- Инструкция по настройке электронной подписи для Astra Linux Special Edition (Смоленск)
- Установка браузерного плагина
- Установка корневого сертификата удостоверяющего центра
- Настройка списка доверенных узлов
- Подготовка установки
- Установка КриптоПро CSP
- Установка Карма
- Настройка PATH
- Локальное хранилище
- Создание локального хранилища
- Создание контейнера
- Просмотр и удаление доступных контейнеров
- Установка сертификата
- Создание запроса на получение сертификата
- Выдача запроса на получение сертификата
- Установка сертификата удостоверяющего центра
- Установка списка отозванных сертификатов
- Установка ЭЦП Browser plug-in
- Проверка сертификата
- Rutoken S и ECP
- Установка Rutoken S
- Работа с Rutoken S и ECP
- Запрос на получение сертификата
- JaCarta-2 PKI/ГОСТ
- Запрос на получение сертификата
Инструкция по настройке электронной подписи для Astra Linux Special Edition (Смоленск)
Вначале в центре загрузки (требуется предварительная регистрация) нужно скачать дистрибутив КриптоПро CSP 5.0 для Linux (x64, deb). Затем нужно открыть приложение консоли Terminal Fly (для этого можно нажать клавиши Ctrl+T). В нем перейти в директорию с загруженным файлом (скорее всего, /home/user/Загрузки), распаковать архив и установить основные компоненты КриптоПро CSP, выполнив последовательно команды:
cd /home/user/Загрузки/
tar zxvf linux-amd64_deb.tgz
cd linux-amd64_deb/
sudo ./install_gui.sh
В открывшемся приложении «Установщик КриптоПро CSP» отметить как минимум следующие флажки:
- Криптопровайдер КС1
- Графические диалоги
- Поддержка токенов и смарт-карт
- cptools, многоцелевое графическое приложение
- Библиотека PKCS #11 (для gosuslugi.ru)
Затем нужно установить дополнительные пакеты следующими командами:
После этого на сайте «Рутокен» перейти в раздел Поддержка > Центр загрузки > Библиотека PKCS#11 и скачать оттуда библиотеку rtPKCS11ecp для GNU/Linux DEB 64-bit (x64). Устанавить эту библиотеку командой:
cd /home/user/Загрузки
sudo dpkg -i librtpkcs11ecp_2.3.2.0-1_amd64.deb
После этого нужно вставить в CD-ROM диск с дистрибутивом Astra Linux Special Edition (Смоленск) и выполнить команды:
sudo apt install libccid pcscd libgost-astra
sudo service pcscd restart
Установка браузерного плагина
Устанавливаем плагин и настраиваем его в браузере — инструкция
cd /home/user/Загрузки
sudo dpkg -i cprocsp-pki-cades64.
sudo dpkg -i cprocsp-pki-plugin64…
Установка корневого сертификата удостоверяющего центра
Устанавливаем сертификат удостоверяющего центра Ролис. Для этого скачиваем его, после чего запускаем приложение cptools:
И в появившемся окне на вкладке «Сертификаты» нажимаем «Установить сертификаты», в открывшемся окне выбора файла выбираем скаченный файл сертификата и нажимаем кнопку «Открыть».
Настройка списка доверенных узлов
В адресной строке браузера вводим:
На открывшейся странице вводим два адреса (и нажимаем на плюсик):
Подготовка установки
- Обновить ОС (предполагается, что все репозитории пакетов настроены):
Установка КриптоПро CSP
Инструкцию по установке КриптоПро CSP см. в статье Работа с КриптоПро CSP, раздел «Установка».
Установка Карма
Для того чтобы установить Карма:
- Создать временный каталог и сделать его текущим:
Версия Карма может быть повышена. При установке новой версии заменить в командах имена архива и пакетов на соответствующие.
sudo dpkg -i Linux/carma-common_*-astra_amd64.deb Linux/ carma-dev_*-astra_amd64.deb Linux/ carma-capilite_*-astra_amd64.deb
Программа запустится в фоновом режиме и появится в трее.
Настройка PATH
Для дальнейшей работы добавить в путь поиска исполняемых файлов каталоги Карма:
Вся дальнейшая настройка и работа должны происходить в терминальной сессии, в которой в переменную PATH добавлены каталоги Карма .
Локальное хранилище
Создание локального хранилища
Cоздание локального хранилища выполняются от имени суперпользователя. Добавить локальное хранилище HDIMAGE :
Создание контейнера
Создать контейнер с именем test в локальном хранилище HDIMAGE :
В открывшемся графическом окне следует перемещать указатель мыши или нажимать клавиши для генерации случайной последовательности:
Откроется следующее окно:
По запросу ввести пароль для контейнера или оставить это поле пустым, нажать OK .
Просмотр и удаление доступных контейнеров
Для просмотра доступных контейнеров выполнить :
Для удаления контейнера test выполнить:
Для дальнейших действий по инструкции не удалять!
Установка сертификата
Создание запроса на получение сертификата
Для создания запроса на получение сертификата выполнить команду :
cryptcp -creatrqst -dn «cn=test,e=test@eos.ru» -provtype 80 -nokeygen -cont ‘\\.\HDIMAGE\test’ -certusage «1.3.6.1.5.5.7.3.4,1.3.6.1.4.1.311.10.3.12» eos.req
- cn= test ,e= test@ eos.ru — данные, которые будут храниться в поле Subject сертификата:
- CN — наименование субъекта (владельца) сертификата, для личности — это ФИО ;
- E (email) — адрес электронной почты субъекта (владельца) сертификата;
- \\.\HDIMAGE\test — имя контейнера вместе со считывателем;
- eos.req — имя файла, в котором следует сохранить запрос (вместо eos можно указать любое имя файла — *.req );
- -certusage — опция, которая указывает назначение сертификата, представляемое в сертификате объектным идентификатором, присвоенным этой политике, — OID. Если в сертификате указано несколько политик, то это означает, что сертификат соответствует всем этим политикам списка:
- 1.3.6.1.5.5.7.3.1 — аутентификация сервера;
- 1.3.6.1.5.5.7.3.2 — аутентификация клиента;
- 1.3.6.1.5.5.7.3.3 — подписывание кода;
- 1.3.6.1.5.5.7.3.4 — защищенная электронная почта;
- 1.3.6.1.5.5.7.3.8 — проставление штампов времени;
- 1.3.6.1.4.1.311.10.5.1 — цифровые права;
- 1.3.6.1.4.1.311.10.3.12 — подписывание документа.
Выдача запроса на получение сертификата
Для в ыдач и запроса на получение сертификата или его обновление следует перейти по ссылке: https://www.cryptopro.ru/certsrv/certrqxt.asp.
Откроется окно, где в поле Сохраненный запрос вставить содержимое из файла *.req , в нашем случае — eos.req .
Содержимое копировать без комментария! Без строк
——BEGIN NEW CERTIFICATE REQUEST——
и
——END NEW CERTIFICATE REQUEST——Нажать кнопку Выдать.
Далее загрузить файл, нажав на Загрузить цепочку сертификатов (по умолчанию предлагается имя certnew.p7b ).
В этом же окне будет предложено установить расширение КриптоПро ЭЦП Browser plugin, его необходимо установить, поставив галочку Разрешить работать в приватных окнах, либо скачать самостоятельно (см. Установка ЭЦП Browser plug-in).
По ссылке https://www.cryptopro.ru/certsrv/certcarc.asp с качать последний список отзыва сертификатов ( certcrl.crl ):
Выбрать пункт Загрузка последнего базового CRL.
Установить скачанный certnew.p7b- сертификат клиента. При запросе ввести пароль на контейнер \\.\HDIMAGE\test .
Предполагается , что certnew.p7b находится в каталоге, где выполняется команда. В случае, если сертификат находится в другом месте, указать полный путь к сертификату .
Во время установки сертификата в консоли появится запрос Введите индекс от 1 до 2, следует в ыбрать индекс 2 .
Установка сертификата удостоверяющего центра
Установить сертификат удостоверяющего центра :
Во время установки сертификата в консоли появится запрос Введите индекс от 1 до 2, следует выбрать индекс 1, во всплывшем окне нажать ОК.
Установка списка отозванных сертификатов
Установить список отозванных сертификатов ( crl )
Предполагается, что certcrl.crl находится в каталоге, где выполняется команда:
Просмотр установленных сертификатов:
Установка ЭЦП Browser plug-in
Для установки ЭЦП Browser plug-in пройти по ссылке: https://www.cryptopro.ru/products/cades/plugin и с качать архив в любой удобный каталог.
Р аспаковать скачанный архив cades_linux_amd64.tar.gz и перейти в распакованный каталог cades_linux_amd64 :
tar -xvf cades_linux_amd64.tar.gz cd /home//cades_linux_amd64
Установить все deb-пакеты из каталога cades_linux_amd64 :
Проверка сертификата
Нажать в появившемся окне кнопку ОК.
В окне сертификатов выбрать появившийся сертификат.
Rutoken S и ECP
Для начала работы с Rutoken S и ECP у становить пакеты :
По ссылке http://www.rutoken.ru/support/download/drivers-for-nix/ скачать драйвер Rutoken S — Драйвер Рутокен S для GNU/Linux DEB 64-bit (x64).
Установка Rutoken S
Для установки Rutoken S выполнить :
Работа с Rutoken S и ECP
Работа с Рутокен S и ECP аналогична, поэтому все дальнейшее описание будет на примере работы с Рутокен S.
Вставить Rutoken S в разъем USB и проверить, определяется ли он , а так же его имя :
Открыть Пуск — Утилиты — Инструменты КриптоПро — Показать расширенные — Управление носителями. Носитель должен определиться н а вкладке Выберите считыватель.
Создать контейнер с именем eos на Rutoken S :
В открывшемся графическом окне следует перемещать указатель мыши или нажимать клавиши для генерации случайной последовательности до завершения операции.
Во всплывающем окне ввести pin-код для контейнера (по умолчанию — 12345678 ), нажать OK.
В открывшемся графическом окне следует перемещать указатель мыши или нажимать клавиши для генерации случайной последовательности до завершения операции.
Запрос на получение сертификата
Для создания запроса на получение сертификата выполнить:
cryptcp -creatrqst -dn «cn=test ,e=test@eos.ru» -provtype 80 -nokeygen -cont ‘\\.\Aktiv Co. Rutoken S 00 00\eos’ -certusage «1.3.6.1.5.5.7.3.4,1.3.6.1.4.1.311.10.3.12» test.req
Выдача запроса на получение сертификата осуществляется в соответствии с примечанием ниже.
Для выдачи запроса на получение сертификата и загрузки цепочки сертификатов см. Выдача запроса на получение сертификата.
В поле Сохраненный запрос вставить содержимое из файла test.req.
Так же установить по инструкции расширение КриптоПро ЭЦП Browser plugin, если это не было сделано ранее.
Установить certnew.p7b в личное хранилище Rutoken S :
Предполагается, что файл certnew.p7b находится в том же каталоге, где выполняется запрос.
Выбрать индекс 2.
Если Rutoken S был получен уже с контейнером «Crypto Pro» и полученным сертификатом, записать в хранилище сертификатов CryptoPro информацию об этом сертификате:
Предполагается, что сертификат удостоверяющего центра и список отозванных сертификатов уже установлены (см. установку удостоверяющий центр и список отозванных сертификатов) .
JaCarta-2 PKI/ГОСТ
Перейти в ранее распакованный каталог с КриптоПро linux-amd64_deb :
Открыть: Пуск — Утилиты — Инструменты КриптоПро — Показать расширенные — Управление носителями. Н оситель должен определиться н а вкладке Выберите считыватель .
Создать контейнер с именем tok на JaCarta-2 PKI/ГОСТ :
Во всплывающем окне во вкладке Вид приложения выбрать, как использовать считыватель, и нажать ОК .
В открывшемся графическом окне следует перемещать указатель мыши или нажимать клавиши для генерации случайной последовательности.
Во всплывающем окне ввести pin-код для контейнера (по умолчанию — 11111111 ), нажать ОК.
В открывшемся графическом окне следует перемещать указатель мыши или нажимать клавиши для генерации случайной последовательности до завершения операции.
В итоге будет создан контейнер.
Запрос на получение сертификата
Для создания запроса на получение сертификата выполнить:
cryptcp -creatrqst -dn «cn=test ,e=test@eos.ru» -provtype 80 -nokeygen -cont ‘\\.\Aladdin R.D. JaCarta [SCR Interface] 00 00\tok’ -certusage «1.3.6.1.5.5.7.3.4,1.3.6.1.4.1.311.10.3.12» tok.req
Выдача запроса на получение сертификата осуществляется в соответствии с примечанием ниже.
Для выдачи запроса на получение сертификата и загрузки цепочки сертификатов см. Выдача запроса на получение сертификата.
В поле Сохраненный запрос вставить содержимое из файла tok.req.
Так же установить по инструкции расширение КриптоПро ЭЦП Browser plugin, если это не было сделано ранее.
Установить certnew.p7b в личное хранилище JaCarta-2 PKI/ГОСТ:
certmgr -inst -file certnew.p7b -store uMy -cont ‘\\.\Aladdin R.D. JaCarta [SCR Interface] 00 00\tok’ -inst_to_cont
Выбрать индекс 2.
Во всплывающем окне ввести pin-код для контейнера (по умолчанию — 11111111 ), нажать ОК.
Предполагается, что сертификат удостоверяющего центра и список отозванных сертификатов уже установлены (см. установку удостоверяющий центр и список отозванных сертификатов) .