Установка и настройка КриптоПРО на Linux
Рассмотрим установку на linux ubuntu/mint в моем случае это был дистрибутив linux mint с рабочим столом KDE, очень удобный, стабильный и красивый дистрибутив!
Сразу предупреждаю, что название директорий и файлов может быть иной, просто слепое копирование команд может не прокатить.
Речь о четвертой версии КриптоПРО, скачать ее можно на официальном сайте предварительно зарегистрировавшись. Ссылка на скачивание тут https://www.cryptopro.ru/products/csp/downloads я брал последний релиз. Прилагаю ПДФ инструкцию от КриптоПРО, в скупе с этим постом, позволит Вам настроить ПО за считанные минуты.
Открываем терминал и заходим под суперпользователем (сразу предупреждаю, если Вы не задавали пароля суперпользователя, то зайти под ним не сможете, задайте пароль предварительно) заходим под root или используем SUDO
система спросит пароль. Перед началом установки я распаковал скачанный архив с сайта КриптоПРО и перешел в терминале к директории с распакованными файлами
Кроме того из архива открыв установщиком deb пакетов установите другие пакеты для работы например Рутокена, ГУИ и тд. для верности можно поставить все имеющиеся пакеты криптоПРО )
Переходим в каталог
устанавливаем лицензию. Если у Вас нет лицензионного ключа, не страшно, демка работает некоторое время.
./cpconfig -license -set 4040M-L0000-02XRC-HGU5E-7PL6Q
./certmgr -inst -store root -file
Установка всю цепочку сертификатов от личного до ГУЦ (личный сертификат не ставим, его будем ставить из ключевого контейнера). Получить цепочку, можно посмотрев кем Выдан Ваш сертификат (если у Вас нет его отдельным файлом для просмотра, то ниже будут команды которыми можно получить информацию о нем из ключевого контейнера). Я для этой процедуры воспользовался ГУИ винды на другом ПК, которая показывает всю цепочку сертификатов Сохранил в видне промежуточные сертификаты в файл *.cer и установил их в linux по команде ниже:
./csptest -keyset -enum_cont -fqcn -verifyc
Копируем закрытый ключ на комп. Ставьте обязательно пароль на ключ. Я поставил пароль в виде одного символа, так как в моем случае диск ПК шифрованный, его кража ни как не повлияет на доступность ключей. Почему я поставил пароль хоть и в один символ? для того, чтобы какой либо не добросовестный сайт или приложение не получили доступ к ключу в процессе работы ПК. Имена контейнеров будут отличаться от приведенных в примерах команд. Если у Вас ключ на съемном носителе, это самый безопасный вариант, если не уверенны в безопасности не копируйте на ПК.
./csptest -keycopy -contsrc '\\.\FLASH\_13_02_2019' -typesrc 75 -contdest '\\.\HDIMAGE\_02_2019'
./certmgr -inst -cont '\\.\HDIMAGE\ryb16_17'
Установка плагина для работы с ЭЦП из браузера предварительно установив утилиту alien. Архив с файлами плагина последней версии надо скачать с сайта криптоПРО по ссылке http://www.cryptopro.ru/products/cades/plugin
sudo alien -kci cprocsp-pki-2.0.0-amd64-cades.rpm cprocsp-pki-2.0.0-amd64-plugin.rpm
Установить дополнение для браузера мозила отсюда:
https://www.cryptopro.ru/sites/default/files/products/cades/extensions/cryptopro_extension_for_cades_browser_plug_in-1.1.1-an+fx-windows.xpi
Гугловский хром работает и без него пока.
Для проверки работы браузера, необходимо перейти на тестовую страницу https://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html
Частая проблема с браузером, это не отображается Ваш личный сертификат, у меня была такая проблема из-за того, что я не установил вся цепочку сертификатов от личного сертификата до ГУЦа. Для того, чтобы визуализировать проблему, можно поставить демку КриптоАРМ https://cryptoarm.ru/shop/trusted_esign?utm_source=yandex&utm_medium=cpc&utm_term=%D0%BA%D1%80%D0%B8. там Вы увидите в списке сертификатов зеленой галкой ГУЦ и нижестоящие по иерархии сертификаты, в том числе и личный сертификат, если личный отмечен красным, значит нет сквозной цепочки сертификации до ГУЦа. При отсутствии полной цепочки, Ваш сертификат система не считает доверенным. Вам необходимо до установить, все промежуточные сертификаты, чтобы Ваш личный стал с зеленым значком, тогда Вы без проблем увидите его на тестовой странице криптоПРО .
Поздравляю! Вы готовы участвовать в гос торгах, регистрировать недвижимость, обращаться в гос органы и тд с браузера. Попробовать получить файл подписи для произвольного файла можно тут https://armrus.org/extranet/useful/electronic-signature/ полученную пару файлов, можно использовать как юридически значимый документ.
Изменено: Алексей Рябов — 14 авг 2018 20:39:07 ( в обнавленном релизе крипто про в коменде копирования ключа, необходимо указывать тип носителя )
Установка криптопро линукс минт
Для обеспечения работы с электронными ключами Rutoken в ОС семейства Linux необходимо установить:
2. Пакеты из состава дистрибутива КриптоПро CSP : cprocsp-rdr-pcsc, cprocsp-rdr-rutoken
3. Для Rutoken S дополнительно нужен драйвер. Либо с сайта производителя https://www.rutoken.ru/support/download/nix/ , либо из состава дистрибутива КриптоПро CSP — ifd-rutokens
Для работы электронных идентификаторов Rutoken должны быть установлены:
В DEB -based системе: библиотека libccid не ниже 1.4.2, пакеты pcscd и libpcsclite1.
В RPM-based системе: пакеты ccid, pcscd и pcsc-lite.
Ниже приведены примеры установки пакетов пользователем, имеющим права администратора ( root ). В противном случае, в начале команды следует поставить « sudo », например:
Устанавливаем драйвер Rutoken для DEB — based и RPM — based систем ( только для RUTOKEN S ):
Устанавливаем КриптоПро CSP для DEB — based и RPM — based систем:
Устанавливаем модуль поддержки PCSC-считывателей для DEB — based и RPM — based систем (доп. пакет):
Устанавливаем модуль поддержки Rutoken для DEB — based и RPM — based систем (доп. пакет):
После подключения считывателя проверим определяет ли его система:
root@ubuntu :# /opt/cprocsp/bin/amd64/csptest –card –enum
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.240 sec
Просмотр списка настроенных считывателей:
root@ubuntu :# /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view
Nick name: Aktiv Rutoken ECP 00 00
Connect name:
Reader name: Aktiv Rutoken ECP 00 00
Nick name: FLASH
Connect name:
Reader name: FLASH
Nick name: HDIMAGE
Connect name:
Reader name: HDIMAGE
Для тестирования создадим самоподписанный сертификат с закрытым ключом:
root@ubuntu :~# /opt/cprocsp/bin/amd64$ ./csptestf -keyset -newkeyset -makecert -cont ‘\\.\Aktiv Rutoken ECP 00 00\test’ -keytype exchange
CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 34026883
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Exchange key is not available.
Attempting to create an exchange key.
Subject/Issuer: E=test@cryptopro.ru, CN=test
Subject/Issuer: E=test@cryptopro.ru, CN=test
Self signed certificate created: E=test@cryptopro.ru, CN=test
Certificate stored in container.
PrivKey: Not specified — 24.04.2021 11:33:59 (UTC)
Total: SYS: 0.020 sec USR: 0.140 sec UTC: 10.720 sec
Установка криптопро линукс минт
В данной статье мы описываем процесс установки и настройки КриптоПро CSP на ОС Linux (на примере Debian 11).
Она будет полезна вам, если вы получили ключ и сертификат в ФНС и используете ОС Linux для работы.
Порядок настройки:
1) Установка КриптоПро CSP 5.0:
1.1. Выполните регистрацию на сайте нашей компании. Если Вы уже зарегистрированы – выполните вход (необходимо ввести адрес электронной почты и пароль, которые Вы указывали при регистрации)
1.2. Перейдите на страницу загрузки дистрибутивов КриптоПро CSP
1.3. Ознакомьтесь с условиями лицензионного соглашения и нажмите кнопку «Я согласен с лицензионным соглашением. Перейти к загрузке»
1.4. Нажмите кнопку «Скачать для Linux», для загрузки дистрибутива актуальной версии КриптоПро CSP
1.5. Распакуйте загруженный архив: tar -xvf linux-amd64_deb.tgz && cd linux-amd64_deb
1.6. Запустите установку в графическом интерфейсе посредством запуска скрипта
sudo ./install_gui.sh
При установке дополнительно нужно отметить пакеты
1.7. Для корректной работы с некоторыми ключевыми носителями необходима установка дополнительного программного обеспечения:
- pcscd (sudo apt-get install pcscd)
- libccid (sudo apt-get install libccid)
- Рутокен ЭЦП 2.0, Рутокен ЭЦП 3.0, Рутокен TLS — библиотека для работы через PKCS#11 интерфейс
- JaCarta-2 ГОСТ — Единый клиент JaCarta
- ESMART Token ГОСТ — ESMART PKI Client
- Рутокен S — пакет ifd-rutokens_1.0.4 расположен в архиве с ПО
установка скаченных выше библиотек PKCS#11 выполняется командой
sudo dpkg -i путь до скаченной библиотеки
убедитесь, что служба pcscd запущена sudo systemctl status pcscd
если нет запустите ее sudo systemctl enable —now pcscd
2) Установка КриптоПро ЭЦП BrowserPlug-in 2.0:
Распакуйте загруженный архив: tar -xvf cades-linux-amd64.tar.gz
sudo dpkg -i cprocsp-pki-cades
sudo dpkg -i cprocsp-pki-plugin
3) Установка личного сертификата:
Установка личного сертификата с привязкой к ключевому контейнеру на ключевом носителе (при подключенном ключевом носителе):
Обзор
Показать приложения
Инструменты КриптоПро
Контейнеры
Выбрать нужный ключевой носитель
Установить сертификат
Установка облачного сертификата описана в инструкции по ссылке
Если настройка произведена корректно, то в поле Сертификат появится строка, соответствующая сертификату.
После выбора сертификата и нажатия кнопки Подписать появится надпись Подпись сформирована успешно.
5) Проверка статуса лицензии КриптоПро CSP 5.0:
Обзор
Показать приложения
Инструменты КриптоПро
Общее
6) Активация лицензии КриптоПро CSP 5.0:
Обзор
Показать приложения
Инструменты КриптоПро
Общее
Ввести лицензию для меня
Дополнительная информация по работе с лицензиями доступна по ссылке .
a) При необходимости отдельной установки сертификатов
корневых удостоверяющих центров (например, в случае использования неквалифицированного сертификата) или промежуточных удостоверяющих центров (например, в случае с проблемами автоматического построения цепочки сертификатов по ссылкам из сертификатов) эти сертификаты можно установить следующим образом:
Обзор
Показать приложения
Инструменты КриптоПро
Сертификаты
Установить сертификаты
выбрать файл с нужным сертификатом
b) Для работы на портале nalog.ru необходимо:
— иметь в наличии квалифицированный сертификат электронной подписи и соответствующий ему ключ,
— для входа в личный кабинет ИП или ЮЛ с помощью электронной подписи использовать один из браузеров (рекомендуется использовать последнии доступные версии браузеров) с поддержкой ГОСТ TLS — Chromium-Gost или Яндекс.Браузер и входить по прямой ссылке:
https://lkulgost.nalog.ru/ — для юридических лиц,
c) Информация по входу на портал gosuslugi.ru доступна по ссылке .