Linux где хранятся сертификаты криптопро

Главная

Проверить наличие серийника сертификата в корневом хранилище:
/opt/cprocsp/bin/amd64/certmgr -list -store root | grep —color=auto -B 3 -A 4 `openssl x509 -text -in 02.cer -inform DER | grep «serial:» | tr -d «serial» | tr -d «:»`

Экспорт сертификата:
/opt/cprocsp/bin/amd64/certmgr -export -cert -store root -dest 0x2A9DDD325F1B0FAF4957EAA2532DE481.cer -dn CN=CNExample

Посмотреть данные одного сертификата:
/opt/cprocsp/bin/amd64/certmgr -list -store root -dn SN=Картошкин

Удалить сертификат из хранилища:
/opt/cprocsp/bin/amd64/certmgr -delete -store root -dn SN=Картошкин

Конвертировать из BASE64 в DER:
/opt/cprocsp/bin/amd64/certmgr -decode -src тэкторг.cer -dest тэкторг.der.cer -der

Проверка правильности сертификата:
/opt/cprocsp/bin/amd64/cryptcp -verify -errchain -f /path/to/file.p7z/path/to/file.p7z

Посмотреть лицензию:
[root@host]# /opt/cprocsp/sbin/amd64/cpconfig -license -view
Server license:
xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
Expires: 26 day(s)
Client license:
xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
Expires: 26 day(s)

Установить лицензионный ключ:
[root@host]# /opt/cprocsp/sbin/amd64/cpconfig -license -set xxxxx-xxxxx-xxxxx-xxxxx-xxxxx

12. При попытке входа в личный кабинет появляется ошибка «Сертификат не выбран».

Ошибка «Сертификат не выбран» возникает в следующих случаях:

— При использовании браузера InternetExplorer, если сайт http://www.fedresurs.ru/ не добавлен в
«Надежные узлы»;

— Если не установлен ни один личный сертификат (проверить можно через Пуск – Панель
управления – Свойства обозревателя – Содержание – Сертификаты, в закладке «Личные» должен
быть необходимый сертификат);

— Если не установлен корневой сертификат (При просмотре личного сертификата отображается
ошибка «Не удалось проследить сертификат до корневого центра…»);

— Если в системе присутствуют просроченные сертификаты (в закладках «Личные»,
«Промежуточные центры сертификации», «Корневые центры сертификации» присутствуют
сертификаты с истекшим сроком действия, за исключением системных);

Если в окне свойств личного сертификата выводится какое либо сообщение об ошибке проверки
сертификата и значок сертификата помечен красным крестиком, при этом, корневые сертификаты
установлены и нет просроченных промежуточных, то необходимо переустановить
криптопровайдер и заново инициализировать личный ключ.
============

Инструкция админа:
https://www.cryptopro.ru/sites/default/files/docs/csp36r3/admin_guide_linux_r3.pdf
Назначение хранилищ:
Есть три хранилища. по умолчанию:CA, ROOT, My[1].
CA для списков СОС и промежуточных центров сертификации,
ROOT для сертификатов корневых центров сертификации и
My для личных сертификатов.
Имя хранилища является регистронезависимым.

Плагин для браузера:
https://www.cryptopro.ru/products/cades/plugin

Где качнуть JAVA:
http://www.oracle.com/technetwork/java/javase/downloads/java-archive-downloads-javase7-521261.html

Где качнуть JCP:
http://cryptopro.ru/products/csp/jcp/downloads

Установка JCP:
sudo sh ./install.sh /etc/alternatives/jre_openjdk

Источник

Подготовка установки

    Обновить ОС (предполагается, что все репозитории пакетов настроены):

Читайте также:  Port proton linux manjaro

Установка КриптоПро CSP

Инструкцию по установке КриптоПро CSP см. в статье Работа с КриптоПро CSP, раздел «Установка».

Установка Карма

Для того чтобы установить Карма:

    Создать временный каталог и сделать его текущим:

Версия Карма может быть повышена. При установке новой версии заменить в командах имена архива и пакетов на соответствующие.

sudo dpkg -i Linux/carma-common_*-astra_amd64.deb Linux/ carma-dev_*-astra_amd64.deb Linux/ carma-capilite_*-astra_amd64.deb

  • Запустить меню : Пуск — Прочие — Карма .
  • Программа запустится в фоновом режиме и появится в трее.

    Настройка PATH

    Для дальнейшей работы добавить в путь поиска исполняемых файлов каталоги Карма:

    Вся дальнейшая настройка и работа должны происходить в терминальной сессии, в которой в переменную PATH добавлены каталоги Карма .

    Локальное хранилище

    Создание локального хранилища

    Cоздание локального хранилища выполняются от имени суперпользователя. Добавить локальное хранилище HDIMAGE :

    Создание контейнера

    Создать контейнер с именем test в локальном хранилище HDIMAGE :

    В открывшемся графическом окне следует перемещать указатель мыши или нажимать клавиши для генерации случайной последовательности:

    Откроется следующее окно:

    По запросу ввести пароль для контейнера или оставить это поле пустым, нажать OK .

    Просмотр и удаление доступных контейнеров

    Для просмотра доступных контейнеров выполнить :

    Для удаления контейнера test выполнить:

    Для дальнейших действий по инструкции не удалять!

    Установка сертификата

    Создание запроса на получение сертификата

    Для создания запроса на получение сертификата выполнить команду :

    cryptcp -creatrqst -dn «cn=test,e=test@eos.ru» -provtype 80 -nokeygen -cont ‘\\.\HDIMAGE\test’ -certusage «1.3.6.1.5.5.7.3.4,1.3.6.1.4.1.311.10.3.12» eos.req

    • cn= test ,e= test@ eos.ru — данные, которые будут храниться в поле Subject сертификата:
    • CN — наименование субъекта (владельца) сертификата, для личности — это ФИО ;
    • E (email) — адрес электронной почты субъекта (владельца) сертификата;
    • \\.\HDIMAGE\test — имя контейнера вместе со считывателем;
    • eos.req — имя файла, в котором следует сохранить запрос (вместо eos можно указать любое имя файла — *.req );
    • -certusage — опция, которая указывает назначение сертификата, представляемое в сертификате объектным идентификатором, присвоенным этой политике, — OID. Если в сертификате указано несколько политик, то это означает, что сертификат соответствует всем этим политикам списка:
      • 1.3.6.1.5.5.7.3.1 — аутентификация сервера;
      • 1.3.6.1.5.5.7.3.2 — аутентификация клиента;
      • 1.3.6.1.5.5.7.3.3 — подписывание кода;
      • 1.3.6.1.5.5.7.3.4 — защищенная электронная почта;
      • 1.3.6.1.5.5.7.3.8 — проставление штампов времени;
      • 1.3.6.1.4.1.311.10.5.1 — цифровые права;
      • 1.3.6.1.4.1.311.10.3.12 — подписывание документа.

      Выдача запроса на получение сертификата

      Для в ыдач и запроса на получение сертификата или его обновление следует перейти по ссылке: https://www.cryptopro.ru/certsrv/certrqxt.asp.

      Откроется окно, где в поле Сохраненный запрос вставить содержимое из файла *.req , в нашем случае — eos.req .

      Содержимое копировать без комментария! Без строк

      ——BEGIN NEW CERTIFICATE REQUEST——
      и
      ——END NEW CERTIFICATE REQUEST——

      Нажать кнопку Выдать.

      Далее загрузить файл, нажав на Загрузить цепочку сертификатов (по умолчанию предлагается имя certnew.p7b ).

      В этом же окне будет предложено установить расширение КриптоПро ЭЦП Browser plugin, его необходимо установить, поставив галочку Разрешить работать в приватных окнах, либо скачать самостоятельно (см. Установка ЭЦП Browser plug-in).

      По ссылке https://www.cryptopro.ru/certsrv/certcarc.asp с качать последний список отзыва сертификатов ( certcrl.crl ):

      Выбрать пункт Загрузка последнего базового CRL.

      Установить скачанный certnew.p7b- сертификат клиента. При запросе ввести пароль на контейнер \\.\HDIMAGE\test .

      Предполагается , что certnew.p7b находится в каталоге, где выполняется команда. В случае, если сертификат находится в другом месте, указать полный путь к сертификату .

      Во время установки сертификата в консоли появится запрос Введите индекс от 1 до 2, следует в ыбрать индекс 2 .

      Установка сертификата удостоверяющего центра

      Установить сертификат удостоверяющего центра :

      Во время установки сертификата в консоли появится запрос Введите индекс от 1 до 2, следует выбрать индекс 1, во всплывшем окне нажать ОК.

      Установка списка отозванных сертификатов

      Установить список отозванных сертификатов ( crl )

      Предполагается, что certcrl.crl находится в каталоге, где выполняется команда:

      Просмотр установленных сертификатов:

      Установка ЭЦП Browser plug-in

      Для установки ЭЦП Browser plug-in пройти по ссылке: https://www.cryptopro.ru/products/cades/plugin и с качать архив в любой удобный каталог.

      Р аспаковать скачанный архив cades_linux_amd64.tar.gz и перейти в распакованный каталог cades_linux_amd64 :

      tar -xvf cades_linux_amd64.tar.gz cd /home//cades_linux_amd64

      Установить все deb-пакеты из каталога cades_linux_amd64 :

      Проверка сертификата

      Нажать в появившемся окне кнопку ОК.

      В окне сертификатов выбрать появившийся сертификат.

      Rutoken S и ECP

      Для начала работы с Rutoken S и ECP у становить пакеты :

      По ссылке http://www.rutoken.ru/support/download/drivers-for-nix/ скачать драйвер Rutoken S — Драйвер Рутокен S для GNU/Linux DEB 64-bit (x64).

      Установка Rutoken S

      Для установки Rutoken S выполнить :

      Работа с Rutoken S и ECP

      Работа с Рутокен S и ECP аналогична, поэтому все дальнейшее описание будет на примере работы с Рутокен S.

      Вставить Rutoken S в разъем USB и проверить, определяется ли он , а так же его имя :

      Открыть Пуск — Утилиты — Инструменты КриптоПро — Показать расширенные — Управление носителями. Носитель должен определиться н а вкладке Выберите считыватель.

      Создать контейнер с именем eos на Rutoken S :

      В открывшемся графическом окне следует перемещать указатель мыши или нажимать клавиши для генерации случайной последовательности до завершения операции.

      Во всплывающем окне ввести pin-код для контейнера (по умолчанию — 12345678 ), нажать OK.

      В открывшемся графическом окне следует перемещать указатель мыши или нажимать клавиши для генерации случайной последовательности до завершения операции.

      Запрос на получение сертификата

      Для создания запроса на получение сертификата выполнить:

      cryptcp -creatrqst -dn «cn=test ,e=test@eos.ru» -provtype 80 -nokeygen -cont ‘\\.\Aktiv Co. Rutoken S 00 00\eos’ -certusage «1.3.6.1.5.5.7.3.4,1.3.6.1.4.1.311.10.3.12» test.req

      Выдача запроса на получение сертификата осуществляется в соответствии с примечанием ниже.

      Для выдачи запроса на получение сертификата и загрузки цепочки сертификатов см. Выдача запроса на получение сертификата.

      В поле Сохраненный запрос вставить содержимое из файла test.req.

      Так же установить по инструкции расширение КриптоПро ЭЦП Browser plugin, если это не было сделано ранее.

      Установить certnew.p7b в личное хранилище Rutoken S :

      Предполагается, что файл certnew.p7b находится в том же каталоге, где выполняется запрос.

      Выбрать индекс 2.

      Если Rutoken S был получен уже с контейнером «Crypto Pro» и полученным сертификатом, записать в хранилище сертификатов CryptoPro информацию об этом сертификате:

      Предполагается, что сертификат удостоверяющего центра и список отозванных сертификатов уже установлены (см. установку удостоверяющий центр и список отозванных сертификатов) .

      JaCarta-2 PKI/ГОСТ

      Перейти в ранее распакованный каталог с КриптоПро linux-amd64_deb :

      Открыть: Пуск — Утилиты — Инструменты КриптоПро — Показать расширенные — Управление носителями. Н оситель должен определиться н а вкладке Выберите считыватель .

      Создать контейнер с именем tok на JaCarta-2 PKI/ГОСТ :

      Во всплывающем окне во вкладке Вид приложения выбрать, как использовать считыватель, и нажать ОК .

      В открывшемся графическом окне следует перемещать указатель мыши или нажимать клавиши для генерации случайной последовательности.

      Во всплывающем окне ввести pin-код для контейнера (по умолчанию — 11111111 ), нажать ОК.

      В открывшемся графическом окне следует перемещать указатель мыши или нажимать клавиши для генерации случайной последовательности до завершения операции.

      В итоге будет создан контейнер.

      Запрос на получение сертификата

      Для создания запроса на получение сертификата выполнить:

      cryptcp -creatrqst -dn «cn=test ,e=test@eos.ru» -provtype 80 -nokeygen -cont ‘\\.\Aladdin R.D. JaCarta [SCR Interface] 00 00\tok’ -certusage «1.3.6.1.5.5.7.3.4,1.3.6.1.4.1.311.10.3.12» tok.req

      Выдача запроса на получение сертификата осуществляется в соответствии с примечанием ниже.

      Для выдачи запроса на получение сертификата и загрузки цепочки сертификатов см. Выдача запроса на получение сертификата.

      В поле Сохраненный запрос вставить содержимое из файла tok.req.

      Так же установить по инструкции расширение КриптоПро ЭЦП Browser plugin, если это не было сделано ранее.

      Установить certnew.p7b в личное хранилище JaCarta-2 PKI/ГОСТ:

      certmgr -inst -file certnew.p7b -store uMy -cont ‘\\.\Aladdin R.D. JaCarta [SCR Interface] 00 00\tok’ -inst_to_cont

      Выбрать индекс 2.

      Во всплывающем окне ввести pin-код для контейнера (по умолчанию — 11111111 ), нажать ОК.

      Предполагается, что сертификат удостоверяющего центра и список отозванных сертификатов уже установлены (см. установку удостоверяющий центр и список отозванных сертификатов) .

      Источник

    Оцените статью
    Adblock
    detector