Linux(Ubuntu), необходимо проверить есть ли такие данные, если нет то прописать):
Массив () Добавленная строка
ifdFriendlyName Aktiv Rutoken ECP
Установите утилиту pcsc_scan (обычно она входит в пакет pcsc-tools) и запустите ее. Если устройство работает корректно, то в логе утилиты присутствует устройство Aktiv Rutoken ECP:
sudo apt-get install pcsc-tools
3. Программа КриптоПро ЭЦП Browser plug-in предназначена для создания и проверки электронной подписи на веб-страницах. Чтобы установить КриптоПро ЭЦП Browser plug-in:
3.1 Скачайте необходимый архив с пакетами установки, в зависимости от разрядности и версии используемой ОС, с сайта http://www.cryptopro.ru/products/cades/downloads.
3.2 Разархивируйте пакеты с помощью команды:
3.3 Установить пакеты с помощью соответствующей команды:
Информация по возможным проблемам:
Проблема возникала с данным ниже пакетом, устраняется вводом команды в терминал:
Установить пакет alien:
sudo apt-get install alien
При необходимости, раздать права на пакеты через команды в терминале:
Для пакетов установки:
sudo chmod 777 cprocsp-pki-2.0.0-amd64-cades.deb
sudo chmod 777 cprocsp-pki-2.0.0-amd64-plugin.deb
3.4 Также необходимо выполнить:
Сертификат лучше получить через терминал вручную, так как поддержки ActiveX нет в UNIX
Содержимое полученного файла cert.req, вносим https://www.cryptopro.ru/certsrv/certrqxt.asp и скачиваем полученный сертификат. Его добавляем в наш контейнер
4. Cертификат тестового ключа подписи, который возможно получить на странице тестового центра, по ссылке: https://www.cryptopro.ru/certsrv/certrqma.asp
4.1 Нажать кнопку выдать и необходимо чтобы Рутокен был подключен к устройству на которое выдается ключ и сертификат.
Выбрать устройство Рутокен:
Набрать Pin-код на устройство Рутокен, стандартные пароли к контейнеру 87654321 или 12345678.
Сформировать случайные числа при помощи нажатия клавиш и движениями мыши над этим окном:
4.2 Проверить сообщение об успешной установке.
5. Проверка работы плагина в браузере
Google Chrome Версия 61.0.3163.79 (Официальная сборка), (64 бит)
Проверка ключа сертификата возможна по ссылке: https://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html
6. При подписывании в системе РМИС, выходит окно с подтверждением и с выбором сертификата:
6.1 Необходимо выбрать сертификат и нажать кн. Подписать.
6.2 Выйдет уведомление о успешном подписании: Выполнено! Отчет успешно подписан.
Где возможно через кнопку Загрузить, загрузить выбранный подписанный документ.
Файл протокола, который подписан возможно проверить через средства приложения VipNet CryptoFile (Windows) , нажать в приложении Открыть выбрать открыть подписанный файл в формате .pdf и выбрать протокол в формате .sig пример:
6.3 Сформировать отчет: Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider
Отчет о проверке ЭП
Время создания отчета: 01.03.17 22:54
Время подписи: 01.03.17 22:55
Статус сертификата: ДЕЙСТВИТЕЛЕН
Сведения о сертификате
Кем выдан: CRYPTO-PRO Test Center 2
Серийный номер: 01D292C2940768F00000000D00050001
Проблема может быть в том, что нельзя создавать два контейнера с одинаковым именем.
Попробуйте назвать копию как-нибудь иначе, например:
Как сделать новые закрытые ключи?
Обычно ключи создаются вместе с запросом на сертификат. Если Вам требуется создать ключи и запрос на сертификат, воспользуйтесь утилитой cryptcp(документация на неё входит в состав документации на CSP, см. раздел «Работа с запросами на сертификат»).
Создание контейнера компьютера:
Как проверить, работоспособен ли контейнер с закрытыми ключами?
Открыть(проверить) контейнер можно утилитой csptest. Она находится в директории /opt/cprocsp/bin/ :
где имя считывателя:
HDIMAGE, если используете жесткий диск для хранения ключей
FLASH, если используете флешку
FAT12_0, если используете дискету
Как посмотреть список закрытых ключей?
Список контейнеров с закрытыми ключами можно посмотреть утилитой csptest. Она находится в директории /opt/cprocsp/bin/
В полученном списке имена контейнеров будут представлены в том виде, в котором их воспринимают все бинарные утилиты, входящие в дистрибутив CSP (\\.\ \ ).
Как в Linux/Unix установить сертификаты?
Основной утилитой для работы с сертификатами является certmgr (лежит в /opt/cprocsp/bin/ ). К ней есть man:
man 8 certmgr
Как скопировать ключи с дискеты/флешки на HDIMAGE?
Скопируйте ключи(директорию с именем в формате 8.3) из корня дискеты или флешки в директорию /var/opt/cprocsp/keys/имя_пользователя
При этом необходимо проследить чтобы:
— владельцем файлов был пользователь, в диретории с именем которого расположен контейнер(от его имени будет осуществляться работа с ключами);
— чтобы на директорию с ключами были выставлены права, разрешаюшие владельцу всё, остальным ничего;
— чтобы на файлы были выставлены права, разершающие владельцу по крайней мере чтение и запись, остальным ничего.
Что такое ключевой контейнер? Зачем нужен пароль на контейнер?
Ключевые контейнеры – это способ хранения закрытых ключей, реализованный в нашем продукте. Их физическое представление зависит от типа ключевого носителя (на флешке, дискете, жестком диске это директория в которой хранится набор файлов с ключевой информацией; в случае со смарт-картами – файлы в защищенной памяти смарт-карты, в случае с реестром – раздел реестра, содержащий некоторые параметры). Пароль на контейнер имеет разное значение для смарт-карт и для носителей, не являющихся смарт-картами.