С помощью RDP локальные пользователи смарт-карт могут получить доступ к домену КриптоПро и КриптоПро CSP

Установка центра сертификации (Standalone CA Windows Server 2019)

Непосредственно перед самой установкой коротко объясню особенности Standalone CA:

• Не интегрирован с Active Directory (а он нам и не нужен);
• Публикация сертификатов происходит через запрос на WEB-сайте. Путем автоматического или ручного подтверждения администратором ЦС (ЕМНИП, ЦС предприятия было добавлена такая возможность, не проверял её работу);
• Пользователь сам вводит идентификационную информацию во время запроса сертификата;
• Не поддерживает шаблоны сертификатов (из-за этого всплывут некоторые моменты, которые раскрою в процессе развертывания).

Измените имя компьютера до установки роли, после это будет сделать невозможно. «Далее (Next)» (рис. 2):

Рисунок 2. Уведомления при установки роли.

Добавляем роль в «Диспетчере серверов» (Server Manager), «Далее (Next)» (рис. 3):

Рисунок 3. Интерфейс «Диспетчера устройств» (Server Manager)

«Установка ролей и компонентов (Add roles and features wizard)». Нажимаем «Далее (Next)» – «Далее (Next)»;

«Тип установки: Установка ролей и компонентов (Installation type: Role-based or features-based installation». «Далее (Next)»;

«Выбор сервера (Server selection)». В нашем случае среди предложенных будет один сервер и имя компьютера. «Далее (Next)» (рис. 4);

Рисунок 4. «Выбор сервера (Server selection)»

«Роли сервера (Server roles). Здесь необходимо отметить две роли: Служба сертификатов Active Directory (Certificate Services Active Directory), Веб-сервер IIS (Web-server IIS);

Во всплывающем окне перечня нажимаем «Добавить компонент (Add features)» – «Далее (Next)»;

«Компоненты (Features) оставляем как есть — «Далее (Next)» ;

«Служба ролей (Role Services)» ЦС, необходимо выбрать:

• «Центр сертификации (Certification Authority)»,
• «Служба регистрации в центре сертификации через Интернет (Certification Authority Enrollment)»;

Сетевой автоответчик (Online responder) добавим уже после развертывания ЦА, в противном случае могут возникнуть проблемы.

В «Служба ролей (Role Services)» веб-сервера оставляем всё предложенное автоматически — «Далее (Next)»;

«Подтверждение (Confirmation).

На этом этапе запустится процесс установки роли.

После установки роли центра сертификации необходимо его настроить(рис. Выбираем:

«Настроить службы сертификатов Active Directory (Configure Active Directory-Certificate Services)

Рисунок 5. Уведомление о необходимости настройки центра сертификации

Выбираем установленные службы ролей для настройки (Select role services to configure) ЦС: «Центр сертификации (Certification Authority)», «Служба регистрации в центре сертификации через Интернет (Certification Authority Enrollment)»;

При выборе центра сертификации появится окно выбора ключевого носителя – КриптоПРО CSP, в качестве носителя для создания контейнера cngWorkAround используем хранилище ключей реестра Windows – Реестр. (рис

Рисунок 6. Выбор ключевого носителя – КриптоПРО CSP

Указываем вариант установки ЦС (Specify the setup type of the CA): Автономный центр сертификации (Standalone CA). «Далее (Next)»;

Указываем тип ЦС (Specify the type of CA) – Корневой ЦС (Root CA). «Далее (Next)»;

Необходимо создать закрытый ключ ЦС, чтобы он мог создавать и выдавать их клиентам. Для этого выбираем «Создать новый закрытый ключ (Create a new private key)».

В качестве поставщика службы шифрования выбираем один из трёх предложенных (не забывайте, что 2001 год уже устарел) Crypto-Pro GOST R 34. 10-2012 Strong Cryptographic Service Provider с длиной 512 и открытого ключа 1024 бита. (рис

Рисунок 7. Выбор криптопровайдера

Укажите имя центра сертификации и суффиксы различающего имени, данные суффиксы будут отображаться в составе сертификата в графе «Издатель (Issuer)».

СN = Certificate Name, O = Organization, L = Locale, S = Street, C = Country, E = E-mail; (рис

Указываем необходимый «срок годности (validaty period)» корневого сертификата (в нашем случае было выбрано 15 лет). «Далее (Next)»;

Указываем расположение баз данных сертификатов (certificate database location). «Далее (Next)»;

В окне «Подтверждения (Confirmation) сверяем введённую информацию – «Настроить (Configure)»

Появится окно выбора носителя для создания контейнера нашего ЦС.

Где хранятся сами контейнеры ключей:

Реестр: (в качестве хранилища ключей используется реестр Windows), путь хранения контейнеров ключей следующий:Ключи компьютера: HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCryptoProSettingsKeys

Далее откроется окно генерации начальной последовательности с помощью биологического ДСЧ. Для генерации случайной последовательности перемещайте указатель мыши или нажимайте различные клавиши.

После введите пароль на доступ к закрытому ключу.

Далее появится окно результатов об успешной установке компонентов (рис

Рис. Результаты установки

Настройка веб-сервера IIS

Теперь необходимо выполнить некоторые настройки веб-сервера: прицепить сертификат (самоподписанный или выпущенный нашим же ЦА). Кстати, он уже работает. В качестве примера выпустим самоподписанный сертификат.

Откроем Диспетчер служб IIS (Manager IIS) — Сертификат сервера (Server Certificates) (рис. 9);

В открывшемся окне в панели «Действия (Actions)» выберем – «Создать самоподписанный сертификат (Create Self-Signed Certificate);

Выбираем тип «Личный (Personal) и указываем «Имя сертификата (Friendly Name)»

Рисунок 9. Диспетчер служб IIS (IIS Manager)

Также сертификат вы можете выпустить следующим образом:На этой же панели создайте запрос (Create certificate request) для выпуска сертификата через наш ЦА и дальнейшей его загрузки в IIS (Complete Certificate Request). Но это по желанию.

Пример запроса (request) для формирования запроса вручную

В целом с веб-сервером мы закончили, в default web site вы можете увидеть, что были автоматически созданы virtual directory и applications «CertSrv». При желании можно создать отдельную виртуальную директорию под CRL’ки.

Установка сетевого ответчика (Online responder)

А вот мы и вернулись к установке автоответчика.

Добавляем роль в «Диспетчере серверов» (Server Manager) – «Далее (Next)»

Установка ролей и компонентов (Add roles and features wizard)» – «Далее (Next)»;

«Роли сервера (Server roles), раскрываем роль: Служба сертификатов Active Directory (Certificate Services Active Directory); и устанавливаем галочку на «Сетевой ответчик» (Online Responder)

Завершаем работу с мастером ролей и компонентов, путём односмысленных нажатий «Далее (Next)».

В IIS была добавлена Applications: ocsp. Только не пугайтесь, что сама по себе директория пустая. Так и должно быть.

Нам осталось настроить центр сертификации и выпустить сертификат на OCSP.

Настройка центра сертификации

В «Диспетчере серверов (Server manager)» – выбираем «Служба сертификации Active Directory (AD CS) – правой клавишей по вашему серверу и открываем: «Центр сертификации (Certification Authority).

Вы попали в оснастку управления центром сертификации: certsrv.

Выбираем ваш центр сертификации и открываем свойства (рис. 10):

Рисунок 10. Настройка центра сертификации. Оснастка управления центром сертификации certsrv.

Следующим важным шагом выступает настройка точек распространения CDP и AIA.

Authority Information Access (AIA) — содержит ссылки на корневой сертификат центра сертификации (Certification Authority)

CRL Distribution Point — содержит ссылки на файлы CRL, которые периодически публикует сервер CA, который издал рассматриваемый сертификат. Этот файл содержит серийные номера и прочую информацию о сертификатах, которые были отозваны. (рис. 11)

Мы используем веб-сервер, который доступен как внутри сети, так и из интернета (так как сертификаты могут использоваться пользователями интернета) по одному и тому же URL.

В разделе свойства переходим в «Расширения (Extensions):

Удаляем ненужные точки распространения и оставляем локальную и внешнюю ссылку для CDP:

Ставим галочки «Включить в CRL. Включить в CDP (Include in CRL. Include in the CDP)».

Ставим галочку: «Включать в AIA- расширение выданных сертификатов (Include in the AIA extension of issued certificates)»

Ставим галочку: «Включать в расширение протокола OCSP (Include in the online certificate status protocol (OCSP) extension)»

Рисунок 11. Настройка точек распространения AIA и CRL

В свойствах центра сертификации можно настроить автоматический выпуск сертификатов при поступившем запросе. Так вы исключаете возможность проверки указанных требуемых полей сертификатов. Для этого перейдите в «Модуль политик (Policy Module)» — «Свойства (Properties)» и выберите соответствующий пункт:

В первом случае сертификату присваивается режим ожидания, а одобрение выпуска сертификата остается за администратором;

Во втором случае из-за отсутствия шаблонов в Standalone CA сертификаты будут выпускаться автоматически. (рис. 12)

Рисунок 12. Дополнительные настройки ЦС для автоматического выпуска сертификатов

Да, центр сертификации уже функционирует и доступен по указанному dns-имени. Не забудьте открыть 80 и 443 порты для функционирования веб-сервера и online-reposnder’a, настройкой которого мы займёмся далее.

При переходе по ссылке извне в IE необходимо добавить наш веб-сервер в «Надежные сайты (Trusted Sites)» в настройках в пункте «Безопасность». Не забудьте, что должен быть установлен КриптоПро CSP, в ином случае при выпуске сертификата вам не будет доступен выбор ГОСТовского криптопровайдера (рис. 13).

Рисунок 13. Веб-интерфейс центра сертификации. Формирование запроса. Правильное отображение

Вернёмся в оснастку certsrv к нашему центру сертификации и настроим выпуск разностных CRL. Для этого необходимо открыть «Свойства (Properties)» раздела «отозванных сертификатов (Revoked Certificates)» (рис. 14).

Задаём «Интервал публикации CRL (CRL Publications interval)».

Включаем публикацию разностных CRL и задаём интервал.

Кажется, что все хорошо. Но есть один момент:

Выполните следующую команду в power shell:

Рисунок 14. Настройка параметров публикации CRL.

Проверка аутентификации под пользователем в домене без Рутокена

Криптопровайдеры

Де-факто стандартом отрасли является класс криптосредств, известных как криптопровайдеры. Криптопровайдер — это предоставляющая специальный API и специальным образом зарегистрированная в ОС библиотека, которая позволяет расширить список поддерживаемых в ОС криптоалгоритмов.

Следует отметить, что несовершенство предлагаемых MS Windows механизмов расширения вынуждает разработчиков криптопровайдеров дополнительно модифицировать высокоуровневые криптобиблиотеки и приложения MS Windows в процессе их выполнения для того, чтобы «научить» их использовать российские криптоалгоритмы.

Следует понимать, что не все СКЗИ одного вида реализуют полный объем функциональности, приведенный в таблицах. Для уточнения возможностей криптосредств следуют обратиться к производителю.

• Отсутствие нормальной кроссплатформенности;
• Установка с правами администратора, настройка;
• Установка обновления Windows может потребовать обновления провайдера;
• Необходимость встраивания в приложения посредством модификации кода «на лету»;
• CSP — неродной интерфейс для не-Windows-приложений.

• Широкий охват Windows-приложений;
• Богатый инструментарий для разработчиков защищенных систем;
• Апробированная на большом количестве проектов технология.

Как получение ЭЦП происходило в прошлом году

Необходимо было обратиться в любой удостоверяющий центр, платить сам рутокен и лицензию криптопро, и в течение двух рабочих дней вы получали уже ЭЦП и могли сразу же работать на государственных площадках.

В этом году все изменилось.

С 1 января 22 года единственным удостоверяющим центром стала налоговая инспекция.

Чем это для нас, для предпринимателей, вылилось? Сейчас, чтобы получить ЭЦП, необходимо:

Ввиду наших всех ковидных ограничений максимальный срок через который вы попадете – это две недели. Но если вы такие же торопыжки как мы, то есть способ получить цифровую подпись гораздо быстрее.

Срочное получение ЭЦП – инструкция

Первое что необходимо сделать – это приобрести рутокен. Стоит он 1990 рублей приобретается в любом удостоверяющем центре Которые были, собственно, прошлом году. Мы пользуемся ЕЭТП.

Сам рутокен выглядит вот таким образом: ни чем не отличается от обычной флешки.

Купите лицензию криптопро

Также для работы и ЭЦП необходимо приобрести лицензию криптопро, стоит она 2 600₽. Лицензия покупается пожизненно, то бишь я не нужно будет в следующем году продлевать.

После того как у вас есть ЭЦП и непосредственно лицензия криптопро.

Определитесь с удостоверяющей организацией

Есть три удостоверяющих организаций, которые позволят вам получить ЭЦП без прихода в налоговую – это сбербанк, это втб, это почта банк.

Мы счастливые обладатели расчетного  счета в сбербанке, поэтому работали через них.

Получение Электронно цифровой подписи на примере Сбербанка

Для этого необходимо:

• зайти в личный кабинет сбера,
• зайти в раздел “документооборот” – личный кабинет,
• получить ЭЦП,
• загрузить в контейнер.Именно по таким шагам. В принципе у самого сбербанка есть инструкция как это сделать.
• После того как мы зашли в данный раздел идет проверка программного обеспечения. Прямо по пунктам сам браузер подсказывают что нужно установить. И один из пунктов будет криптопро, к нему мы вернёмся чуть чуть попозже.
• Вы подписали заявление, ожидайте примерно 30 минут и у вас ваше заявление одобряют.
• После чего необходимо обратиться в ближайшее отделение сбербанка бизнес. Лично. Приехать с паспортом либо уставными документами. Подписать заявление на того что вы хотите получить электронно-цифровую подпись. Занимает примерно 30 минут.
• После этого возвращаетесь к рабочему месту. И в течение четырех часов сбербанк вместе с удостоверяющим центром дают свое одобрение на выпуск эцп. Заходите в личный кабинет сбербанка и нажимаете “активировать”.

Все, вы счастливый обладатель электронно-цифровой подписи.

17 февраля 2022, 15:17
  
Антон Соснин

  
0
  
0

1

Главная

Что такое ГУЦ?

Информационная система головного удостоверяющего центра

• Создание и контроль актуальности сертификатов электронной подписи аккредитованных удостоверяющих центров
• Выполнение проверок сертификатов электронной подписи

Ссылка на систему: e-trust. gosuslugi

Как подключиться к СМЭВ?

Для подключения к СМЭВ необходимо направить заявку на присоединение к Регламенту СМЭВ. Оригинал заявки направляется в Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (125375, г. Москва, ул. Тверская, д. 7) с сопроводительным письмом на бланке организации. Дополнительно посредством личного кабинета Ситуационного центра необходимо создать запрос на подключение к СМЭВ приложив скан-копию направленной заявки на присоединение.

Территориальные органы/структурные подразделения не являются Участниками взаимодействия. Взаимодействие со СМЭВ структурных подразделений осуществляется через головную организацию. Взаимодействие внутри организации производится по внутренним каналам Участника взаимодействия.

На основании чего требуется электронный адрес smev@<домен организации>?

В соответствии с п. 1 Регламента СМЭВ 2. х и п. 1 Регламента СМЭВ 3

Почему для подключения функционала регламентации доступа по электронной подписи информационной системы (ЭП-ОВ) на отдельном сервисе Поставщика, зарегистрированном в СМЭВ, необходима перерегистрация сервиса?

В СМЭВ не поддерживается режим, при котором для электронного сервиса Поставщика, зарегистрированного в СМЭВ, для одних потребителей применяются механизмы регламентации доступа по электронной подписи информационной системы (ЭП-ОВ), а для других – нет. В связи с этим, в случае необходимости настройки функционала регламентации доступа по электронной подписи информационной системы (ЭП-ОВ), существующий сервис Поставщика оставляют в эксплуатации до его отключения, одновременно инициируя перерегистрацию сервиса на основании обновленных Поставщиком руководства пользователя электронного сервиса и паспорта электронного сервиса. При перерегистрации в СМЭВ электронному сервису присваивается новый идентификатор (SID). Новый идентификатор сервиса сообщается Поставщику, и информация о версии сервиса с подключенным функционалом регламентации доступа по электронной подписи информационной системы (ЭП-ОВ) публикуется на технологическом портале СМЭВ.

После перерегистрации сервиса с подключенным функционалом регламентации доступа по электронной подписи, Оператор СМЭВ и Поставщик должны обеспечивать доступность ранее зарегистрированной версии сервиса Поставщика до тех пор, пока все Потребители сервиса не подтвердят готовность взаимодействовать с сервисом Поставщика по новому адресу в СМЭВ. Оператор СМЭВ по согласованию с Участниками может инициировать деактивацию старой версии сервиса без подключенного функционала регламентации доступа по электронной подписи в согласованные со сторонами сроки.

Как следует предоставлять контрольные примеры для электронных сервисов, содержащие электронную подпись?

В связи с тем, что при редактировании документа значение электронной подписи, вычисленной на основе сообщения при отправке, может быть легко изменено, в дополнение к тексту контрольных примеров, содержащихся в руководстве пользователя электронных сервисов, Поставщик должен предоставить файлы контрольных примеров в виде отдельных файлов. Для удобства, документы по отдельному электронному сервису необходимо предоставлять в едином zip-архиве, содержащем:

• Паспорт электронного сервиса;
• Руководство пользователя электронного сервиса;
• Контрольные примеры в виде отдельных файлов (электронные сообщения-примеры должны содержать электронную подпись ЭП-ОВ);
• ЭП информационной системы, используемой для подписания электронных сообщений, передаваемых сервисом в ответ на поступающие запросы других Участников информационного взаимодействия.

Как правильно оформить заявку на доступ к электронному сервису?

Наименование Участника информационного взаимодействия в СМЭВ, ОГРН – Потребителя информации, запрашивающего доступ;

Наименование и мнемонику информационной системы Потребителя, интерфейсом которой является электронный сервис, который будет обращаться к запрашиваемому сервису Поставщика. Мнемоника ИС – это буквенно-цифровой код информационной системы Участника информационного взаимодействия, который присваивается ИС в процессе ее регистрации в СМЭВ;

Наименование Поставщика информации в СМЭВ – Поставщика электронного сервиса, к сервису которого запрашивается доступ;

Реквизиты нормативных правовых актов, с указанием конкретных пунктов (частей, статей), подтверждающих основание получения доступа к электронному сервису (федеральные законы, постановления Правительства Российской Федерации, приказы Участника информационного взаимодействия об утверждении административных регламентов, соглашения об информационном обмене, иные правовые акты, предусматривающие информационное взаимодействие);

Таблицу с указанным уровнем доступа к электронному сервису (полный уровень доступа ко всем операциям электронного сервиса или доступ к конкретным операциям электронного сервиса, перечисленным в таблице);

Подпись уполномоченного лица Потребителя, заверенную соответствующей гербовой печатью.

Технологические работы

В связи с проведением технологических работ возможны перерывы с доступом к
Ситуационному Центру в период с 23:00 14. 2022 по 05:00 15. 2022
(UTC/GMT+3).

14 Июль 2022

В связи с проведением технологических работ возможны перерывы с доступом к
Ситуационному Центру в период с 23:00 05. 2022 по 05:00 06. 2022
(UTC/GMT+3).

05 Июль 2022

Настройка OCSP — сетевого ответчика (Online responder)

Так как у Standalone центра сертификации нет шаблонов, нам необходимо вручную сформировать запрос и выпуск сертификата для конфигурации отзыва (Array configuration) в «Управление сетевым ответчиком (Online responder management). Для это используйте следующую конфигурацию для формирования запроса

Создайте: ocsp. txt cо следующим внутренним содержанием:

Откройте командную строку cmd. Перейдите в директорию с текстовым файлом или в будущем просто укажите полный путь при формировании запроса.

Узнаем, на какой срок сейчас выпускаются сертификаты. Для этого воспользуемся командой – certutil –getreg caalidityperiodunits

Результат — на рис.

Рисунок 15. В текущей конфигурации сертификаты выпускаются на один год

Изменим длительность выпуска сертификата:

#Изменение выпуска сертификатов с текущего состояния на длительность в 5 лет
certutil -setreg caValidityPeriodUnits 5
#Перезапуск сервера
net stop certsvc
net start certsvc

Сформируем запрос и выпустим сертификат для сетевого автоответчика (рис 16

Во время конфигурирования запроса выбираем место хранения контейнера ключа и проходим процедуру ДСЧ.

Рисунок 16. Выпуск сертификата для сетевого автоответчика

Экспортируем сертификат из центра сертификации и устанавливаем его в личные сертификаты локального компьютера.

После запроса сертификата открываем оснастку: Certificates (Run – MMC – Add or remove Snap-ins – Certificate),

Выбираем сертификат, выданный для сетевого ответчика. Нажимаем правой клавишей и открываем «Все задачи (Управление закрытыми ключами (All Tasks – Manage Private keys)».

Это нужно сделать, так как служба OCSP работает от лица Network Service.

Рисунок 16. Настройка сертификата для  работы сетевого ответчика

Далее переходим в настройки самого сетевого ответчика. (рис. 17)

Нам необходимо добавить «Конфигурацию отзыва (Revocation Configuration) – «Добавить»

Предстоит небольшой процесс настройки конфигурации отзыва.

Введите имя конфигурации – «Далее».

Выбираем второй пункт: «Выбрать сертификат в локальном хранилище сертификатов (Select a certificate from the local certificate store)» – «Далее».

В следующем окне нажимаем «Обзор (Browse)» и выбираем корневой сертификат нашего ЦА – «Больше вариантов (More choices)». (рис. 17) – «Далее».

В следующем окне выбираем «Выбрать сертификат подписи вручную (Manually a signing sertificate)

Рисунок 17. Управление сетевым ответчиком. (online responder management)

Рисунок 18. Прикрепляем конфигурации корневой сертификат ЦА

Осталось прицепить к нашей конфигурации выпускаемый ранее сертификат и проверить некоторые моменты.

Переходим в «Конфигурацию массива(array configuration)», выбираем конфигурацию и нажимаем «Назначить сертификат подписи (Assign Signing Certificate)». В появившемся окне нужно просто нажать «ОК».

Теперь необходимо «Обновить конфигурацию массива». Для этого выбираем «Конфигурация массива (Array configuration) – «Обновить (Refresh)»

После всех этих действий главное окно оснастки ocsp должно выглядеть так, как на рисунке 19.

Рисунок 19. Итоговый результат о работе сетевого ответчика

В процессе самостоятельной настройки «сетевого ответчика» может возникнуть много вопросов, особенно если нет опыта работы с Standalone центром сертификации, в котором отсутствуют шаблоны, без которых можно обойтись, но пути становятся длиннее в исполнение. Кстати говоря, если после прикрепления сертификата вы не получили заветное Working, то проверьте следующее (рис. 20, 20. 1):

Рисунок 20. Переходим в редактирование свойств конфигурации отзыва

Рисунок 20. Проверяем что в разделе «Подписи» выбран ГОСТ алгоритм шифрования

Чтобы проверить работу центра сертификации и сетевого автоответчика, выпустите сертификат для конечного пользователя, установите его и экспортируйте в какую-нибудь директорию. А после воспользуйтесь утилитой: Certutil –url /patch/test. crt

Для подробного отчёта вы можете воспользоваться: certutil –verify –urlfetch /patch/test. crt

На этом краткое руководство по развертыванию собственного центра сертификации подошло к концу. Я постарался рассказать о большинстве трудностей и нюансов, с которыми можно столкнуться в процессе работы. Надеюсь, это руководство поможет вам.

Что ещё интересного есть в блоге Cloud4Y

Настройка автоматического создания домашней директории

Когда доменный пользователь аутентифицируется в системе необходимо чтобы для него автоматически создавался домашний каталог.

Это можно сделать в настройках pam. Для этого в файле

/etc/pam. d/common-session для систем основанных на Debian

/etc/pam. d/system-auth для систем основанных на Red Hat

/etc/pam. d/system-auth-sss-only для пользователей Alt linux

активируем модуль pam_mkhomedir. so, после pam_sss. Содержимое файла будет выглядеть следующем образом:

session optional pam_sss. so
session required pam_mkhomedir. so skel=/etc/skel/ umask=0022.

Установка сертификата

Перед тем как реализовывать код, необходимо установить сертификат и убедится что он нормально работает.

Компонент КриптоПро CSP версии 3. 9 был установлен в Centos 7 в папку /opt/cprocsp. Для того, чтобы не было конфликтов между утилитами mono и КриптоПро, имеющих одинаковые названия (например, certmgr), в переменные окружения не стали вносить путь до папки и все утилиты вызывались по полному пути.

Если среди списка нет считывателя с папки на диске (HDIMAGE) ставим его:
/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add HDIMAGE store

Установленный сертификат можно увидеть с помощью следующей команды:
/opt/cprocsp/bin/amd64/certmgr -list mMy

Если с сертификатом все нормально, то можно переходить к подключению в коде.