- 1С и Linux
- пятница, 14 декабря 2018 г.
- Установка сертификатов используя КриптоПРО в Linux
- Инструкция по установке КриптоПро
- Получение установочных пакетов
- Установка базовых компонентов КриптоПро
- Установка пакетов поддержки устройств
- Установка графических компонентов
- Подключение токена к компьютеру
- Подключение и установка КриптоПро
- Установка сертификатов
- Установка КриптоПро Fox
- Примечания
- Установка сертификатов на Linux
- Установка .cer (только открытая часть)
- Установка из .key (скопированные с носителя 6 файлов ключа)
- Установка сертификата с токена\флэш-накопителя
- Установка открытой части в контейнер закрытого ключа
- Установка корневых сертификатов и списков отзыва
- Установка корневого сертификата удостоверяющего центра
- Через терминал
- Через графический интерфейс
- Установка списка отозванных сертификатов
- Установка цепочки промежуточных сертификатов
1С и Linux
Пишу для себя, чтобы не забыть как делал. 95 % рабочее. На комментарии отвечаю, когда увижу.
пятница, 14 декабря 2018 г.
Установка сертификатов используя КриптоПРО в Linux
Для установки в uRoot админиских прав больше не нужно. Ради этого их с mRoot и разделили. Работает так: если ставить в uRoot — видно будет только текущему пользователю, даже если он root, но права не нужны и будет диалог с предупреждением. Если ставить в mRoot, то нужны права, видно будет всем и предупреждения не будет.
Установка корневого сертификата удостоверяющего центра:
$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/.cer -store uRoot
$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/guts_2012.cer -store uRoot
Просмотор корневых сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -list -store uRoot
Удалить:
$ /opt/cprocsp/bin/amd64/certmgr -delete -store uRoot
$ /opt/cprocsp/bin/amd64/certmgr -delete -all -store uRoot
Установка списка отозванных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Загрузки/.crl
Установка цепочки промежуточных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/.p7b -store uca
$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/fk_2012.cer -store uca
Просмотор промежуточных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -list -store uca
Удалить:
$ /opt/cprocsp/bin/amd64/certmgr -delete -store uca
Установка сертификата с рутокена:
$ /opt/cprocsp/bin/amd64/certmgr -inst -cont » -store uMy
Установка сертификата из контейнера:
$ /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont ‘\\.\HDIMAGE\test’
Просмотор личных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -list -store uMy
Просмотр контейнеров, рутокенов
$ /opt/cprocsp/bin/amd64/csptest -keyset -enum -verifycontext -fqcn
Инструкция по установке КриптоПро
В этой инструкции описана установка СКЗИ КриптоПро CSP 4.0 в ROSA Fresh R7–R10 (RED X2–X3) для работы с электронными ключами Рутокен. Пример приведён для 64-разрядной архитектуры AMD64; для 32-разрядной i586 установка аналогична с точностью до названий установочных пакетов и папок. Для установки нужны навыки работы в файловом менеджере (для KDE-версии это Dolphin) и консоли (Konsole или F4 при работе в Dolphin).
Получение установочных пакетов
Перед установкой СКЗИ КриптоПро CSP 4.0 сначала нужно зарегистрироваться на сайте https://www.cryptopro.ru/ и со страницы загрузки https://www.cryptopro.ru/products/csp/downloads скачать версию 4.0 для Linux в пакете rpm .
Установка базовых компонентов КриптоПро
- Распакуйте загруженный архив. Это можно сделать, выбрав соответствующий пункт меню в графическом интерфейсе или выполнив консольные команды:
cd ~/Загрузки/ tar -xvf linux-amd64.tgz
Должна появиться папка с установочными файлами КриптоПро.
Дальнейшую установку нужно выполнять с правами администратора (root).
- Выполните в консоли команду перехода в режим администратора ( su ) и введите пароль.
- Выполните команды установки:
urpmi -a lsb-core ccid ./install.sh rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*
Если пароль администратора неизвестен, можно использовать команду sudo ./install.sh , а затем — sudo rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-* , введя при этом пароль текущего пользователя (если у него есть на это права).
Для установки в графическом интерфейсе запустите файловый менеджер Dolphin с правами администратора, выполнив следующую команду:
В открывшемся окне щёлкните по файлу install.sh.
Установка пакетов поддержки устройств
Пакеты поддержки токенов/ридеров/плат расширения находятся в архиве КриптоПро CSP; их названия начинаются с cprocsp-rdr- . Если необходимо использовать определённое устройство (например, Рутокен ЭЦП), установите соответствующий пакет:
sudo rpm -ivh cprocsp-rdr-rutoken*
Ещё в архиве есть пакеты с драйверами ( ifd-* ). Их также следует установить при использовании соответствующих устройств. Например, для Рутокен S:
Установка графических компонентов
Если планируется использование Криптопро ЭЦП Browser Plugin (данный этап включён в инструкцию в ссылке), rosa-crypto-tool или других программ и компонентов с графическим интерфейсом, необходимо установить ещё два пакета:
urpmi pangox-compat && rpm -ivh cprocsp-rdr-gui-gtk*
Не следует устанавливать пакет cprocsp-rdr-gui , т. к. в связке с cprocsp-rdr-gui-gtk он нарушает работу графических компонентов.
Подключение токена к компьютеру
Теперь можно подключить Рутокен к USB-порту компьютера.
Для контроля правильности подключения выполните команду lsusb .
Пример правильного вывода:
Подключение и установка КриптоПро
- Запустите в отдельной консоли программу pcscd с правами администратора (root). В дальнейшем это следует делать через консоль и sudo , хотя можно и через команду su , чтобы не вводить пароль каждый раз. sudo будет индикатором того, что команда требует прав администратора.
После запуска не закрывайте эту консоль — в ней можно будет видеть, как система взаимодействует со смарт-картой.
- Откройте ещё одну консоль.
- Запустите в ней утилиту уже установленного в папку /opt КриптоПро:
/opt/cprocsp/bin/amd64/list_pcsc
Утилита также должна «видеть» устройство:
Установка сертификатов
После установки пакетов появится возможность просматривать контейнеры на устройстве Рутокен. Например, чтобы узнать путь к требуемому контейнеру, выполните:
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq
Для работы с сертификатами нужно установить сертификат удостоверяющего центра (в данном случае устанавливается непосредственно корневой сертификат) и сертификат Рутокен на локальное хранилище.
- Загрузите с сайта удостоверяющего центра файл, содержащий корневой сертификат (обычно он имеет расширение .cer или .p7b) и, при необходимости, цепочку сертификатов.
- Загрузите список отозванных сертификатов (файл с расширением .crl) и установите полученные файлы с помощью команд, аналогичных приведённым ниже.
Установка корневого сертификата удостоверяющего центра:
/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/.cer -store uRoot
Установка списка отозванных сертификатов:
/opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Загрузки/.crl
Установка цепочки промежуточных сертификатов:
/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/.p7b -store CA
Установка сертификата с рутокена:
/opt/cprocsp/bin/amd64/certmgr -inst -cont '' -store uMy
Подробнее о программе certmgr можно узнать здесь.
Примечание. Чаще всего расширение .cer соответствует сертификату, а .p7b — контейнеру, в котором может содержаться один или больше сертификатов (например, их цепочка).
Установка КриптоПро Fox
КриптоПро Fox — версия браузера Firefox, умеющая работать с КриптоПро.
- Скачайте браузер с сайта КриптоПро, выбрав пункт «Скачать КриптоПро Fox 45 для 64-разрядных Linux (CentOS 6.6+)».
- Разархивируйте полученный пакет.
- Запустите программу cpfox.
Для удобства работы с КриптоПро Fox можно создать ярлык для его запуска на рабочем столе:
- Кликните по столу правой кнопкой мыши.
- Выберите пункт Создать → Ссылка на приложение.
- В открывшемся окне на вкладке Приложение укажите команду запуска и название ярлыка.
Для проверки правильности установки попробуйте открыть сайт https://cpca.cryptopro.ru. Если всё в порядке, вы увидите следующее:
Обычный же Firefox этот адрес открыть не сможет:
Примечания
Для работы с другими носителями нужно установить модули поддержки соответствующих устройств. Названия модулей: cprocsp-rdr- . К таким модулям относятся ( cprocsp-rdr- ) emv , esmart , inpaspot , mskey , jacarta , novacard , rutoken .
Установка сертификатов на Linux
- Открыть «Инструменты КриптоПро», вкладка «Сертификаты»;
- Нажать «Импортировать ключи».
По умолчанию при импорте ключ копируется на ваш ПК. Если требуется использовать сертификат на съёмном носителе, его нужно скопировать на носитель и после установить;
Перейти в место хранения сертификата, выбрать его и нажать «Открыть»;
Ввести пароль от сертификата, заданный при выгрузке, и нажать «ОК»;
В новом окне можно задать пароль на сертификат. Если пароль не нужен, оставить поля пустыми и нажать «ОК»;
Установка .cer (только открытая часть)
- Открыть «Инструменты КриптоПро», вкладка «Сертификаты»;
- Нажать «Показать расширенные» и поставить галку «Отключить автовыбор хранилища (использовать текущее)».
Если галку не ставить, «КриптоПро» автоматически будет определять хранилище для сертификатов. Личные сертификаты попадут в хранилище «Другие пользователи»;
Перейти в выпадающем меню в нужное хранилище сертификатов и нажать «Установить сертификаты»;
Перейти в место хранения сертификата, выбрать его и нажать «Открыть»;
Установка из .key (скопированные с носителя 6 файлов ключа)
- Скопировать папку с файлами в папку локального хранения контейнеров «КриптоПро», по умолчанию «/var/opt/cprocsp/keys/имя_пользователя»;
Установка сертификата с токена\флэш-накопителя
- Подключить накопитель или токен к вашему ПК;
- В «Инструментах КриптоПро» перейти на вкладку «Контейнеры» и выбрать нужный контейнер на носителе;
- Нажать «Установить сертификат»;
Установка открытой части в контейнер закрытого ключа
Выполнить команду:/opt/cprocsp/bin/amd64/certmgr -inst -inst_to_cont -ask-container -pin «пин-код токена» -file “путь к файлу сертификата”
Пример:/opt/cprocsp/bin/amd64/certmgr -inst -inst_to_cont -ask-container -pin «12567» -file /path/to/certificate.cer
Установка корневых сертификатов и списков отзыва
Установка корневого сертификата удостоверяющего центра
Вам необходимо воспользоваться любым из способов:
Через терминал
Выполнить команду: /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/.cer -store uRoot
Через графический интерфейс
- Открыть «Инструменты КриптоПро», нажать «Показать расширенные»;
Установка списка отозванных сертификатов
Выполнить команду:/opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Загрузки/.crl
Установка цепочки промежуточных сертификатов
Выполнить команду:/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/.p7b -store CA