Astra linux установка vipnet csp

ViPNet CSP

Внимание! Служба обеспечения совместимости Базальт СПО не отвечает за содержимое данной страницы. Актуальную информацию о совместимости и актуальную информацию по установке от службы обеспечения совместимости смотрите в соответствующих таблицах: p10 и p9.

ViPNet CSP

Сведения о продуктах и решениях ViPNet, распространенные вопросы и другая полезная информация собраны на сайте ОАО «ИнфоТеКС»:

• Веб-портал документации ViPNet http://docs.infotecs.ru.
• Описание продуктов ViPNet http://www.infotecs.ru/products/line/.
• Информация о решениях ViPNet http://www.infotecs.ru/solutions/.
• Сборник часто задаваемых вопросов (FAQ) http://www.infotecs.ru/support/faq/.
• Форум пользователей продуктов ViPNet http://www.infotecs.ru/forum.
• Законодательная база в сфере защиты информации http://www.infotecs.ru/laws/.

Внимание! Совет: не пытайтесь использовать Рутокены S под Linux и с ViPNet CSP. Хорошо работают Рутокены ЭЦП и Рутокены Lite.

Установка

Выдержка из руководства пользователя:

Установка пакетов ViPNet CSP Linux Пакеты из состава ПО ViPNet CSP Linux следует устанавливать в следующем порядке:

1. itcs-licensing
2. itcs-entropy-gost itcs-known-path
3. itcs-winapi
4. itcs-csp-gost
5. Остальные пакеты — в любом порядке, при необходимости.

Пути к исполняемым файлам

Для того, чтобы не вводить полный путь к исполняемым файлам ViPNet CSP, выполните в терминале:

export PATH=/opt/itcs/bin:$PATH

Просмотр лицензии

$ license status --product csp_linux Product ID: csp_linux Version: 4 S-code: 0x00000011 State: Valid,Trial (14 days left)

Контейнеры

Контейнеры пользователя находятся в ~/.itcs/vipnet-csp/containers/ .

$ csp-gost print_containers Printing available containers (for user): 0. /home/user/.itcs/vipnet-csp/containers/le-b324dba8-7f71-45ad-b9f6-021ea2e9c924 1. /home/user/.itcs/vipnet-csp/containers/12345678 SUCCESSED

Сертификаты

Добавить сертификат удостоверяющего центра в хранилище CA из контейнера:

$ certmgr add_certificate --store CA --container le-b324dba8-7f71-45ad-b9f6-021ea2e9c924 

Добавить сертификат пользователя в хранилище My из контейнера:

$ certmgr add_certificate --store My --container 12345678 

Просмотреть свои сертификаты:

$ certmgr print_certificates --store My | sed '/Fingerprint/ s/ //g' Enumerating certificates. Location=CurrentUser, store=My. Index: 0 Issuer: БУ ВО "ЦИТ" Subject: БУ ВО ЦИТ тестовая Serial: 01 d4 6a ea f3 93 5e 80 00 00 08 f2 1a 89 00 0e Subject key identifier: 1e 90 ba cd 5a 98 e2 b5 f2 fd 59 26 e7 f6 48 bf 1a eb e6 1d Not before: 23-10-2018 19:11:00 Not after: 23-10-2019 19:11:00 Fingerprint(SHA1hash):4810535c95ecdf0f5814d6b36444b916fc3f232b Enumeration completed. 1 certificate(s) found.

Обратите внимание, мы убрали пробелы для отпечатка ключа (он нам пригодится для подписи).

В свежих версиях появилась графическая утилита certmgr-gui, упрощающая описанные выше операции с сертификатами.

Электронная подпись

Создание

Создание подписи для файла file в формате DER:

$ cryptofile sign --in=file --out=file.sig --fingerprint="4810535c95ecdf0f5814d6b36444b916fc3f232b" --nodetach --DER File to sign: file Signed output file: file.sig Hash algorithm OID (signer 0): 1.2.643.2.2.9 ASN.1 encoding: DER Block size in bytes: 1024 Signer's certificates: 0 - Issuer: "ул. Ленина, д. 1", 003525249297, 1103525015593, RU, Урюпинск, 35 Волгоградская область, gos@gov1111.ru, "БУ ВО ""ЦИТ""", "БУ ВО ""ЦИТ""" Serial Number: 01d46aeaf3e80000008f21a89000e Before the end of the trial period less than 14 days, please register the product. SUCCESSED (6871.6197 ms)

В результате появится запакованный файл с подписью file.sig .

Проверка

$ cryptofile verify --in=file.sig --out=file File to verify: file.sig Output data file: file Block size in bytes: 1024 Progress: [100%] CMS SignedData v1 * Signer 0 Issuer: БУ ВО "ЦИТ" Subject: БУ ВО ЦИТ тестовая Serial: 01 d4 6a ea f3 93 5e 80 00 00 08 f2 1a 89 00 0e Subject key identifier: 1e 90 ba cd 5a 98 e2 b5 f2 fd 59 26 e7 f6 48 bf 1a eb e6 1d Not before: 23-10-2018 19:11:00 Not after: 23-10-2019 19:11:00 Fingerprint (SHA1 hash): 48 10 53 5c 95 ec df 0f 58 14 d6 b3 64 44 b9 16 fc 3f 23 2b Signature: CAdES-BES with signing time, SignerInfo v1 Signing time: 04-04-2019 16:19:37 (local) Hash algorithm: 1.2.643.2.2.9 Hash encryption algorithm: 1.2.643.2.2.19 Signature is valid Certificate status: revocation status unknown, offline revocation check, partial chain (0x1010040) Certification path (building time 13.6710 ms) < Issuer: БУ ВО "ЦИТ" Subject: БУ ВО ЦИТ тестовая Serial: 01 d4 6a ea f3 93 5e 80 00 00 08 f2 1a 89 00 0e Subject key identifier: 1e 90 ba cd 5a 98 e2 b5 f2 fd 59 26 e7 f6 48 bf 1a eb e6 1d Not before: 23-10-2018 19:11:00 Not after: 23-10-2019 19:11:00 Fingerprint (SHA1 hash): 48 10 53 5c 95 ec df 0f 58 14 d6 b3 64 44 b9 16 fc 3f 23 2b --- Certificate status: revocation status unknown, offline revocation check (0x1000040) >SUCCESSED (571.0904 ms)

Будет распакован файл file .

Источник

О программе

ViPNet PKI Client— универсальный программный комплекс, разработанный компанией ИнфоТеКС. Предназначен для решения основных задач пользователя при работе с сервисами, использующими:

• заверение документов электронной подписью;
• шифрование файлов;
• аутентификацию пользователей для доступа к веб-сервисам;
• построение защищенных TLS-соединений.

Состав ПО

В состав ViPNet PKI Client входят следующие компоненты:

• File Unit – компонент для работы с файлами;
• Web Unit – компонент для работы с данными, передаваемыми браузерами;
• CRL Unit – компонент для обеспечения актуальности требуемых для работы c сертификатами CRL;
• Certificate Unit – компонент для управления жизненным циклом сертификатов, менеджер сертификатов;
• TLS Unit – компонент для обеспечения организации TLS-соединений со стороны клиента для защищенного доступа к порталам;
• ViPNet CSP — провайдер криптографических функций.

Установка

Для установки ПК ViPNet PKI Client выполните следующие действия:

1. Распакуйте дистрибутив в произвольный каталог с помощью команды:

3. Перейдите в папку с установочным файлом и пакетами ViPNet PKI Client.

4. Запустите сценарий install.sh с правами суперпользователя с помощью команды:

5. Программа установки выполнит проверку наличия пакетов, необходимых для установки. Если какой-либо пакет не будет найден, программа установки завершит свою работу, и вы получите соответствующее сообщение. В этом случае установите недостающие пакеты и снова запустите программу установки.

Примечание. Если на вашем компьютере установлен криптопровайдер ViPNet CSP версии ниже 4.2.8, то во время установки возможны сообщения о конфликтах с существующими пакетами. В этом случае удалите эти пакеты и снова запустите программу установки.

Запуск и настройки компонентов

Vipnet PKI Client Settings

Чтобы запустить настройки ViPNet PKI Client, в меню приложений выберите ViPNet PKI Client Settings или выполните команду: /opt/itcs/bin/pki-client-settings

При первом запуске настроек ViPNet PKI Client появится электронная рулетка

Установка сертификатов

Vipnet PKI File Unit

File Unit — программа, которая позволяет выполнять с файлами следующие операции:

• Подтверждать и проверять личность отправителя с помощью электронной подписи
• Обеспечивать безопасность файлов с помощью шифрования и работать с зашифрованными файлами, полученными от других пользователей

Web Unit, TLS Unit и CRL Unit

Программы Web Unit, TLS Unit и CRL Unit (демон pki-client-crlunit) запускаются автоматически после загрузки операционной системы.

Если вы завершили работу программы, то для запуска выполните следующие действия:

Чтобы запустить программу Web Unit, в меню приложений выберите ViPNet PKI Client Web Unit или выполните команду: /opt/itcs/bin/pki-client-web-unit

Чтобы запустить программу TLS Unit, в меню приложений выберите ViPNet PKI Client TLS Unit или выполните команду: /opt/itcs/bin/pki-client-tls-unit

Чтобы запустить программу CRL Unit выполните команду: /etc/init.d/pki-client-crlunit start systemctl start pki-client-crlunit

Если вы используете операционную систему Astra Linux 1.5, выполните команду: /etc/init.d/pki-client-crlunit start

Про ifcp плагин

Предварительно должны быть добавлены личные сертификаты в хранилище uMy согласно инструкции: Работа с КриптоПро CSP

Для доступа к Госуслугам с помощью сертификатов следует использовать КриптоПро Linux версии 4r4 и выше.

Установка плагина для работы с порталом государственных услуг

Для аутентификации через ЕСИА esia.gosuslugi.ru следует:

1) Скачать IFCP-плагин с сайта ГосУслуг в формате «deb» — файл IFCPlugin-x86_64.deb с сайта: https://ds-plugin.gosuslugi.ru/plugin/upload/Index.spr

3) Добавить расширение для Госуслуг в браузере chromium:

Для правильной работы плагина в браузере Chromium следует создать символические ссылки:

sudo ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts
sudo ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/ru.rtlabs.ifcplugin.json

Настройка конфигурационных файлов

4) Привести конфигурационный файл IFCplugin /etc/ifc.cfg к виду :

Просмотр журналов

Для проверки работы плагина, в терминале в режиме live можно просмотреть логи:

Вход с помощью электронной подписи

Для авторизации следует пройти по адресу: esia.gosuslugi.ru и выбрать Вход с помощью электронной подписи

9) Подключив токен, следует нажать кнопку «Готово», после чего система предложит выбрать нужный сертификат ключа проверки ЭЦП:

Источник