Установка промежуточного сертификата astra linux

КриптоПро и сервис электронной подписи fly-csp

В качестве СКЗИ разрешается использовать только КриптоПро CSP следующих версий:

Указанные СКЗИ должны использоваться в исполнениях 1-Base или 2-Base.

СКЗИ КриптоПро CSP в исполнении 2-Base должно использоваться с аппаратно- программным модулем доверенной загрузки (АПМДЗ).

При эксплуатации СКЗИ необходимо соблюдать требования и рекомендации эксплуатационной документации на СКЗИ, в частности требования по защите от несанкционированного доступа и по криптографической защите, а также требования по поддерживаемым СКЗИ аппаратно-программным платформам. В частности, при использовании СЭП со встроенным СКЗИ необходимо проведение проверки программного обеспечения BIOS ЭВМ, на которых предполагается функционирование СКЗИ и СЭП, на соответствие методическим документам ФСБ России в области исследований программного обеспечения BIOS.

Контроль целостности СКЗИ и СЭП должен выполняться с использованием механизма замкнутой программной среды ОС или с использованием стандартных средств контроля целостности КриптоПро CSP.

Перед установкой и настройкой fly-csp, в систему должен быть установлен СКЗИ КриптоПро согласно инструкции: Работа с КриптоПро CSP

Сервис Электронной Подписи fly-csp-cryptopro

Программа предоставляет возможности для проверки и создания электронной подписи (ЭП). Является графическим интерфейсом для запуска команд криптопровайдера (криптографических утилит) на проверку и создание электронной подписи.

  • проверить присоединенную (встроенную) ЭП с указанием имени файла электронного документа;
  • проверить отсоединенную ЭП с указанием имени файла электронного документа и имени файла электронной подписи;
  • получить информацию об установленных сертификатах;
  • создать отсоединенную электронную подпись без метки доверенного времени с указанием имени файла электронного документа и имени файла создаваемой электронной подписи;
  • создать отсоединенную электронную подпись с включенной меткой доверенного времени с указанием имени файла электронного документа, имени файла создаваемой электронной подписи и адреса источника метки времени.
  • просмотра содержимого с предварительной конвертацией в PDF-формат.

Установка

Для использования СЭП необходимо в обязательном порядке установить следующие программные компоненты из состава операционных систем «Astra Linux»:

— программный модуль, реализующий функцию создания и проверки ЭП → fly-csp-cryptopro;

— расширение офисных программ LibreOffice → libreoffice-astracsp-plugin.

Установка на Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

Для установки программных модулей на Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) нужно обновить ОС до БЮЛЛЕТЕНЬ № 20200722SE16

Читайте также:  Linux выполнение команды через ssh

Запустить терминал Fly и выполнить следующие команды от имени привилегированного пользователя с правами администратора:

Установка на Astra Linux Special Edition РУСБ.10015-16 исп. 1

Для установки программных модулей на Astra Linux Special Edition РУСБ.10015-16 исп. 1 нужно обновить ОС до Бюллетень № 20201007SE16

Запустить терминал Fly и выполнить следующие команды от имени привилегированного пользователя с правами администратора:

Установка на Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)

Для установки программных модулей на Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) нужно обновить ОС до БЮЛЛЕТЕНЬ № 20201201SE15

Запустить терминал Fly и выполнить следующие команды от имени привилегированного пользователя с правами администратора:

Установка на Astra Linux Common Edition

Для установки программных модулей на Astra Linux Common Edition нужно обновить ОС минимум до версии 2.12.40 согласно инструкции: Astra Linux Common Edition 2.12: порядок обновления операционной системы

Запустить терминал Fly и выполнить следующие команды от имени привилегированного пользователя с правами администратора:

Варианты запуска fly-csp-cryptopro

Запуск из меню «fly»

Пунктом подменю «Пуск» — «Утилиты» — «Электронная подпись КриптоПро» (см. рис. 1). Данным пунктом программа запускается без параметров, задающих имя файла электронного документа, поэтому для работы с конкретным документом следует с помощью кнопки [Выбрать ЭД] на вкладке «Проверка ЭП» главного окна программы (см. Главное окно программы) установить имя файла с документом;

Запуск из контекстного меню fly-fm

В главном окне программы «Менеджер файлов fly-fm» следует перейти в папку с целевым документом, а затем на панели просмотра папок и файлов установить курсор (фокус внимания) на названии/значке файла с документом, щелчком правой кнопки мыши на нем открыть контекстное меню и выбрать пункт «Действия» — «Электронная подпись КриптоПро»

Запуск из контекстного меню fly-fm доступен только для ОС версии 1.6 и 2.12

Запуск из меню LibreOffice

После установки плагина libreoffice-astracsp-plugin, в LibreOffice появится возможность вызова утилиты fly-csp-cryptopro при выборе меню «Файл» → «Электронная подпись».

Создание электронной подписи

При первом запуске fly-csp-cryptopro нужно будет переключить вкладку с «Проверка ЭП» на «Создать ЭП»:

При этом если в АРМ будет установлен токен с сертификатом, то он автоматом установит его в личное хранилище uMy и отобразится в самой утилите fly-csp-cryptopro. После чего ею можно будет воспользоваться для создания ЭП.

Перед подписанием файл электронного документа можно предварительно просмотреть, нажав кнопку «Просмотреть».

Далее следует выбрать нужный Вам сертификат, с которым Вы хотите подписать файл электронного документа и нажать кнопку «Создание ЭП».

В результате чего, путем добавления к текущему имени файла данных о текущих дате и времени и расширения «sig» будет создана ЭП вида:

При необходимости это имя может быть откорректировано вручную.

При создании ЭП можно указать кодировку ЭП и расширение файла ЭП

Создание электронной подписи со штампом времени

В fly-csp-cryptopro есть возможность создания ЭП с меткой времени.

Читайте также:  Браузер google chrome линукс

Для этого следует нажать «галочку» в поле «включить метку времени». В названии файла добавится расширение *.tsp.*

С помощью метки времени можно проверять:

Достоверность времени создания документа

Метка времени на документе удостоверяет точное время создания этого документа для того, чтобы в последующем разрешать конфликты, связанные с его использованием. Таким образом, с помощью метки времени вы обеспечиваете неотрекаемость автора документа от своей подписи.

Сохранность актуальности электронной подписи

Наличие метки времени в подписанном документе позволяет продлевать срок действия электронной подписи. Такой штамп удостоверяет, например, что подпись была создана до того, как сертификат ключа подписи был аннулирован (отозван). Таким образом, для проверки подписи, созданной до момента отзыва сертификата, вы можете использовать уже отозванный сертификат. Цепочка меток времени позволяет создавать системы архивного хранения электронных документов, сохраняющие актуальность ЭП в документах. В ином случае, актуальность подписанного документа ограничена сроком действия сертификата ключа подписи.

Для изменения сервера штампа времени следует отредактировать конфигурационный файл /etc/astra-csp/fly-csp-cryptopro.conf :

В поле «TimeAddress=» следует указать нужный вам сервер времени.

По умолчанию указан сервер времени тестового УЦ КриптоПро: http://testca2012.cryptopro.ru/ui/

Для штампа времени должны быть установлены:

2) Сертификат УЦ должен быть установлен в хранилище » Доверенные корневые центры сертификации»;

3) Промежуточные сертификаты УЦ должны быть установлены в хранилище » Промежуточные центры сертификации» .

4) Актуальные списки отозванных сертификатов (CRL)

Создание электронной подписи в zip контейнере

В целях повышения удобства обработки большого количества файлов ЭД и ЭП программный модуль f ly-csp-cryptopro обеспечивает возможность объединения ЭД и соответствующих ему ЭП в контейнер электронного документа, представляющий собой zip-архив с именем вида: .signed.zip.

Для создания контейнера ЭД следует при создании первой ЭП в секции «Файл электронной подписи» включить чекбокс [Создать контейнер].

В результате успешного создания ЭП с параметрами, будет сформирован контейнер ЭД в виде zip-архива с именем вида filename.pdf.signed.zip, в который будут перемещены файл ЭД с именем filename.pdf и файл ЭП с именем filename.pdf_2020-07-01_22-20-46.p7s

Проверка электронной подписи

Присоединенная подпись

Проверка присоединенной ЭП выполняется во вкладке «Проверка ЭП» графического интерфейса программного модуля f ly-csp-cryptopro путем нажатия левой кнопки мыши (далее – ЛКМ) по кнопке [Проверить ЭП]. В секции «Файл электронной подписи» при этом должно быть указано «Будет проверена присоединенная электронная подпись».

Результаты выполнения команды отображаются в секции «Результаты обработки» графического интерфейса программного модуля f ly-csp-cryptopro с цветовой индикацией успешного (зеленый) или ошибочного (красный) результата проверки ЭП.

Отсоединенная подпись

Проверка отсоединенной ЭП выполняется во вкладке «Проверка ЭП» графического интерфейса программного модуля f ly-csp-cryptopro путем нажатия ЛКМ на кнопке [Выбрать ЭП], после чего будет отображен список файлов для выбора файла проверяемой ЭП. После выбора ЛКМ файла электронной подписи и появления его имени в секции «Файл электронной подписи», следует нажать ЛКМ на кнопке [Проверить ЭП].

Читайте также:  Проверить все открытые порты linux

в fly-csp-cryptopro есть возможность выбора файла и подписи одновременно для проверки.

Для этого следует выбрать в проводнике fly-fm, как сам документ так и подпись sig одновременно, нажать ПКМ → «Действия» → «Электронная подпись КриптоПро»

Проверка электронной подписи в zip контейнере

Содержимое контейнера ЭД с несколькими ЭП

Контейнер ЭД может быть выбран аналогично выбору файла ЭД, только для его выбора следует нажать кнопку [Выбрать контейнер ЭД].

Часто встречающиеся вопросы / FAQ

Справка fly-csp-cryptopro

При нажатии кнопки f1 в утилите fly-csp-cryptopro откроется «Справка» с подробным описанием утилиты.

Криптопровайдер КриптоПро не установлен

Для исправления данной ошибки, следует установить СКЗИ КриптоПро согласно инструкции: Работа с КриптоПро CSP

Не удалось загрузить сертификаты

Для исправления данной ошибки, следует установить личные сертификаты пользователя в хранилище uMy согласно инструкции: Работа с КриптоПро CSP

Отсутствует cades plugin

Ошибка: Не удалось открыть файл 'cades library'. /dailybuildsbranches/CSP_5_0r0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:217: 0x20000065 [ErrorCode: 0x20000065]

Означает, что у Вас не установлен КриптоПро CADES ЭЦП Browser plug-in при создании ЭП со штампом времени.

Ошибка в подписи со штампом времени

При возникновении ошибки с использованием штампа времени:

Ошибка: Произошла внутренняя ошибка в цепочке сертификатов. /dailybuildsbranches/CSP_5_0r0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:1797: 0x800B010A [ErrorCode: 0x800b010a]

Следует установить всю цепочку сертификатов до УЦ сервера штампа времени.

В случае использования тестового УЦ КриптоПРО:

  1. Скачать и установить корневой сертификат тестового Удостоверяющего центра в хранилище Доверенные корневые центры сертификации ;
  2. Скачать и установить промежуточный сертификат тестового Удостоверяющего центра в хранилище Промежуточные центры сертификации .
  3. Скачать и установить актуальные списки отозванных сертификатов (CRL) доступных здесь .

Источник

1С и Linux

Пишу для себя, чтобы не забыть как делал. 95 % рабочее. На комментарии отвечаю, когда увижу.

пятница, 14 декабря 2018 г.

Установка сертификатов используя КриптоПРО в Linux

Для установки в uRoot админиских прав больше не нужно. Ради этого их с mRoot и разделили. Работает так: если ставить в uRoot — видно будет только текущему пользователю, даже если он root, но права не нужны и будет диалог с предупреждением. Если ставить в mRoot, то нужны права, видно будет всем и предупреждения не будет.

Установка корневого сертификата удостоверяющего центра:
$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/.cer -store uRoot
$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/guts_2012.cer -store uRoot

Просмотор корневых сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -list -store uRoot

Удалить:
$ /opt/cprocsp/bin/amd64/certmgr -delete -store uRoot
$ /opt/cprocsp/bin/amd64/certmgr -delete -all -store uRoot

Установка списка отозванных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Загрузки/.crl

Установка цепочки промежуточных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/.p7b -store uca

$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/fk_2012.cer -store uca

Просмотор промежуточных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -list -store uca

Удалить:
$ /opt/cprocsp/bin/amd64/certmgr -delete -store uca

Установка сертификата с рутокена:
$ /opt/cprocsp/bin/amd64/certmgr -inst -cont » -store uMy

Установка сертификата из контейнера:
$ /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont ‘\\.\HDIMAGE\test’

Просмотор личных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -list -store uMy

Просмотр контейнеров, рутокенов
$ /opt/cprocsp/bin/amd64/csptest -keyset -enum -verifycontext -fqcn

Источник

Оцените статью
Adblock
detector