- 1С и Linux
- суббота, 25 мая 2019 г.
- Astra Linux Орёл 2.12.13 КриптоПро 4.0.9963 госзакупки и площадки
- Импорт сертификата вручную (для старых версий, проверено на Firefox 56.0.2)
- Инструкция по настройке и работе с Крипто-Про для государственных порталов
- ingener
- ingener
- AFilippov
- ingener
- AFilippov
- ingener
- Доступ в личные кабинеты ФГИС (ЕИС, ГМУ, Электронный бюджет и т.д.)
- Blaze
- cogniter
- Blaze
- renbuar
- Montfer
- renbuar
1С и Linux
Пишу для себя, чтобы не забыть как делал. 95 % рабочее. На комментарии отвечаю, когда увижу.
суббота, 25 мая 2019 г.
Astra Linux Орёл 2.12.13 КриптоПро 4.0.9963 госзакупки и площадки
А также требованием установить свежую КриптоПро 4.0.9963
$ sudo apt update
$ sudo apt upgrade
#$ sudo apt install samba ssh
#$ sudo systemctl enable ssh
#$ sudo systemctl start ssh
Два варианта либо ставим xrdp
$ cat /etc/astra_version
CE 2.12.13 (orel)
Загружаем КриптоПро 4.0.9963
Устанавливаем КриптоПро 4.0.9963
$ tar -zxf linux-amd64_deb.tgz
$ cd linux-amd64_deb
$ sudo ./install_gui.sh
Ставим все галки, лицензию позднее.
Ставим лицензию на Крипто-Про при наличии
$ sudo /opt/cprocsp/sbin/amd64/cpconfig -license -set *****-*****-*****-*****-*****
Если при установке не ввели лицензию, установится demo лицензия
$ /opt/cprocsp/sbin/amd64/cpconfig -license -view
License validity:
4040E-G0037-EK8R3-C6K4U-*****
Expires: 3 month(s) 2 day(s)
License type: Server.
Проверяем версию:
$ /opt/cprocsp/bin/amd64/csptest -keyset -verifycontext
CSP (Type:80) v4.0.9019 KC2 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 9196739
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC2 CSP
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,020 sec
[ErrorCode: 0x00000000]
$ sudo /opt/cprocsp/bin/amd64/csptestf -tlsc -server zakupki.gov.ru -nosave
HSECPKG_ATTR_PACKAGE_INFO not supported.
DContext expired: OK if file is completely downloaded
Reply status: HTTP/1.1 200 OK
1 connections, 588 bytes in 0.621 seconds;
Total: SYS: 0,060 sec USR: 0,090 sec UTC: 0,680 sec
[ErrorCode: 0x00000000]
$ sudo apt install alien
$ cd ~/
Скачать плагин в ~/Загрузки/ (автоматическая загрузка версии плагина, соответствующей Вашей ОС)
$ tar -zxf cades_linux_amd64.tar.gz
$ cd ~/cades_linux_amd64
Установить плагин:
$ sudo alien -dc cprocsp-pki-2.0.0-amd64-cades.rpm
$ sudo alien -dc cprocsp-pki-2.0.0-amd64-plugin.rpm
$ sudo dpkg -i cprocsp-pki-cades_2.0.0-2_amd64.deb cprocsp-pki-plugin_2.0.0-2_amd64.deb
Сертификаты которые ставит Crypto-Pro:
$ sudo /opt/cprocsp/bin/amd64/certmgr -list -store mRoot
Certmgr 1.1 (c) «Crypto-Pro», 2007-2018.
program for managing certificates, CRLs and stores
Установка личного сертификата
Копируем контейнер в
$ cd /var/opt/cprocsp/keys/user
$ /opt/cprocsp/bin/amd64/csptest -keyset -enum -verifycontext -fqcn
$ /opt/cprocsp/bin/amd64/csptest -keyset -enum -verifycontext -fqcn
CSP (Type:80) v4.0.9019 KC2 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 24774691
\\.\HDIMAGE\▒▒▒ ▒▒▒▒ ▒▒▒▒_16_05_2019_13_31 — Copy
OK.
Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,270 sec
[ErrorCode: 0x00000000]
$ /opt/cprocsp/bin/amd64/csptest -keys -enum -verifyc -fqcn -unique
CSP (Type:80) v4.0.9019 KC2 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 37054499
\\.\HDIMAGE\▒▒▒ ▒▒▒▒ ▒▒▒▒_16_05_2019_13_31 — Copy| \\.\HDIMAGE\HDIMAGE\\eeegsvhs.000\BFFC
OK.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,110 sec
[ErrorCode: 0x00000000]
Установить скопированный контейнер:
$ /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont ‘ \\.\HDIMAGE\HDIMAGE\\eeegsvhs.000\BFFC ‘
$ /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -file 7658319.cer -cont ‘\\.\HDIMAGE\HDIMAGE\\eeegsvhs.000\BFFC’
Просмотор личных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -list -store uMy
Установить расширение firefox на страничке с проверкой плагина:
Установил сертификат как в
Импорт сертификата вручную (для старых версий, проверено на Firefox 56.0.2)
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++В принципе установивки контейнера с личным сертификтом может быть достаточно.
Проверить можно:
Проверка цепочек
$ /opt/cprocsp/bin/amd64/certmgr -list -store uMy
Смотрим:
E=mail@vt70.com
$ /opt/cprocsp/bin/amd64/cryptcp -copycert -dn mail@vt70.com -df ~/t.cer
CryptCP 4.0 (c) «КРИПТО-ПРО», 2002-2018.
Утилита командной строки для подписи и шифрования файлов.
Будет использован следующий сертификат:
Субъект: .
Действителен с 17.05.2019 13:07:32 по 17.05.2020 13:07:32
Цепочки сертификатов проверены.
Копирование сертификатов завершено.
[ErrorCode: 0x00000000]
Для работы будем пользоваться chromium :
$ sudo apt install chromium
Плагин IFCPlugin-3.0.0-x86_64.deb.zip работать перестал.
Скачаем и установим плагин
Плагин качаем при входе в личный кабинет госуслуг по ЭЦП.
Прямая ссылка
Plugin для работы с электронной подписью
прямая ссылка в данный момент версия 3.0.6.0
Установим плагин:
$ cd ~/Загрузки/
$ sudo dpkg -i IFCPlugin-x86_64.deb$ sudo apt install -f
Также установим расширение chrom для сайта госуслуг.
Установить Расширение для gosuslugi.ru в браузере chromium
Перейти в меню — Дополнительные инструменты — Расширения и включить плагин
Загрузить файл конфигурации для IFCPlugin ( x64) в домашнюю директорию текущего пользователя.
$ cd ~/Загрузки/
$ wget https://www.cryptopro.ru/sites/default/files/public/faq/ifcx64.cfg
$ sudo rm /etc/ifc.cfg
$ sudo cp ~/Загрузки/ifcx64.cfg /etc/ifc.cfg
$ /opt/cprocsp/bin/amd64/csptestf -absorb -certs -autoprov
$ /opt/cprocsp/bin/amd64/csptestf -absorb -certs -autoprov
Match: HDIMAGE\\eeegsvhs.000\BFFC
OK.
Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,330 sec
[ErrorCode: 0x00000000]
создаем симлинк для корректной работы связи расширения браузера с библиотекой установленного плагина
$ sudo cp /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts
Войти на госуслуги с помощью сертификата
После этого успешно заходим на сайт госзакупок браузером chromium
После этого можно заходить на основные торговые площадки.
Электронная площадка Березка с авторизацией на госуслугах
Инструкция по настройке и работе с Крипто-Про для государственных порталов
всеобщими усилиями мы проблему решили.
теперь остался последний штрих — подключиться к budget.gov.ru, zakupki.gov.ru.
Что-то это мне напоминает. Связанное с «дайте попить».
. используется ГОСТ-шифрование, которые стандартные браузеры не поддерживает. установил Спутник — предлагает выбрать сертификат и дальше — ошибка соединения
Почему Спутник? Почему не связка Сhromium-gost+КриптоПро ЭЦП Browser Plug-in+CryptoPro Extension for CAdES Browser Plug-in.
Сhromium-gost активно пилят, 12 дней назад очередной релиз был. На Астру СЕ нормально установился, зависимостей чуток. Здесь обсуждение идет — https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=104430#post104430. Здесь про zakupki.gov.ru — https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=104871#post104871
Браузерно-библиотечная несовместимость? В логе ничего интересного нет?
Нужно. Инструкцию по настройке и работе с Крипто-Про для государственных порталов давно пора обновить. Желательно не забывать указание версий пакетов, дистрибутивов, браузеров.
ingener
New member
Почему Спутник? Почему не связка Сhromium-gost+КриптоПро ЭЦП Browser Plug-in+CryptoPro Extension for CAdES Browser Plug-in.
Сhromium-gost активно пилят, 12 дней назад очередной релиз был. На Астру СЕ нормально установился, зависимостей чуток. Здесь обсуждение идет — https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=104430#post104430. Здесь про zakupki.gov.ru — https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=104871#post104871
мне нужно, чтобы работало. буду проверять на всем, чтобы понять поведение. в том числе и на Chromium-gost. спасибо за подсказку!
ingener
New member
в каталоге /var/log/ifc/engine_log файла engine.log нет! создание его и наделение всеми правами результата не дают. видимо до него вообще не доходит процесс. дальше пока не разбирался
AFilippov
New member
на версии 1.5 Смоленск плагин не запускается
в каталоге /var/log/ifc/engine_log файла engine.log нет! создание его и наделение всеми правами результата не дают. видимо до него вообще не доходит процесс. дальше пока не разбирался
Какие версии браузеров? Версии библиотек, для начала, по списку из var/lib/dpkg/info/ifcplugin.list в Смоленске 1.6 и 1.5 сравнивал?
ingener
New member
Почему Спутник? Почему не связка Сhromium-gost+КриптоПро ЭЦП Browser Plug-in+CryptoPro Extension for CAdES Browser Plug-in.
Сhromium-gost активно пилят, 12 дней назад очередной релиз был. На Астру СЕ нормально установился, зависимостей чуток. Здесь обсуждение идет — https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=104430#post104430. Здесь про zakupki.gov.ru — https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=104871#post104871
это просто праздник какой-то. вход на budget.gov.ru оказался успешным с Сhromium-gost версия chromium-gost-75.0.3770.142-linux-amd64.deb на Ubuntu 18.04
на Astra Linux 1.5 браузер не установился.
AFilippov
New member
это просто праздник какой-то. вход на budget.gov.ru оказался успешным с Сhromium-gost версия chromium-gost-75.0.3770.142-linux-amd64.deb на Ubuntu 18.04 на Astra Linux 1.5 браузер не установился.
Молодец, держи 5 ! Про инструкцию не забудь, заодно шпаргалку себе сделаешь.
Сейчас сделал для себя открытие: и Спутник, и IFCPlugin изделия от Ростелекома, точнее https://www.rtlabs.ru. И у Спутника отдельная платная версия с ГОСТ-шифрованием https://browser.sputnik.ru/#corporate. Техподдержка, похоже, вся в соцесоточках сидит.
ingener
New member
Сейчас сделал для себя открытие: и Спутник, и IFCPlugin изделия от Ростелекома, точнее https://www.rtlabs.ru. И у Спутника отдельная платная версия с ГОСТ-шифрованием https://browser.sputnik.ru/#corporate. Техподдержка, похоже, вся в соцесоточках сидит.
для меня это не секрет. и вполне ясно, что и Yandex, и Спутник, и Chromium с ГОСТом и отдельно, все на одном движке — Google Chrome. Интересно, какую долю приложили наши разработчики (и наши ли они).
но это все лирика! Chromium-gost встал без проблем на Ubuntu 18.04, Astra Linux (Орел). На Astra Linux 1.6 (Смоленск) встал, но криво — имеются ошибки зависимостей. одна особенность — на Ubuntu и Орле Chromium уже стоял.
почитаю (где-то видел) как поставить Chromium на Astra Linux 1.5
самое главное — Chromium взял из репозиторя deb-пакет, последней версии. Версия 75.0.3770.142 (Официальная сборка), stable (64 бит)
Доступ в личные кабинеты ФГИС (ЕИС, ГМУ, Электронный бюджет и т.д.)
О наболевшем
Подскажите у кого-нибудь получилось зайти в личный кабинет ФГИС (любой, или той, что в названии темы)?
Какие ФГИС на данный момент совместимы с GNU Linux, а какие нет?
Blaze
New member
cogniter
Moderator
Blaze
New member
renbuar
New member
Montfer
New member
Что то похожее было, но на виндовозной машине: то ли сертификат сайта не вставал, то ли какой то компонент для портала
а на линуксе ни разу не настраивал эти ГИСы, может, там что то и отличается
renbuar
New member
Andrey, [05.10.18 11:28]
[В ответ на Дмитрий Давидович]
У них кривой сертификат сервера.
Диагностировать можно так:
[root@test-x64-centos7 ~]# /opt/cprocsp/bin/amd64/csptestf -tlsc -server zakupki.gov.ru -v -nosave -savecert /tmp/t.p7b
[root@test-x64-centos7 ~]# /opt/cprocsp/bin/amd64/certmgr -list -file /tmp/t.p7b
=============================================================================
1——-
Issuer : E=uc_fk@roskazna.ru, S=г. Москва, INN=007710568760, OGRN=1047797019830, STREET=»улица Ильинка, дом 7″, L=Москва, C=RU, O=Федеральное казначейство, CN=Федеральное казначейство
Subject : INN=007710568760, OGRN=1047797019830, STREET=»ул. Проспект Мира, 105″, E=777@roskazna.ru, C=RU, S=г. Москва, L=Москва, O=Федеральное казначейство, CN=zakupki.gov.ru
Serial : 0x6F064FA71C24CD7E2CE6FAAEA927D8C7EC69A35F
SHA1 Hash : c369b560ce239beddb2fc12b4884dee1cfc923aa
SubjKeyID : 10c6d12e7cd886d022bcdfea4cbe10e32acf82bc
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Public key : 04 40 1b ce 0b 15 6a 4a 57 e0 1b d8 39 ee 86 83
32 70 ea db fd f5 39 c1 e6 de 3c c8 be 10 81 03
5d da 0b 3b 09 7a d3 0d 46 33 58 11 3b 20 94 99
fe 04 fe 8e e6 bc 32 53 ff 2e 71 10 8e e2 12 a1
52 cf
Not valid before : 21/12/2017 06:06:33 UTC
Not valid after : 21/03/2019 06:06:33 UTC
PrivateKey Link : No
Subject Alt Names
UPN : ▒㌴ (2.5.4.12)
URL : 0
CDP : http://crl.roskazna.ru/crl/ucfk.crl
CDP : http://crl.fsfk.local/crl/ucfk.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
.
При наличии расширения Subject Alt Names RFC требует сверять имя сервера с ним, а не с полем CN. Поэтому CN=zakupki.gov.ru отброшен, а в Subject Alt Names хрень.
Andrey, [05.10.18 11:35]
Но мы сделали параметр для отключения требований RFC6125, который может подвергнуть систему опасности для атак с подменой сертификатов:
[root@test-x64-centos7 ~]# /opt/cprocsp/sbin/amd64/cpconfig -ini ‘\config\parameters’ -add long Rfc6125_NotStrict_ServerName_Check 1
[root@test-x64-centos7 ~]# /opt/cprocsp/bin/amd64/csptestf -tlsc -server zakupki.gov.ru -nosave
HDEContext expired: OK if file is completely downloaded
Reply status: HTTP/1.1 200 OK
1 connections, 586 bytes in 0.186 seconds;
Total: SYS: 0,020 sec USR: 0,140 sec UTC: 0,230 sec
[ErrorCode: 0x00000000]