Установка «КриптоПро ЭЦП Browser plug-in» в ОС Linux (Ubuntu)

1 Нажать кнопку выдать и необходимо чтобы Рутокен был подключен к устройству на которое выдается ключ и сертификат.

Выбрать устройство Рутокен:

Проверка работы плагина в браузере

Google Chrome
Версия 61.0.3163.79 (Официальная сборка), (64 бит)

2 Выйдет уведомление о успешном подписании: Выполнено!
Отчет успешно подписан.

Где возможно через кнопку Загрузить, загрузить выбранный подписанный документ.

Загружается файл
Установка и настройка подписи ЭЦП через КриптоПро CSP на Linux(Ubuntu)
, который необходимо разархивировать.

Файл протокола, который подписан возможно проверить через средства приложения VipNet CryptoFile (Windows)
, нажать в приложении Открыть выбрать открыть подписанный файл в формате .pdf

и выбрать протокол в формате .sig

пример:

6.3 Сформировать отчет: Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider

Отчет о проверке ЭП

Время создания отчета:
01.03.17 22:54

(КЭЦП, КЭП). СКЗИ сертифицировано ФСБ и соответствует обновленному стандарту формирования и проверки ЭЦП – ГОСТ Р 34.10-2022.

В настоящее время есть три актуальных версии этого софта – 3.8, 4.0 и 5.0. Срок действия сертификата v.3.8 заканчивается в сентябре текущего года. Релиз 5.0 с расширенным набором опций на конец июля 2022 г. еще не сертифицирован и используется в тестовом режиме. Версия 4.0 регулярно обновляется и на текущий момент представлена уже 4-я сертифицированная сборка этого релиза (R4).

Криптографическая утилита функционирует в широком спектре операционных систем, и для каждой из них есть свои специфические нюансы. В этой статье подробно рассмотрим особенности использования Крипто Про для Линукс, Windows и Mac OS.

Поможем получить ЭЦП. Установим и настроим за 1 час.

Оставьте заявку и получите консультацию в течение 5 минут.

Загрузка

Архив с программным обеспечением (КриптоПро CSP 4.0) можно загрузить после предварительной регистрации:

• linux-ia32.zip (18 МБ, для i586)
• linux-amd64.zip (18 МБ, для x86_64)

Внимание! По умолчанию при скачивании с сайта КриптоПро выдаётся лицензия на три месяца

Запуск контрольной панели

(требует графического дисплея)

Извлечение подписанного файла

Для извлечения файла необходимо указать его имя в конце команды проверки подписи.

Импорт персонального сертификата

Вы можете импортировать собственный сертификат в локальный считыватель HDIMAGE.

Если у вас нет сертификата, самое время его создать:

Допустим, мы пошли по первому пути и создали сертификат web-server (делать это строго под правами root):

Сертификат по умолчанию будет лежать в /var/lib/ssl/certs/web-server.cert, а ключ ­— в /var/lib/ssl/private/web-server.key

Для импорта потребуется файл сертификата и закрытый ключ в контейнере PKCS#12.

Создадим для нашего ключа и сертификата необходимый контейнер:

Примечание:
При создании контейнера будет дважды запрошен пароль для экспорта. По соображениям безопасности вводимые символы не показываются. После ввода каждого пароля нажимайте Enter.

Проверка созданного контейнера (при запросе введите пароль, введённый в предыдущей команде):

И сертификат и ключ попали в контейнер.

После генерации сертификата проверим наличие считывателя:

Для импорта сертификата в КриптоПро используйте программу certmgr. В нашем случае:

Если Вам необходимо импортировать сертификат с токена:

Если контейнер защищен паролем используйте ключ -pin <пароль>

Криптопро для windows 10

СКЗИ для Windows применима для большинства сфер электронного документооборота, где требуется юридически значимая информация, заверенная (КЭЦП):

О криптопро

КриптоПро — линейка криптографических утилит (вспомогательных программ) — так называемых криптопровайдеров. Они используются во многих программах российских разработчиков для генерации ЭЦП, работы с сертификатами, организации структуры PKI и т.д.

Подключение и установка криптопро

sudo pcscd -adfffff

После запуска не закрывайте эту консоль – в ней можно будет видеть, как система взаимодействует со смарт-картой.

/opt/cprocsp/bin/amd64/list_pcsc

Утилита также должна «видеть» устройство:

Подключение токена к компьютеру

Теперь можно подключить Рутокен к USB-порту компьютера.

Для контроля правильности подключения выполните команду lsusb .

Пример правильного вывода:

Подпись

Для электронной подписи файла необходимо указать сертификат и имя подписываемого файла:

Примечание:
Проще всего для указания сертификата использовать адрес e-mail.

где

На выходе появляется файл zayavlenie.pdf.sig, содержащий как сам подписываемый файл, так и электронную подпись.

Получение сертификата в уц и его установка

Показать содержимое запроса:

Просмотреть полученный сертификат:

$ certmgr -list -file certnew.p7bCertmgr 1.0 (c) "CryptoPro", 2007-2022.
program for managing certificates, CRLs and stores
 
=============================================================================
1-------
Issuer  : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject  : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Serial  : 0x2B6E3351FD6EB2AD48200203CB5BA141
SHA1 Hash  : 0x046255290b0eb1cdd1797d9ab8c81f699e3687f3
SubjKeyID  : 15317cb08d1ade66d7159c4952971724b9017a83
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before  : 05/08/2022 13:44:24 UTC
Not valid after  : 05/08/2022 13:54:03 UTC
PrivateKey Link  : No
2-------
Issuer  : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject  : CN=Test User5, E=cas@altlinux.org
Serial  : 0x120012447FA7E652B76808CD7900000012447F
SHA1 Hash  : 0xcb8e7ca68bea0ffbbd84c326d565de68cd8a15f5
SubjKeyID  : 6f7507353601d6d943f1406aae60c21ab65190e0
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before  : 28/06/2022 10:22:36 UTC
Not valid after  : 28/09/2022 10:32:36 UTC
PrivateKey Link  : No
Extended Key Usage  : 1.3.6.1.5.5.7.3.4 1.3.6.1.5.5.7.3.2
=============================================================================
 
[ErrorCode: 0x00000000]

Установите сертификат удостоверяющего центра:

(нажмите 1)

Установите сертификат клиента (введите пароль на контейнер \.HDIMAGEtest при запросе):

(нажмите 2)

Примечания

Для работы с другими носителями нужно установить модули поддержки соответствующих устройств. Названия модулей: cprocsp-rdr-. К таким модулям относятся (cprocsp-rdr-
) emv
, esmart
, inpaspot
, mskey
, jacarta
, novacard
, rutoken
.

Скачанные пакеты необходимо разархивировать:

После при помощи команды установить пакеты:

sudo sh install_gui.sh

При котором откроется терминал с возможностью установки через GUI.

Лучше поставить пакеты вручную:

sudo dpkg -i lsb-cprocsp-devel_4.0.0-5_all.deb

sudo dpkg -i cprocsp-curl-64_4.0.0-4_amd64.deb

sudo apt-get install libpangox-1.0-dev

sudo dpkg -i cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb

sudo dpkg -i cprocsp-rdr-rutoken-64_4.0.0-4_amd64.deb

sudo dpkg -i ifd-rutokens_1.0.1_amd64.deb

sudo dpkg -i lsb-cprocsp-base_4.0.0-4_all.deb

sudo dpkg -i lsb-cprocsp-capilite-64_4.0.0-4_amd64.deb

Проверка лицензии

Проверить срок истечения лицензии можно командой (обратите внимание на строки Expires:):

Примечание:
Для версии КриптоПро CSP под Linux все лицензии считаются серверными, поэтому не смущайтесь строкой «License type: Server».

Для установки другой лицензии выполните (под root):

Примечание:
Серийный номер следует вводить с соблюдением регистра символов.

Проверка подписи

Для проверки подписи выполните:

Показано, кто подписывал и что подпись проверена.

Проверка цепочки сертификатов

Внимание! В кэше сертификатов для выпущенного сертификата должны присутствовать корневые сертификаты удостоверяющих центров. В противном случае он будет недоступен в плагине для браузера!

Таблица 3. Сертификаты популярных удостоверяющих центров.

Для проверки можно скопировать персональный сертификат в файл:

(нажмите C и Enter, чтобы выйти).

Запуск с отладкой цепочки:

То есть нам надо установить сертификат УЦ с CN=uc skb kontur (root):

После этого:

Всё в порядке и сертификат виден в плагине Cades.

Прописывание путей к исполняемым файлам

Чтобы каждый раз не вводить полный путь к утилитам КриптоПро:

• установите пакет cryptopro-preinstall и начните новый сеанс в консоли

или

Внимание! Если установлен пакет mono или mono4-devel, может быть конфликт по имени утилиты certmgr

Просмотр доступных контейнеров

Локальный контейнер создан.

Просмотр сертификатов

$ certmgr -list Certmgr 1.0 (c) "CryptoPro", 2007-2022.
program for managing certificates, CRLs and stores
 
=============================================================================
1-------
Issuer  : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject  : CN=Test User5, E=cas@altlinux.org
Serial  : 0x120012447FA7E652B76808CD7900000012447F
SHA1 Hash  : 0xcb8e7ca68bea0ffbbd84c326d565de68cd8a15f5
SubjKeyID  : 6f7507353601d6d943f1406aae60c21ab65190e0
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before  : 28/06/2022 10:22:36 UTC
Not valid after  : 28/09/2022 10:32:36 UTC
PrivateKey Link  : Yes
Container  : HDIMAGE\test.0002EF8
Provider Name  : Crypto-Pro GOST R 34.10-2001 KC1 CSP
Provider Info  : ProvType: 75, KeySpec: 1, Flags: 0x0
Extended Key Usage  : 1.3.6.1.5.5.7.3.4 1.3.6.1.5.5.7.3.2
=============================================================================
 
[ErrorCode: 0x00000000]

Работа с сертификатами в token-manager

token-manager предоставляет графический интерфейс управления ключевыми носителями и сертификатами. С помощью этой программы можно:

• просматривать подключенные ключевые носители (токены);
• изменять PIN-код ключевого носителя;
• устанавливать, просматривать и удалять сертификаты;
• просматривать и устанавливать лицензию КриптоПро.

Установка пакета token-manager

Запустить token-manager можно из командной строки:

• в рабочей среде Mate: Меню Система>>Администрирование>>Ключевые носители и сертификаты
• в рабочей среде KDE5: Меню запуска приложений>>Настройки>>Ключевые носители и сертификаты

Резюме

На основании анализа трех самых популярных систем можно сделать вывод, что самой удобной ОС для реализации ЦП в Крипто Про считается Windows. Для загрузки криптопровайдера не требуется особых знаний и навыков, достаточно следовать инструкции от разработчика.

Совместимость

По информации разработчика, с ALT Linux совместимы следующие продукты КриптоПро:

• КриптоПро CSP
• КриптоПро JCP
• КриптоПро HSM
• КриптоПро TSP
• КриптоПро OCSP
• КриптоПро ЭЦП Browser plug-in
• КриптоПро SSF
• КриптоПро Stunnel
• Браузер КриптоПро Fox

Примечание:
В репозитории доступен пакет firefox-gost, аналогичный КриптоПро Fox, с патчем от КриптоПро.

Создание запроса

Для создания запроса потребуется:

Создание контейнера

Примечание:
Для того, чтобы сертификат из контейнера можно было использовать через модуль pkcs11 (из пакета lsb-cprocsp-pkcs11) в браузере firefox-gost, необходимо создать его с -provtype 75 (поддержка ГОСТ-2001. Просмотреть доступные типы провайдеров можно командой cpconfig -defprov -view_type)

Создадим контейнер с именем «test» в локальном ридере HDIMAGE.

При установленном пакете cprocsp-rdr-gui-gtk будет показано графическое окно, где предложат двигать курсором мыши:

Примечание:
Если такой пакет не установлен, будет предложено ввести любые символы с клавиатуры

После показа окна будет предложено указать пароль на контейнер (можно указать пустой, тогда пароль запрашиваться не будет) и снова предложат двигать курсором мыши.

Удаление

Удалить сертификат под номером 1:

Удалить все сертификаты:

Управление ридерами

Ридеры (readers) — устройства размещения контейнеров (аппаратные токены, каталог для размещения файлов).

Просмотр доступных ридеров:

Ридер HDIMAGE размещается на /var/opt/cprocsp/keys/<имя пользователя>/

Инициализация ридера HDIMAGE (под правами root):

Установка «криптопро эцп browser plug-in» в ос linux (ubuntu)

Установка базовых компонентов криптопро

cd ~/Загрузки/
tar -xvf linux-amd64.tgz

Должна появиться папка с установочными файлами КриптоПро.

cd linux-amd64/

Дальнейшую установку нужно выполнять с правами администратора (root).

urpmi -a lsb-core ccid
./install.sh
rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*

Если пароль администратора неизвестен, можно использовать команду sudo ./install.sh , а затем – sudo rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-* , введя при этом пароль текущего пользователя (если у него есть на это права).

Для установки в графическом интерфейсе запустите файловый менеджерDolphin
с правами администратора, выполнив следующую команду:

Kdesu dolphin

В открывшемся окне щёлкните по файлу install.sh.

Установка графических компонентов

Если планируется использование (данный этап включён в инструкцию в ссылке), rosa-crypto-tool
или других программ и компонентов с графическим интерфейсом, необходимо установить ещё два пакета:

Urpmi pangox-compat && rpm -ivh cprocsp-rdr-gui-gtk*

Не следует устанавливать пакет cprocsp-rdr-gui
, т. к. в связке с cprocsp-rdr-gui-gtk
он нарушает работу графических компонентов.

Установка криптопро fox

КриптоПро Fox
– версия браузера Firefox, умеющая работать с КриптоПро.

Для удобства работы с КриптоПро Fox можно создать ярлык для его запуска на рабочем столе:

Установка пакетов

1. Распакуйте архив и перейдите в распакованную папку

2. Установите пакет cryptopro-preinstall:

Этот пакет установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП).

Примечание:
Пакет cryptopro-preinstall вытягивает зависимости libpangox-compat, opensc, pcsc-lite, pcsc-lite-rutokens, pcsc-lite-ccid.

Таблица 1. Описание необходимых пакетов КриптоПро.

3. Установите пакеты КриптоПро:

Под правами пользователя root установите базовые пакеты:

для поддержки токенов (Рутокен S и Рутокен ЭЦП):

Примечания:

Установка пакетов поддержки устройств

Пакеты поддержки токенов/ридеров/плат расширения находятся в архиве КриптоПро CSP; их названия начинаются с cprocsp-rdr-
. Если необходимо использовать определённое устройство (например, Рутокен ЭЦП), установите соответствующий пакет:

Sudo rpm -ivh cprocsp-rdr-rutoken*

Ещё в архиве есть пакеты с драйверами (ifd-*
). Их также следует установить при использовании соответствующих устройств. Например, для Рутокен S:

Sudo rpm -ivh ifd-rutokens*

Установка сертификатов

После установки пакетов появится возможность просматривать контейнеры на устройстве Рутокен. Например, чтобы узнать путь к требуемому контейнеру, выполните:

/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq

Для работы с сертификатами нужно установить сертификат удостоверяющего центра (в данном случае устанавливается непосредственно корневой сертификат) и сертификат Рутокен на локальное хранилище.

Установка корневого сертификата удостоверяющего центра:

.cer -store uRoot

Установка списка отозванных сертификатов:

/opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Загрузки/.crl

Установка цепочки промежуточных сертификатов:

/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/.p7b -store CA

Установка сертификата с рутокена:

/opt/cprocsp/bin/amd64/certmgr -inst -cont “” -store uMy

Подробнее о программе certmgr можно узнать .

Примечание
. Чаще всего расширение.cer соответствует сертификату, а.p7b – контейнеру, в котором может содержаться один или больше сертификатов (например, их цепочка).