- КриптоПро и сервис электронной подписи fly-csp
- Сервис Электронной Подписи fly-csp-cryptopro
- Установка
- Установка на Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- Установка на Astra Linux Special Edition РУСБ.10015-16 исп. 1
- Установка на Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)
- Установка на Astra Linux Common Edition
- Варианты запуска fly-csp-cryptopro
- Запуск из меню «fly»
- Запуск из контекстного меню fly-fm
- Запуск из меню LibreOffice
- Создание электронной подписи
- Создание электронной подписи со штампом времени
- Создание электронной подписи в zip контейнере
- Проверка электронной подписи
- Присоединенная подпись
- Отсоединенная подпись
- Проверка электронной подписи в zip контейнере
- Часто встречающиеся вопросы / FAQ
- 1С и Linux
- пятница, 14 декабря 2018 г.
- Установка сертификатов используя КриптоПРО в Linux
КриптоПро и сервис электронной подписи fly-csp
В качестве СКЗИ разрешается использовать только КриптоПро CSP следующих версий:
Указанные СКЗИ должны использоваться в исполнениях 1-Base или 2-Base.
СКЗИ КриптоПро CSP в исполнении 2-Base должно использоваться с аппаратно- программным модулем доверенной загрузки (АПМДЗ).
При эксплуатации СКЗИ необходимо соблюдать требования и рекомендации эксплуатационной документации на СКЗИ, в частности требования по защите от несанкционированного доступа и по криптографической защите, а также требования по поддерживаемым СКЗИ аппаратно-программным платформам. В частности, при использовании СЭП со встроенным СКЗИ необходимо проведение проверки программного обеспечения BIOS ЭВМ, на которых предполагается функционирование СКЗИ и СЭП, на соответствие методическим документам ФСБ России в области исследований программного обеспечения BIOS.
Контроль целостности СКЗИ и СЭП должен выполняться с использованием механизма замкнутой программной среды ОС или с использованием стандартных средств контроля целостности КриптоПро CSP.
Перед установкой и настройкой fly-csp, в систему должен быть установлен СКЗИ КриптоПро согласно инструкции: Работа с КриптоПро CSP
Сервис Электронной Подписи fly-csp-cryptopro
Программа предоставляет возможности для проверки и создания электронной подписи (ЭП). Является графическим интерфейсом для запуска команд криптопровайдера (криптографических утилит) на проверку и создание электронной подписи.
- проверить присоединенную (встроенную) ЭП с указанием имени файла электронного документа;
- проверить отсоединенную ЭП с указанием имени файла электронного документа и имени файла электронной подписи;
- получить информацию об установленных сертификатах;
- создать отсоединенную электронную подпись без метки доверенного времени с указанием имени файла электронного документа и имени файла создаваемой электронной подписи;
- создать отсоединенную электронную подпись с включенной меткой доверенного времени с указанием имени файла электронного документа, имени файла создаваемой электронной подписи и адреса источника метки времени.
- просмотра содержимого с предварительной конвертацией в PDF-формат.
Установка
Для использования СЭП необходимо в обязательном порядке установить следующие программные компоненты из состава операционных систем «Astra Linux»:
— программный модуль, реализующий функцию создания и проверки ЭП → fly-csp-cryptopro;
— расширение офисных программ LibreOffice → libreoffice-astracsp-plugin.
Установка на Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
Для установки программных модулей на Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) нужно обновить ОС до БЮЛЛЕТЕНЬ № 20200722SE16
Запустить терминал Fly и выполнить следующие команды от имени привилегированного пользователя с правами администратора:
Установка на Astra Linux Special Edition РУСБ.10015-16 исп. 1
Для установки программных модулей на Astra Linux Special Edition РУСБ.10015-16 исп. 1 нужно обновить ОС до Бюллетень № 20201007SE16
Запустить терминал Fly и выполнить следующие команды от имени привилегированного пользователя с правами администратора:
Установка на Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)
Для установки программных модулей на Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) нужно обновить ОС до БЮЛЛЕТЕНЬ № 20201201SE15
Запустить терминал Fly и выполнить следующие команды от имени привилегированного пользователя с правами администратора:
Установка на Astra Linux Common Edition
Для установки программных модулей на Astra Linux Common Edition нужно обновить ОС минимум до версии 2.12.40 согласно инструкции: Astra Linux Common Edition 2.12: порядок обновления операционной системы
Запустить терминал Fly и выполнить следующие команды от имени привилегированного пользователя с правами администратора:
Варианты запуска fly-csp-cryptopro
Запуск из меню «fly»
Пунктом подменю «Пуск» — «Утилиты» — «Электронная подпись КриптоПро» (см. рис. 1). Данным пунктом программа запускается без параметров, задающих имя файла электронного документа, поэтому для работы с конкретным документом следует с помощью кнопки [Выбрать ЭД] на вкладке «Проверка ЭП» главного окна программы (см. Главное окно программы) установить имя файла с документом;
Запуск из контекстного меню fly-fm
В главном окне программы «Менеджер файлов fly-fm» следует перейти в папку с целевым документом, а затем на панели просмотра папок и файлов установить курсор (фокус внимания) на названии/значке файла с документом, щелчком правой кнопки мыши на нем открыть контекстное меню и выбрать пункт «Действия» — «Электронная подпись КриптоПро»
Запуск из контекстного меню fly-fm доступен только для ОС версии 1.6 и 2.12
Запуск из меню LibreOffice
После установки плагина libreoffice-astracsp-plugin, в LibreOffice появится возможность вызова утилиты fly-csp-cryptopro при выборе меню «Файл» → «Электронная подпись».
Создание электронной подписи
При первом запуске fly-csp-cryptopro нужно будет переключить вкладку с «Проверка ЭП» на «Создать ЭП»:
При этом если в АРМ будет установлен токен с сертификатом, то он автоматом установит его в личное хранилище uMy и отобразится в самой утилите fly-csp-cryptopro. После чего ею можно будет воспользоваться для создания ЭП.
Перед подписанием файл электронного документа можно предварительно просмотреть, нажав кнопку «Просмотреть».
Далее следует выбрать нужный Вам сертификат, с которым Вы хотите подписать файл электронного документа и нажать кнопку «Создание ЭП».
В результате чего, путем добавления к текущему имени файла данных о текущих дате и времени и расширения «sig» будет создана ЭП вида:
При необходимости это имя может быть откорректировано вручную.
При создании ЭП можно указать кодировку ЭП и расширение файла ЭП
Создание электронной подписи со штампом времени
В fly-csp-cryptopro есть возможность создания ЭП с меткой времени.
Для этого следует нажать «галочку» в поле «включить метку времени». В названии файла добавится расширение *.tsp.*
С помощью метки времени можно проверять:
Достоверность времени создания документа
Метка времени на документе удостоверяет точное время создания этого документа для того, чтобы в последующем разрешать конфликты, связанные с его использованием. Таким образом, с помощью метки времени вы обеспечиваете неотрекаемость автора документа от своей подписи.
Сохранность актуальности электронной подписи
Наличие метки времени в подписанном документе позволяет продлевать срок действия электронной подписи. Такой штамп удостоверяет, например, что подпись была создана до того, как сертификат ключа подписи был аннулирован (отозван). Таким образом, для проверки подписи, созданной до момента отзыва сертификата, вы можете использовать уже отозванный сертификат. Цепочка меток времени позволяет создавать системы архивного хранения электронных документов, сохраняющие актуальность ЭП в документах. В ином случае, актуальность подписанного документа ограничена сроком действия сертификата ключа подписи.
Для изменения сервера штампа времени следует отредактировать конфигурационный файл /etc/astra-csp/fly-csp-cryptopro.conf :
В поле «TimeAddress=» следует указать нужный вам сервер времени.
По умолчанию указан сервер времени тестового УЦ КриптоПро: http://testca2012.cryptopro.ru/ui/
Для штампа времени должны быть установлены:
2) Сертификат УЦ должен быть установлен в хранилище » Доверенные корневые центры сертификации»;
3) Промежуточные сертификаты УЦ должны быть установлены в хранилище » Промежуточные центры сертификации» .
4) Актуальные списки отозванных сертификатов (CRL)
Создание электронной подписи в zip контейнере
В целях повышения удобства обработки большого количества файлов ЭД и ЭП программный модуль f ly-csp-cryptopro обеспечивает возможность объединения ЭД и соответствующих ему ЭП в контейнер электронного документа, представляющий собой zip-архив с именем вида: .signed.zip.
Для создания контейнера ЭД следует при создании первой ЭП в секции «Файл электронной подписи» включить чекбокс [Создать контейнер].
В результате успешного создания ЭП с параметрами, будет сформирован контейнер ЭД в виде zip-архива с именем вида filename.pdf.signed.zip, в который будут перемещены файл ЭД с именем filename.pdf и файл ЭП с именем filename.pdf_2020-07-01_22-20-46.p7s
Проверка электронной подписи
Присоединенная подпись
Проверка присоединенной ЭП выполняется во вкладке «Проверка ЭП» графического интерфейса программного модуля f ly-csp-cryptopro путем нажатия левой кнопки мыши (далее – ЛКМ) по кнопке [Проверить ЭП]. В секции «Файл электронной подписи» при этом должно быть указано «Будет проверена присоединенная электронная подпись».
Результаты выполнения команды отображаются в секции «Результаты обработки» графического интерфейса программного модуля f ly-csp-cryptopro с цветовой индикацией успешного (зеленый) или ошибочного (красный) результата проверки ЭП.
Отсоединенная подпись
Проверка отсоединенной ЭП выполняется во вкладке «Проверка ЭП» графического интерфейса программного модуля f ly-csp-cryptopro путем нажатия ЛКМ на кнопке [Выбрать ЭП], после чего будет отображен список файлов для выбора файла проверяемой ЭП. После выбора ЛКМ файла электронной подписи и появления его имени в секции «Файл электронной подписи», следует нажать ЛКМ на кнопке [Проверить ЭП].
в fly-csp-cryptopro есть возможность выбора файла и подписи одновременно для проверки.
Для этого следует выбрать в проводнике fly-fm, как сам документ так и подпись sig одновременно, нажать ПКМ → «Действия» → «Электронная подпись КриптоПро»
Проверка электронной подписи в zip контейнере
Контейнер ЭД может быть выбран аналогично выбору файла ЭД, только для его выбора следует нажать кнопку [Выбрать контейнер ЭД].
Часто встречающиеся вопросы / FAQ
Справка fly-csp-cryptopro
При нажатии кнопки f1 в утилите fly-csp-cryptopro откроется «Справка» с подробным описанием утилиты.
Криптопровайдер КриптоПро не установлен
Для исправления данной ошибки, следует установить СКЗИ КриптоПро согласно инструкции: Работа с КриптоПро CSP
Не удалось загрузить сертификаты
Для исправления данной ошибки, следует установить личные сертификаты пользователя в хранилище uMy согласно инструкции: Работа с КриптоПро CSP
Отсутствует cades plugin
Ошибка: Не удалось открыть файл 'cades library'. /dailybuildsbranches/CSP_5_0r0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:217: 0x20000065 [ErrorCode: 0x20000065]
Означает, что у Вас не установлен КриптоПро CADES ЭЦП Browser plug-in при создании ЭП со штампом времени.
Ошибка в подписи со штампом времени
При возникновении ошибки с использованием штампа времени:
Ошибка: Произошла внутренняя ошибка в цепочке сертификатов. /dailybuildsbranches/CSP_5_0r0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:1797: 0x800B010A [ErrorCode: 0x800b010a]
Следует установить всю цепочку сертификатов до УЦ сервера штампа времени.
В случае использования тестового УЦ КриптоПРО:
- Скачать и установить корневой сертификат тестового Удостоверяющего центра в хранилище Доверенные корневые центры сертификации ;
- Скачать и установить промежуточный сертификат тестового Удостоверяющего центра в хранилище Промежуточные центры сертификации .
- Скачать и установить актуальные списки отозванных сертификатов (CRL) доступных здесь .
1С и Linux
Пишу для себя, чтобы не забыть как делал. 95 % рабочее. На комментарии отвечаю, когда увижу.
пятница, 14 декабря 2018 г.
Установка сертификатов используя КриптоПРО в Linux
Для установки в uRoot админиских прав больше не нужно. Ради этого их с mRoot и разделили. Работает так: если ставить в uRoot — видно будет только текущему пользователю, даже если он root, но права не нужны и будет диалог с предупреждением. Если ставить в mRoot, то нужны права, видно будет всем и предупреждения не будет.
Установка корневого сертификата удостоверяющего центра:
$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/.cer -store uRoot
$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/guts_2012.cer -store uRoot
Просмотор корневых сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -list -store uRoot
Удалить:
$ /opt/cprocsp/bin/amd64/certmgr -delete -store uRoot
$ /opt/cprocsp/bin/amd64/certmgr -delete -all -store uRoot
Установка списка отозванных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Загрузки/.crl
Установка цепочки промежуточных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/.p7b -store uca
$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/fk_2012.cer -store uca
Просмотор промежуточных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -list -store uca
Удалить:
$ /opt/cprocsp/bin/amd64/certmgr -delete -store uca
Установка сертификата с рутокена:
$ /opt/cprocsp/bin/amd64/certmgr -inst -cont » -store uMy
Установка сертификата из контейнера:
$ /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont ‘\\.\HDIMAGE\test’
Просмотор личных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -list -store uMy
Просмотр контейнеров, рутокенов
$ /opt/cprocsp/bin/amd64/csptest -keyset -enum -verifycontext -fqcn