- Windows admin blog
- Полезные команды cmd, powershell, администрирование, фичи и решения проблем на win/winserver
- Установка корневого сертификата в Astra Linux
- Как установить Крипто ПРО 5 в Астра Линукс пошагово?
- Где скачать Крипто Про 5.0 для Астра Линукс? Установка программы
- Как через Крипто Про просмотреть сертификаты в контейнере Астра Линукс?
- Как через Крипто Про установить личный сертификат в Астра Линукс?
- Как через Крипто Про скопировать контейнер в Астра Линкус?
- Как через Крипто Про установить доверенные корневые сертификаты в Астра Линукс?
- Видео как установить Крипто PRO на Linux Astra
- Как установить драйверы Рутокен в Астра Линукс?
- Как подписать документ через КриптоПро в Астра Линукс?
- Как установить Крипто Про Плагин в браузере Астра Линукс?
Windows admin blog
Полезные команды cmd, powershell, администрирование, фичи и решения проблем на win/winserver
Установка корневого сертификата в Astra Linux
В данной статье рассмотрим, как установить корневой сертификат в системное хранилище доверенных корневых сертификатов. Здесь надо учесть, что браузеры после этого не станут автоматически доверять сайту, сертификат которого выпущен таким центром сертификации, потому что веб-браузеры в Linux используют свои собственные хранилища корневых сертификатов, поэтому будет затронута также тема добавления корневого сертификата в веб-браузеры. Инструкция подойдет не только для Astra Linux, но и для других Debian подобных дистрибутивов.
Установка корневого сертификата в системное хранилище
1. Сертификат должен иметь формат crt. Если формат сертификата отличается, необходимо выполнить его конвертацию. Так, например, для cer-сертификатов:
Если исходный сертификат имеет кодировку DER
openssl x509 -inform DER -in /path/certificate.cer -out certificate.crt
Если исходный сертификат имеет кодировку PEM
openssl x509 -inform PEM -in /path/certificate.cer -out certificate.crt
В параметре out можно сразу указать полный путь сохранения сертификата, в противном случае, он сохранится в текущий каталог.
2. Скопировать полученный сертификат в папку /usr/share/ca-certificates:
sudo cp /path/certificate.crt /usr/share/ca-certificates
вместо /path/certificate.crt подставить свой путь до сертификата и имя сертификата
Есть, однако, мнение, что сертификаты лучше копировать сюда: /usr/local/share/ca-certificates
3. Установить сертификат можно такой командой:
sudo dpkg-reconfigure ca-certificates
Выбрать «Да», нажать «ОК» (Enter), а в следующем окне отметить звездочками сертификаты, которые необходимо установить. При этом, если все успешно, вы должны увидеть информацию о добавлении вашего сертификата. В моем случае выполнялась установка сразу двух сертификатов (2 added)
Есть еще и вот такая команда:
sudo update-ca-certificates
По идее, делает все что нужно в автоматическом режиме.
По итогу, ваш сертификат должен будет находиться здесь: /etc/ssl/certs
Проверка установки
Короткая команда, которая выведет список доверенных сертификатов. В списке вы должны найти свой сертификат — значит он установился.
Для проверки есть такая конструкция:
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/;' < /etc/ssl/certs/ca-certificates.crt | grep -i СЕРТИФИКАТ
Вместо СЕРТИФИКАТ вводим критерий поиска (точное имя сертификата), можно часть имени заменить символом * (например, Digi*) — но в случае со «звездочкой» поиск будет чувствителен к регистру (игнорирует ключ -i), если в имени серитфиката есть пробелы, то критерий поиска обязательно нужно взять в кавычки, даже при использовании маски поиска *.
openssl s_client -connect example.site.ru:443 -quiet
Проверка посредством выполнения подключения к сайту. То есть, здесь мы выполняем не поиск по хранилищу сертификатов, а осуществляем подключение к сайту
Вместо example.site.com вводите ваш сайт, на котором нужно проверить работу сертификата.
Если в результате вывода где-то есть verify error, значит есть проблемы с доверием. Нужно детально изучить вывод — на какой сертификат ругается.
curl https://example.site.com --cacert /etc/ssl/certs/ca-certificates.crt
Может потребоваться установка пакета curl. В ответе должен быть получен код страницы — значит все ОК, доверие к сертификату есть, в противном случае, получим ошибку.
Импорт сертификата в профиль пользователя для Chromium-подобных браузеров
Можно автоматизировать данный процесс. Для выполнения команды должна быть установлена утилита certutil.
certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n "certificate_name" -i certificate_file.crt
certificate_name — имя сертификата
certificate_file — имя файла сертификата, в примере подразумевается, что сертификат расположен в том же каталоге, что и скрипт
После выполнения данной команды, браузеры на Chromium движке под текущим пользователем будут доверять сертификату (Chrome, Chromium, Opera и т.п.).
Отдельно отмечу, что браузер Firefox использует собственную базу сертификатов, которая располагается в другом месте.
Те же самые действия можно проделать и через GUI браузера.
Настройки — Конфиденциальность и безопасность — Безопасность — Настроить сертификаты
Далее импортировать нужный сертификат в разделе «Центры сертификации»
Как установить Крипто ПРО 5 в Астра Линукс пошагово?
Доброго времени! С выходом версии 5,0 Крипто ПРО стала удобнее. Для Linux в данной версии реализован запуск программы в графическом режиме. Подумал, почему бы не выпустить материал о том, как установить Крипто ПРО в Астра линукс , пошагово плюс установка сертификатов и драйверов.
Прежде нужно проверить наличие обновлений для операционной системы. Сочетанием клавиш Alt+T вызываю терминал и ввожу команды:
Так же проверяем есть ли обновления на установленные пакеты:
После того как обновились — здесь же в терминале устанавливаем обязательную библиотеку необходимую для работы крипто про:
sudo apt install libmicrohttpd12
Где скачать Крипто Про 5.0 для Астра Линукс? Установка программы
Скачать Крипто ПРО CSP можно на официальном сайте или по этой ссылке. Файлы поставляются в архиве targz. Их мы можем разархивировать в папку через проводник Астра Линукс:
Откроем в проводнике появившуюся папку. Чтобы быстро открыть в ней терминал нажимаем «Сервис» — «Открыть терминал». Запускаем через терминал команду выполнения установки крипто про в графическом режиме:
Начнется установка программы.
Выбираем Next, жмем Enter. На следующем этапе клавишей «пробел» и стрелками вверх вниз выбираем компоненты которые будем устанавливать. Я выбрал КС 1, а так же все поддержку токенов и смарт карт:
Клавишей Tab перемещаем курсор на Next, жмем Enter; установка продолжается, ожидаем. Если появилось окно как указано ниже — установка завершена.
На следующем этапе приглашение ввести лицензионный номер. Советую это сделать сразу, но можно это сделать и позднее.
Следующее окно позволяет исправить ситуацию, например в случае, если вы выбрали не те компоненты установки, либо хотите совсем удалить Крипрто ПРО:
- можно переустановить пакеты;
- удалить пакеты;
- ввести или проверить лицензию;
- выйти и закончить установку.
На этом установку можно считать завершенной. Переходим непосредственно к работе с программой.
Запуск программы можно произвести через «Пуск» — Утилиты — Инструменты Крипто ПРО. При запуске видим главное окно, с информацией о владельце, лицензии и т. д.
Как через Крипто Про просмотреть сертификаты в контейнере Астра Линукс?
Для того, чтобы посмотреть сертификаты в контейнере нужно вставить носитель с ЭЦП. Как правило, это флешка. Не забываем нажать «Подключить». Перемещаемся в пункт «контейнеры»:
Чтобы просмотреть сертификат- встаем на нужный контейнер. Для получения подробной информации жмеу «Протестировать контейнер». Можно устанавливать личный сертификат.
Как через Крипто Про установить личный сертификат в Астра Линукс?
Для установки личного сертификата встаем на нужный контейнер и нажимаем кнопку «Установить сертификат» .
Личный сертификат который установили теперь связан с контейнером. Будет установлен в хранилище сертификатов «Личные». Для подписания электронного документа будет необходима флешка с контейнером кдюча. Но, можно скопировать контейнер на компьютер и флешку в дальнейшем не использовать.
Как через Крипто Про скопировать контейнер в Астра Линкус?
Для того чтобы скопировать контейнер, встаем на нужный (если их несколько как у меня). нажимаем «Скопировать контейнер как»…
На следующем шаге указываем место копирования — виртуальный каталог (который программа создаст на жестком диске компьютера).
Можно копировать контейнер и на другую флешку (или карту памяти). На завершающем этапе копировании программа предложит установить пароль на контейнер.
Это не обязательно, но если требуется — установите. При подписывании документов нужно будет вводить этот пароль.
После копирования контейнера не забываем установить личный сертификат для подписи с нового контейнера так, как мы проделывали выше.
Как через Крипто Про установить доверенные корневые сертификаты в Астра Линукс?
Для работы программы необходимы доверенные корневые сертификаты. Они удостоверяют действительность Вашей электронной цифровой подписи. При ее создании они так же используются, создавая так называемую цепочку доверия.
Если хоть один из сертификатов цепочки не установлен — программа не сможет подписывать документы. В версии для Windows крипто про 5,0 эти сертификаты устанавливаются автоматически. А здесь нам придется их установить самим. При тестировании контейнера можно узнать какие УЦ используются. Чаще других требуются следующие:
- корневой сертификат головного удостоверяющего центра(CA) (скачать);
- корневой сертификат МинкомСвязь России (скачать);;
- корневой сертификат Мицифры России (скачать);.
Для их установки перейдем в «Сертификаты»…
Нажмем на кнопку «Установить сертификаты» и выберем сохраненный сертификат. После программа выводит сообщение как на фото выше. Операцию проводим со всеми сертификатами по очереди.
Если понадобятся другие сертификаты УЦ или промежуточные (Сбер, Ростелеком, Федеральное казначейство и др.) таким же образом устанавливаем и их.
Видео как установить Крипто PRO на Linux Astra
Как установить драйверы Рутокен в Астра Линукс?
Для работы с токенами в Астра Линукс нужно скачать пакеты из репозитория. Мой рутокен Лайт легко установился и заработал после выполнения следующих действий:
Определяем модель рутокена (должен быть подключен):
Установка пакетов производится командой:
sudo apt install libccid pcscd libpcsclite1 pcsc-tools opensc
Тестируем контейнер рутокена, устанавливаем личный сертификат (и корневые УЦ если нужно) так, как это было показано выше.
Как подписать документ через КриптоПро в Астра Линукс?
Интерфейс программы прост, но по функциям превосходит кое в чем версию для Windows. Например, программа умеет подписывать документы. Для Windows же нужна сторонняя программа.
Давайте попробуем. Переходим в «Создание подписи» и выбираем далее любой файл, который хотим подписать.
Галочка «Создать отсоединенную подпись» сгенерирует подпись в отдельный файл. Ставить ее нужно если это требуется.
Электронная цифровая подпись может быть присоединенной или отсоединенной (к электронному документу). После выбора файла нажимаем «Подписать»;.
В случае успеха будет выведено сообщение «Создание подписи завершилось успехом». Если требуется проверить подпись на документе — переходим в раздел «Проверка подписи» и действуем аналогичным способом.
Как установить Крипто Про Плагин в браузере Астра Линукс?
Скачиваем архив плагина по официальной ссылке. Распаковываем архив в во вложенную папку как мы делали в самом начале выпуска. Переходим в проводнике в папку открываем терминал в этой папке (Сервис- Открыть терминал).
в терминале вводим команду
Либо устанавливаем через менеджер пакетов через проводник нажатием на пакет.. В браузере плагин необходимо активировать и далее проверить его работу:
- открываем плагин;
- выбираем «Проверить работу плагина»;
- Выбираем установленный личный сертификат.
Далее необходимо нажать кнопку «подписать», и будет выведен результат проверки. Если документ подписан успешно то можно теперь в браузере заходить на нужные сайты с помощью электронно-цифровой подписи.
Для входа на сайт госуслуг при помощи электронной подписи на Astra Linux используйте браузер Mozilla и рутокен в качестве контейнера. Другие браузеры у меня не заработали для госуслуг.