- Создаём ключевой контейнер:
- Установка не отличается сложностью
- Проверяем лицензию
- Устанавливаем, полученный от УЦ сертификат, в указанный ключевой контейнер:
- Добавляем считыватель:
- Просмотр списка настроенных считывателей:
- Cryptopro jcp на linux. как легко и безболезненно перейти на новый стандарт шифрования
- Dnssec
- Epm 11.1.2.4 configuration – deploy to application server failed
- Registry lock
- What can you do?
- Как настроить утилиты по работе с электронной подписью в linux
- Как установить крипто про и расширения для языка php
- Как установить криптопро на windows 10
- Как установить криптопро на windows 7
- Крипто про mint установка
- Криптопро — alt linux wiki
- Крипто-про на linux centos 6
- Криптопро: linux — установка
- Криптопро: mac os — установка
- Настройка «криптопро» csp
- Настройка криптопровайдера[править]
- Настройка оборудования[править]
- Настройка работы с рутокен эцп 2.0
- О криптопро[править]
- Обновление криптопро[править]
- Обновление[править]
- Поддерживаемые unix-подобные операционные системы для версий криптопро 3.6, 3.9, 4.0
- Поддерживаемые операционные системы windows для версий криптопро 3.6, 3.9, 4.0
- Получаем тестовый сертификат
- Проверка версии[править]
- Проверка лицензии[править]
- Прописывание путей к исполняемым файлам[править]
- Собираем libphpcades
- Совместимость[править]
- Создание контейнера[править]
- Удаление криптопро[править]
- Управление дсч[править]
- Управление носителями[править]
- Управление считывателями[править]
- Установка криптопро csp[править]
- Установка криптопро на windows, linux и mac os
- Установка пакетов[править]
- Установка[править]
- Вставляем ключ eToken и проверяем вывод list_pcsc:
- C (cpp) netdata_mutex_init примеры использования – hotexamples
Создаём ключевой контейнер:
# ./csptest -keyset -newkeyset -cont ‘\.HDIMAGEBank’ |
# ./csptest -keyset -newkeyset -cont ‘\.HDIMAGEBank’
Установка не отличается сложностью
В первом случае есть скрипт для инсталляции, во втором необходимо поставить RPM пакет (токен до момента установки драйверов необходимо извлечь из сервера).
В процессе установки под CentOS 6.5, мне также понадобился модуль поддержки eToken (cprocsp-rdr-jacarta-3.6.1-3.6.219-1.x86_64) идет в поставке КриптоПРО 3.6.
rpm -i cprocsp-rdr-jacarta-3.6.1-3.6.346-1.x86_64.rpm |
rpm -i cprocsp-rdr-jacarta-3.6.1-3.6.346-1.x86_64.rpm
3. После установки, прописываем переменные окружения, или перемещаемся в папку «/opt/cprocsp/»
export PATH=»$PATH:$(ls -d /opt/cprocsp/{s,}bin/*|tr ” ‘:’)» |
export PATH=»$PATH:$(ls -d /opt/cprocsp/{s,}bin/*|tr ” ‘:’)»
Проверяем лицензию
С сайта КриптоПро выдаётся лицензия на три месяца.
# cpconfig -license -viewServer license:36360-U0030-01C97-HQ92Y-#####Expires: 3 month(s) 0 day(s)Client license:36360-U0030-01C97-HQ92Y-#####Expires: 3 month(s) 0 day(s) |
# cpconfig -license -view Server license: 36360-U0030-01C97-HQ92Y-##### Expires: 3 month(s) 0 day(s) Client license: 36360-U0030-01C97-HQ92Y-##### Expires: 3 month(s) 0 day(s)
Устанавливаем, полученный от УЦ сертификат, в указанный ключевой контейнер:
# ./certmgr -inst -store uMy -file certnew.cer -cont ‘\.HDIMAGEBank’ |
# ./certmgr -inst -store uMy -file certnew.cer -cont ‘\.HDIMAGEBank’
Добавляем считыватель:
# ./cpconfig -hardware reader -add «AKS ifdh 00 00″Adding new reader:Nick name: AKS ifdh 00 00Succeeded, code:0x0 |
# ./cpconfig -hardware reader -add «AKS ifdh 00 00» Adding new reader: Nick name: AKS ifdh 00 00 Succeeded, code:0x0
Просмотр списка настроенных считывателей:
Nick name: AKS ifdh 00 00Connect name:Reader name: AKS ifdh 00 00 Nick name: FLASHConnect name:Reader name: FLASH Nick name: HDIMAGEConnect name:Reader name: ��������� ������� �� ������� ����� |
Nick name: AKS ifdh 00 00 Connect name: Reader name: AKS ifdh 00 00 Nick name: FLASH Connect name: Reader name: FLASH Nick name: HDIMAGE Connect name: Reader name: ��������� ������� �� ������� �����
Первый ридер «AKS ifdh 00 0» — это наш токен, последний — локальное хранилище. Контейнеры HDIMAGE живут по адресу «/var/opt/cprocsp/keys//»
Cryptopro jcp на linux. как легко и безболезненно перейти на новый стандарт шифрования
С 2020 года использование шифрования по ГОСТ Р 34.10—2001 окажется под запретом, а значит, все организации, которые взаимодействуют с госструктурами, вынуждены срочно внедрять следующий стандарт — 2021 года. Если ты работаешь в одной из них, то не проходи мимо: в этой статье мы поговорим о том, как решить проблему, используя сервер на CentOS 7 и пакет CryptoPro JCP.
Если же ты впервые слышишь обо всем этом, то вот небольшая историческая справка.
В 1994 году в ФСБ разработали ряд стандартов и мер, призванных защитить обмен документами между организациями и другими участниками этого процесса. Одной из таких мер безопасности стала электронная цифровая подпись документов, а одним из стандартов — ГОСТ Р 34.
На смену пришел всем известный ГОСТ Р 34.10—2001 — улучшенный стандарт, разработанный для обеспечения большей стойкости алгоритма. Но время не стоит на месте, меняются алгоритмы и методы криптозащиты, и спустя одиннадцать лет ГОСТ Р 34.10—2001 меняют на ГОСТ Р 34.10—2021.
В новом стандарте первый вариант требований к параметрам остался прежним. Длина секретного ключа составляет порядка 256 бит, и предусмотрено использование хеш-функции с длиной хеш-кода 256 или 512 бит. Главное же отличие нового стандарта — варианты с дополнительными параметрами и схемами, в том числе хешированием по стандарту ГОСТ Р 34.11—2021 «Стрибог».
В феврале 2021 года ФСБ объявила о начале перехода на использование нового национального стандарта ГОСТ Р 34.10—2021 в средствах электронной подписи для информации, не содержащей сведений, составляющих государственную тайну. В свет вышел документ за номером 149/7/1/3-58 от 31 января 2021 года «О порядке перехода к использованию новых стандартов ЭЦП и функции хэширования», он устанавливал следующие требования.
- После 31 декабря 2021 года прекратить сертификацию средств электронной подписи на соответствие требованиям к средствам электронной подписи, утвержденным приказом ФСБ России от 27.12.2021 года №796, если в этих средствах не предусматривается реализация функций в соответствии с ГОСТ Р 34.10—2021.
- После 31 декабря 2021 года запретить использование ГОСТ Р 34.10—2001 для формирования электронной подписи.
Министерство связи даже создало план по переходу на стандарт (PDF). Однако на практике оказалось, что все не так просто, и переход пришлось отложить аж до 31 декабря 2021 года. Причины следующие.
- Многие государственные и муниципальные органы не готовы перейти на использование нового стандарта электронной подписи ГОСТ-2021 из-за отсутствия поддержки на уровне ПО.
- Чтобы выпускать сертификаты нового образца, необходимо оборудование, которое поддерживает новый ГОСТ, и сертификат Головного удостоверяющего центра, сформированный с использованием ГОСТ-2021. Удостоверяющие центры получили его только летом 2021 года. Необходимо дополнительное время, чтобы выпустить сертификаты для всех пользователей.
Сейчас в ходу два стандарта криптозащиты для работы ЭЦП, но тем, кто использует ГОСТ-2001, срочно нужно что-то предпринимать. Зима, как говорится, близко, а это значит, что нас ждет череда испытаний при внедрении поддержки ГОСТ-2021.
Я расскажу, как развернуть сертифицированное ФСБ средство СКЗИ (CryptoPro JCP) на сервере Linux под управлением Java JDK. Кстати, если ты до сих пор используешь ГОСТ-2001, на сайте CryptoPro есть замечательная статья, советую тебе ее прочесть, лишним не будет.
Весь документооборот между участниками обмена происходит по принципу СМЭВ (система межведомственного электронного взаимодействия). Приложение может быть участником такой системы, но может и не быть им вовсе, принцип обмена документами от этого не меняется. Для простоты понимания я нарисовал небольшую схему.
Взаимодействие приложений при обмене данными с криптографической защитой в рамках СМЭВ
Dnssec
Shortly after pointing e-hawk.net’s DNS settings to a server they controlled, the attackers were able to obtain at least one encryption certificate for the domain, which could have allowed them to intercept and read encrypted Web and email communications tied to e-hawk.net.
But that effort failed because E-HAWK’s owners also had enabled DNSSEC for their domains (a.k.a. “DNS Security Extensions”), which protects applications from using forged or manipulated DNS data by requiring that all DNS queries for a given domain or set of domains be digitally signed.
Epm 11.1.2.4 configuration – deploy to application server failed
Hi All,
Trying to install an configure EPM 11.1.2.4, shared services only.
Install was ok but the configuration fails with “deploy to application server failed” messages.
I had a look at the log files found here “<EPM_path>Middlewareuser_projectsepmsystem1diagnosticslogsconfig” and the errors I found were:
Unable to reset lock on EPM Registry. Root cause: Closed Connection
( Mar 04, 2021 11.16.39 PM ): Pass [000 min 11 sec] [INI] Init Tool
( Mar 04, 2021 11.16.39 PM ): Pass [000 min 58 sec] [GUI] GUI Wizard
( Mar 04, 2021 11.22.52 PM ): Fail [006 min 02 sec] [APP] Hyperion Foundation – Deploy to Application Server
( Mar 04, 2021 11.22.52 PM ): Fail [000 min 00 sec] [APP] Performance Management Architect – Deploy to Application Server
( Mar 04, 2021 11.22.52 PM ): Fail [000 min 00 sec] [APP] Performance Management Architect – Deploy to Application Server
( Mar 04, 2021 11.22.52 PM ): Fail [000 min 00 sec] [APP] Calculation Manager – Deploy to Application Server
( Mar 04, 2021 11.22.52 PM ): Fail [000 min 00 sec] [APP] Workspace – Deploy to Application Server
[2021-03-04T23:22:52.582 00:00] [EPMCFG] [ERROR] [EPMCFG-01020] [oracle.EPMCFG] [tid: 22] [ecid: 0000LD3umvjFw0WFLzjO8A1MqXSZ000005,0] [SRC_CLASS: com.hyperion.hit.tool.deploy.ant.wrappers.ScriptTaskWrapper] Error: [[
java.lang.reflect.InvocationTargetException
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
at java.lang.reflect.Method.invoke(Method.java:597)
at com.hyperion.hit.tool.deploy.ant.wrappers.ScriptTaskWrapper.execute(ScriptTaskWrapper.java:72)
at org.apache.tools.ant.UnknownElement.execute(UnknownElement.java:288)
at sun.reflect.GeneratedMethodAccessor30.invoke(Unknown Source)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
at java.lang.reflect.Method.invoke(Method.java:597)
at org.apache.tools.ant.dispatch.DispatchUtils.execute(DispatchUtils.java:106)
at org.apache.tools.ant.Task.perform(Task.java:348)
at org.apache.tools.ant.Target.execute(Target.java:357)
at org.apache.tools.ant.Target.performTasks(Target.java:385)
at org.apache.tools.ant.Project.executeSortedTargets(Project.java:1337)
at org.apache.tools.ant.Project.executeTarget(Project.java:1306)
at com.hyperion.hit.tool.deploy.ant.engine.ProjectRunner.execAtNumber(ProjectRunner.java:137)
at com.hyperion.cis.config.AntDeploymentApiAdapter.deploy(AntDeploymentApiAdapter.java:192)
at com.hyperion.cis.config.AppServerDeployer.deploy(AppServerDeployer.java:239)
at com.hyperion.config.wizard.impl.RunAllTasks.executeAppDeploymentTask(RunAllTasks.java:627)
at com.hyperion.config.wizard.impl.RunAllTasks.execute(RunAllTasks.java:312)
at com.hyperion.config.wizard.impl.RunnAllTasksState.run(RunnAllTasksState.java:92)
at java.lang.Thread.run(Thread.java:662)
Caused by: java.lang.UnsupportedOperationException: WLST was not initialized, check logs for details
at com.hyperion.hit.tool.deploy.wlst.ScriptWlstConsole.execInternal(ScriptWlstConsole.java:146)
at com.hyperion.hit.tool.deploy.wlst.WlstConsole.endBatch(WlstConsole.java:282)
at com.hyperion.hit.tool.deploy.wlst.WlstStaticHelper.finishBatch(WlstStaticHelper.java:82)
at com.hyperion.hit.tool.deploy.ant.model.Domain.initFileSystem(Domain.java:354)
at com.hyperion.hit.tool.deploy.ant.model.Domain.openDomain(Domain.java:264)
at com.hyperion.hit.tool.deploy.ant.wrappers.DomainWrapper.openDomain(DomainWrapper.java:21)
… 22 more
So I have this error ‘11.1.2.4 WLST was not initialized’ and web logic folder țD:OraEPMMiddlewareuser_projectsdomainsEPMSystemserversț has no log files.
Would really appreciate some help on this,
Daniela
Registry lock
Dijkxhoorn said one security precaution his company had not taken with their domain prior to the fraudulent transfer was a “registry lock,” a more stringent, manual (and sometimes offline) process that effectively neutralizes any attempts by fraudsters to social engineer your domain registrar.
What can you do?
To recap, for maximum security on your domains, consider adopting some or all of the following best practices:
-Use registration features like Registry Lock that can help protect domain name records from being changed. Note that this may increase the amount of time it takes going forward to make key changes to the locked domain (such as DNS changes).
Как настроить утилиты по работе с электронной подписью в linux
Наши коллеги из компании «Актив» подготовили и разместили в своем блоге на Хабре интересный кейс по программным средствам для создания и проверки электронной подписи на операционных системах. Получился интересный обзор, полезный, на наш взгляд, не только программистам.
Поговорим немного про средства электронной подписи (ЭП) с использованием отечественных ГОСТ-алгоритмов в Linux. Несмотря на то, что различные средства и интерфейсы по работе с ЭП в Linux развиты даже лучше, чем в Windows, использовать их не так просто.
Такое положение вещей сохранялось последние несколько лет. Но с конца 2021 года ситуация изменилась в лучшую сторону. Появилось сразу два продукта, которые позволяют работать с электронной подписью по стандарту ГОСТ и шифрованием без использования консоли – это Rosa Crypto Tool и Trusted eSign.
«КриптоПро CSP» под Linux — неоднозначный продукт. С одной стороны, это одно из самых распространенных и мощных сертифицированных средств по работе с криптографией как в Windows, так и в Linux. С другой стороны, для простого человека пользоватся его интерфейсами даже в Windows не так-то просто.
Для настройки нам понадобится:
- Любимый дистрибутив Linux. Я использовал Ubuntu Linux 16.04 LTS и ROSA Fresh GNOME R8;
- Сертифицированная версия КриптоПро CSP 4.0 R2 для Windows, UNIX и macOS;
- Рутокен ЭЦП 2.0.
Как установить крипто про и расширения для языка php
И так, напоминаю, что мы с вами уже слегка знакомились с crypto pro, точнее с его последствиями, после установки, а именно решалась ошибка 80072EE2 при обновлении Windows, где приходилось его удалять и вычищать систему, сегодня задача обратная, установка, да не просто, а в терминале Centos 7.
Расширение предоставляет программный интерфейс, аналогичный КриптоПро ЭЦП Browser plug-in, для выполнения следующих криптографических операций:
- работа с сертификатами;
- создание и проверка подписи форматов CAdES BES, CAdES-T, CAdES-X Long Type 1;
- шифрование и расшифрование данных.
Как установить криптопро на windows 10
Чтобы установить средство криптографической защиты информации необходимо найти папку с ПО на компьютере либо установить диск в дисковод. Запустив Мастер Установки, необходимо следовать указаниям, выбрать вид инсталляции, место размещения и другие стандартные действия.
Можно выбрать язык установки, уровень защиты, настроить ПО для использования службы хранения ключей. Рекомендуется после установки перезагрузить компьютер для корректной работы программы.
Как установить криптопро на windows 7
Установка КриптоПро на Windows 7 имеет стандартный характер, и практически не отличается от установки другого ПО. Запускается Мастер Установки, который предлагает начать процесс инсталляции. Можно выбрать стандартную установку либо выборочную. При выборочной есть возможность сразу выбрать необходимые дополнительные опции и настроить программу под себя.
Крипто про mint установка
Данная страница находится в разработке.Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. |
Криптопро — alt linux wiki
Данная страница находится в разработке.Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. |
Крипто-про на linux centos 6
spions on 16 октября 2021
КриптоПро — набор криптографических утилит и вспомогательных программ, в основном использующихся в программах российских разработчиков для генерации ЭЦП, работы с сертификатами и шифрования передаваемых данных.
До определенного момента софт использовался преимущественно на windows, но с некоторых пор стал популярен и на других платформах, в частности Linux, в связи с вводом государством различных законов, требующих оперативности обмена и простоты последнего в плане автоматизации.
Например, провайдерам необходимо оперативно реагировать на «Черные списки рунета», логично, что решение должно быть автономным и максимально удобным — с этим замечательно справляется Linux.
В моем случае CryptoPro будет работать в паре с eToken.
Криптопро: linux — установка
Чтобы установить ПО вам необходимо обладать правами администратора. СКЗИ устанавливается в определенной последовательности: вначале необходимо установить провайдер, а затем дополнительные модули. При помощи менеджера пакетов, который используется в ОС Linux нужное ПО можно устанавливать, удалять, обновлять и корректировать сборки. Пакет с КриптоПро должен устанавливаться в /opt/cprocsp в четкой последовательности.
Чтобы собрать модуль для нужной версии ядра, воспользуйтесь командой rpmbuild —rebuild —define «kernel_release `uname -r`» . Не забудьте при начале работы убедиться в наличии компилятора и заголовочных файлов ядра. После установки можно приступать к настройке ПО.
Криптопро: mac os — установка
Установка ПО выполняется также, как и на другие ОС от имени администратора. Для Mac OS используются packages (пакета), которые содержат установочные файлы ПО. Инсталляционный пакет имеет расширение .dmg и поставляется в образе диска.
Чтобы установить пакет через графический интерфейс необходимо открыть образ пакета, а затем, открыв файл пакета. mpkg, можно запускать установку. Можно установить ПО из командной строки, для этого понадобится смонтировать диск. Сборка ПО представляет собой комплект из нескольких модулей, которые можно устанавливать выборочно.
Настройка «криптопро» csp
Несмотря на то, что есть несколько неплохих статей по настройке «КриптоПро CSP» под Linux (например, тут или тут), я опишу здесь свой вариант. Основная причина в том, что большинство инструкций написаны для «Крипто Про CSP» версии 3.x. А современная версия «КриптоПро CSP» 4.
Приступаем к настройке.
Настройка криптопровайдера[править]
Просмотреть доступные типы криптопровайдеров можно командой cpconfig -defprov -view_type:
$ cpconfig -defprov -view_typeProvider type Provider Type Name_____________ _____________________________________ 75 GOST R 34.10-2001 Signature with Diffie-Hellman Key Exchange 80 GOST R 34.10-2021 (256) Signature with Diffie-Hellman Key Exchange 81 GOST R 34.10-2021 (512) Signature with Diffie-Hellman Key Exchange 16 ECDSA Full and AES 24 RSA Full and AES
Просмотр свойств криптопровайдера нужного типа:
$ cpconfig -defprov -view -provtype 80Listing Available Providers:Provider type Provider Name_____________ _____________________________________ 80 Crypto-Pro GOST R 34.10-2021 KC1 CSP 80 Crypto-Pro GOST R 34.10-2021 Cryptographic Service Provider Provider types and provider names have been listed.
Настройка оборудования[править]
Настройка устройств хранения (носителей) и считывания (считывателей) ключевой информации и датчиков случайных чисел.
Считыватели (readers) — устройства, предназначенные для чтения ключей. К считывателям относится считыватели дискет (FAT12), считыватели флеш-накопителей (FLASH), считыватели смарт-карт и токенов, считыватель образа дискеты на жестком диске (HDIMAGE) и др.
Ключевые носители (media) являются местом хранения электронной подписи. В качестве носителя ключевой информации могут использоваться: защищенный флэш-накопитель (токен) (Рутокен, JaCarta, ESMART и др.), смарт-карта, флэш-накопитель, дискета.
Ключевые контейнеры — это способ хранения закрытых ключей, реализованный в КриптоПро. Их физическое представление зависит от типа ключевого носителя (на флеш-накопителе, дискете, жестком диске это каталог в котором хранится набор файлов с ключевой информацией; в случае со смарт-картами — файлы в защищенной памяти смарт-карты).
Встроенный в «КриптоПро CSP» датчик случайных чисел (далее ДСЧ) используется для генерации ключей.
Для смарт-карт: ключи дополнительно защищаются кодом доступа к защищенной памяти смарт-карты (PIN). При всех операциях с защищенной памятью (чтение, запись, удаление…) требуется вводить PIN.Для других носителей: для повышения безопасности на контейнер можно установить пароль.
Настройка работы с рутокен эцп 2.0
Сделаем небольшое отступление. Для работы с электронной подписью и шифрованием нам не обойтись без ключевых пар и сертификатов. Надежное хранение закрытых ключей – один из основных факторов безопасности. А более надежных средств хранения, чем токен или смарт-карта, человечество пока не придумало.
Для работы с токенами в ОС Linux есть масса различных средств и драйверов. Для описания всех этих средств понадобится отдельная статья. Поэтому я не буду подробно описывать, как это работает, и почему нам нужны именно эти пакеты.
Устанавливаем пакеты для работы с Рутокен ЭЦП 2.0:
apt-get install libpcsclite1 pcscd libccid
Нам также необходимо установить пакеты КриптоПро CSP для поддержки работы с токенами:
dpkg -i ./cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb ./cprocsp-rdr-rutoken-64_4.0.0-4_amd64.deb ./cprocsp-rdr-pcsc-64_4.0.0-4_amd64.deb ./lsb-cprocsp-pkcs11-64_4.0.0-4_amd64.deb
О криптопро[править]
КриптоПро — линейка криптографических утилит (вспомогательных программ) — так называемых криптопровайдеров. Они используются во многих программах российских разработчиков для генерации ЭЦП, работы с сертификатами, организации структуры PKI и т.д.
Обновление криптопро[править]
Внимание! Пакеты КриптоПро становятся нерабочие при их обновлении. Рекомендуется удалить все пакеты и установить пакеты снова.
Для обновления КриптоПро необходимо:
- Запомнить текущую конфигурацию:
- набор установленных пакетов:
- настройки провайдера (для простоты можно сохранить /etc/opt/cprocsp/config[64].ini).
- Удалить штатными средствами ОС все пакеты КриптоПро:# apt-get remove lsb-cprocsp-base
- Установить аналогичные новые пакеты КриптоПро.
- При необходимости внести изменения в настройки (можно просмотреть diff старого и нового /etc/opt/cprocsp/config[64].ini).
- Ключи и сертификаты сохраняются автоматически.
Обновление[править]
Внимание! Пакеты КриптоПро после обновления утрачивают работоспособность, так что рекомендуется удалить все пакеты и установить их заново.
Для обновления КриптоПро необходимо:
- Запомнить текущую конфигурацию:
- набор установленных пакетов:
- настройки провайдера (для простоты можно сохранить /etc/opt/cprocsp/config[64].ini).
- Удалить штатными средствами ОС все пакеты КриптоПро:# apt-get remove lsb-cprocsp-base
- Установить аналогичные новые пакеты КриптоПро.
- При необходимости внести изменения в настройки (можно просмотреть diff старого и нового /etc/opt/cprocsp/config[64].ini).
- Ключи и сертификаты сохраняются автоматически.
Поддерживаемые unix-подобные операционные системы для версий криптопро 3.6, 3.9, 4.0
iOS 10 | ARM32** / ARM64** | ARM32*** / ARM64*** | |
iOS 9 | ARM32** / ARM64** | ARM32 / ARM64 | |
iOS 8 | ARM32 / ARM64** | ARM32 / ARM64 | |
iOS 6 / 7 | ARM32 | ARM32 | ARM32 |
iOS 4.2 / 4.3 / 5 | ARM32 | ||
Mac OS X 10.12 | x64** | x64*** | |
Mac OS X 10.11 | x64** | x64 | |
Mac OS X 10.10 | x64** | x64 | |
Mac OS X 10.9 | x64 | x64 | |
Mac OS X 10.8 | x64 | x64 | x64 |
Mac OS X 10.7 | x64 | x64 | x64 |
Mac OS X 10.6 | x86 / x64 | x86 / x64 | |
Android 3.2 / 4 | ARM32 | ||
Solaris 10 / 11 | x86 / x64 / sparc | x86 / x64 / sparc | x86 / x64 / sparc |
Solaris 9 | x86 / x64 / sparc | ||
AIX 5 / 6 / 7 | PowerPC | PowerPC | PowerPC |
FreeBSD 10 | x86 / x64 | x86 / x64 | |
FreeBSD 8 / 9 | x86 / x64 | x86 / x64 | x86 / x64 |
FreeBSD 7 | x86 / x64 | ||
FreeBSD 6 | x86* | ||
LSB 4.0 | x86 / x64 | x86 / x64 | x86 / x64 |
LSB 3.0 / LSB 3.1 | x86 / x64 | ||
RHEL 7 | x64** | x64 | |
RHEL 4 / 5 / 6 | x86 / x64 | x86 / x64 | x86 / x64 |
RHEL 3.3 спец.сборка | x86 | x86 | x86 |
CentOS 7 | x86 / x64** | x86 / x64 | |
CentOS 5 / 6 | x86 / x64 | x86 / x64 | x86 / x64 |
CentOS 4 | x86 / x64 | ||
Ubuntu 15.10 / 16.04 / 16.10 | x86 / x64** | x86 / x64*** | |
Ubuntu 14.04 | x86 / x64** | x86 / x64 | |
Ubuntu 12.04 / 12.10 / 13.04 | x86 / x64 | x86 / x64 | |
Ubuntu 10.10 / 11.04 / 11.10 | x86 / x64 | x86 / x64 | |
Ubuntu 10.04 | x86 / x64 | x86 / x64 | x86 / x64 |
Ubuntu 8.04 | x86 / x64 | ||
Ubuntu 6.04 | x86 / x64* | ||
Linux Mint 18 | x86 / x64** | x86 / x64*** | |
Linux Mint 13 / 14 / 15 / 16 / 17 | x86 / x64** | x86 / x64 | |
Astra Linux | x86 / x64** | x86 / x64*** | |
ALTLinux 8 | x86 / x64** | x86 / x64*** | |
ALTLinux 7 | x86 / x64 | x86 / x64 | |
ALTLinux 6 | x86 / x64 | x86 / x64 | x86 / x64 |
ALTLinux 4 / 5 | x86 / x64 | ||
Debian 8 | x86 / x64** | x86 / x64 | |
Debian 7 | x86 / x64 | x86 / x64 | |
Debian 6 | x86 / x64 | x86 / x64 | x86 / x64 |
Debian 4 / 5 | x86 / x64* | ||
ТД ОС АИС ФССП России (GosLinux) | x86 / x64 | x86 / x64 | x86 / x64 |
Linpus Lite 1.3 | x86 / x64 | x86 / x64 | x86 / x64 |
Mandriva Server 5, Business Server 1 | x86 / x64 | x86 / x64 | x86 / x64 |
Oracle Enterprise Linux 5/6 | x86 / x64 | x86 / x64 | x86 / x64 |
ОpenSUSE 12.2/12.3 | x86 / x64 | x86 / x64 | x86 / x64 |
SUSE Linux Enterprise 11 | x86 / x64 | x86 / x64 | x86 / x64 |
Поддерживаемые операционные системы windows для версий криптопро 3.6, 3.9, 4.0
Windows 2021 | x64* | x64** | |
Windows 10 | x86 / x64* | x86 / x64 | |
Windows 2021 R2 | x64 | x64 | |
Windows 8.1 | x86 / x64 | x86 / x64 | |
Windows 2021 | x64 | x64 | x64 |
Windows 8 | x86 / x64 | x86 / x64 | x86 / x64 |
Windows 2008 R2 | x64 / itanium | x64 | x64 |
Windows 7 | x86 / x64 | x86 / x64 | x86 / x64 |
Windows 2008 | x86 / x64 / itanium | x86 / x64 | x86 / x64 |
Windows Vista | x86 / x64 | x86 / x64 | x86 / x64 |
Windows 2003 R2 | x86 / x64 / itanium | x86 / x64 | x86 / x64 |
Windows 2003 | x86 / x64 / itanium | x86 / x64 | x86 / x64 |
Windows XP | x86 / x64 | ||
Windows 2000 | x86 |
* Начиная с версии КриптоПро CSP 3.9 R2.
** Начиная с версии КриптоПро CSP 4.0 R2.
Получаем тестовый сертификат
Перед тем как перейти непосредственно к работе с подписью, надо сгенерировать ключевую пару и создать сертификат электронной подписи. Если у вас уже есть Рутокен с контейнером «КриптоПро», то эту часть можно смело пропустить.
Проверка версии[править]
Проверить версию КриптоПро можно командой:
$ csptest -keyset -verifycontext | sed -n ‘s/.* Ver:*([0-9.] ).*/1/p’4.0.9963
Проверка лицензии[править]
Проверить срок истечения лицензии можно командой (обратите внимание на строки Expires:):
$ cpconfig -license -viewLicense validity:4040E-G0037-EK8R3-C6K4U-HCXQGExpires: 2 month(s) 23 day(s)License type: Server.
Примечание:Для версии КриптоПро CSP под Linux все лицензии считаются серверными, поэтому не смущайтесь строкой «License type: Server».
Для установки другой лицензии выполните (под root):
# cpconfig -license -set
Примечание:Серийный номер следует вводить с соблюдением регистра символов.
Прописывание путей к исполняемым файлам[править]
Утилиты КриптоПро расположены в директориях /opt/cprocsp/sbin/ и /opt/cprocsp/bin/.
Чтобы каждый раз не вводить полный путь к утилитам КриптоПро:
- после установки пакета cryptopro-preinstall начните новый сеанс пользователя в консоли;
Примечание:Не работает для суперпользователя.
или
- выполните от имени пользователя, который будет запускать команды (будет действовать до закрытия терминала):
export PATH=»$(/bin/ls -d /opt/cprocsp/{s,}bin/*|tr ” ‘:’)$PATH»
Внимание! Если установлен пакет mono или mono4-devel, может быть конфликт по имени утилиты certmgr
Собираем libphpcades
Для того, чтобы собрать libphpcades, у вас во первых, должна быть установлена CentOS 7. Далее мы должны установить пакеты boost-devel и php-devel, приступаем, добавляем репозиторий и ставим boost-devel.
Следующим шагом, мы ставим пакет php-devel с помощью команды.
Далее ставим lsb пакет (Linux Standard Base)
Далее переходим в папку root, если вы не в ней, с помощью команды
И скачиваем дистрибутив крипто про csp 4
Остальные версии можно посмотреть на официальном сайте Крипто ПРО . Для скачивания вам нужно будет зарегистрироваться.
Далее распаковываете архив с помощью tar и даете возможность запускать скрипт install.sh
Все теперь, можно устанавливать самый главный компонент libphpcades, сам крипто про csp 4
Далее после установки, прописываем переменные окружения, или перемещаемся в папку /opt/cprocsp/
Затем до установим, еще два пакета cprocsp-rdr-gui-gtk и lsb-cprocsp-devel
Затем следует установить пакет cprocsp-pki-2.0.0-cades.rpm из состава КриптоПро ЭЦП SDK . Скачиваем архив, лтбо вручную и потом через ssh передаем, либо скачиваем через wget. Скачивайте КриптоПро ЭЦП SDK 2.0, именно ее, так как она содержит пакет cprocsp-pki-2.0.0-cades.rpm.
Посмотреть список пакетом, можно командой
- lsb-cprocsp-kc1-64-4.0.0-4.x86_64
- cprocsp-pki-cades-2.0.0-1.x86_64
- lsb-cprocsp-base-4.0.0-4.noarch
- lsb-cprocsp-capilite-64-4.0.0-4.x86_64
- cprocsp-curl-64-4.0.0-4.x86_64
- lsb-cprocsp-devel-5.0.0-4.noarch
- lsb-cprocsp-rdr-64-4.0.0-4.x86_64
- cprocsp-rdr-gui-gtk-64-4.0.0-4.x86_64
- cprocsp-pki-plugin-2.0.0-1.x86_64
Далее делаем следующее.
PHP 5.6.30 (cli) (built: Jan 19 2021 08:09:42) Copyright (c) 1997-2021 The PHP Group Zend Engine v2.6.0, Copyright (c) 1998-2021 Zend Technologies with Zend OPcache v7.0.6-dev, Copyright (c) 1999-2021, by Zend Technologies
You have mail in /var/spool/mail/root
Совместимость[править]
По информации разработчика, с ALT Linux совместимы следующие продукты КриптоПро:
- КриптоПро CSP
- КриптоПро JCP
- КриптоПро HSM
- КриптоПро TSP
- КриптоПро OCSP
- КриптоПро ЭЦП Browser plug-in
- КриптоПро SSF
- КриптоПро Stunnel
- Браузер КриптоПро Fox
Примечание:В репозитории доступен пакет firefox-gost, аналогичный КриптоПро Fox, с патчем от КриптоПро.
Создание контейнера[править]
Примечание: Для того, чтобы сертификат из контейнера можно было использовать через модуль pkcs11 (из пакета lsb-cprocsp-pkcs11) в браузере firefox-gost, необходимо создать его с -provtype 75 (поддержка ГОСТ-2001).
Внимание! C 1 января 2021 г. по указанию ФСБ РФ и Минкомсвязи всем аккредитованным УЦ запрещен выпуск сертификатов ЭП по ГОСТ 2001.Ключи и запрос на сертификат необходимо формировать ГОСТ 2021.
Создадим контейнер с именем «test» в локальном считывателе HDIMAGE.
$ csptest -keyset -provtype 75 -newkeyset -cont ‘\.HDIMAGEtest’
При установленном пакете cprocsp-rdr-gui-gtk будет показано графическое окно, где будет предложено перемещать указатель мыши или нажимать клавиши:
Примечание: Если такой пакет не установлен, будет предложено ввести любые символы с клавиатуры.
После этого будет предложено указать пароль на контейнер (можно указать пустой, тогда пароль запрашиваться не будет):
Внимание! При создании контейнера на токене:$ csptest -keyset -provtype 75 -newkeyset -cont ‘\.Aladdin R.D. JaCarta [SCR Interface] 01 00test’
Пароль не создается, а предъявляется (PIN-код пользователя):
После указания пароля снова будет предложено перемещать указатель мыши.
Вывод команды:
Удаление криптопро[править]
# apt-get remove lsb-cprocsp-baseПримечание: Если появляется support_mutex_open(«registry_lock») failed:: Permission deniedвыполните после удаления # rm -f /var/opt/cprocsp/tmp/.registry_lock
Управление дсч[править]
Просмотр списка настроенных ДСЧ:
$ cpconfig -hardware rndm -viewNick name: CPSDConnect name: Rndm name: Rndm level: 3 Nick name: BIO_GUIConnect name: Rndm name: Rndm level: 4 Nick name: BIO_TUIConnect name: Rndm name: Rndm level: 5
Управление носителями[править]
Просмотр доступных носителей:
$ cpconfig -hardware media -view | iconv -f cp1251
Управление считывателями[править]
Просмотр доступных (настроенных) считывателей:
$ cpconfig -hardware reader -viewNick name: Aladdin R.D. JaCarta [SCR Interface] 00 00Connect name: Reader name: Nick name: FLASHConnect name: Reader name: Nick name: HDIMAGEConnect name: Reader name:
Либо:
$ csptest -enum -info -type PP_ENUMREADERS | iconv -f cp1251CSP (Type:80) v4.0.9006 KC1 Release Ver:4.0.9708 OS:Linux CPU:AMD64 FastCode:READY:AVX.CryptAcquireContext succeeded.HCRYPTPROV: 6679203GetProvParam(…PP_ENUMREADERS…) until it returns false Len Byte NickName/Name_____________________________ 0x012a 0x72 ACS ACR38U-CCID 00 00 All PC/SC readers 0x012a 0x72 Aktiv Co.
Rutoken S 00 00 All PC/SC readers 0x012a 0x58 FLASH FLASH 0x012a 0x18 HDIMAGE Структура дискеты на жестком дискеCycle exit when getting data. 4 items found. Level completed without problems.Total: SYS: 0,000 sec USR: 0,170 sec UTC: 0,190 sec[ErrorCode: 0x00000000]
Инициализация считывателя HDIMAGE, если его нет в списке доступных считывателей (под правами root):
# cpconfig -hardware reader -add HDIMAGE storeAdding new reader:Nick name: HDIMAGESucceeded, code:0x0
Считыватель HDIMAGE размещается на /var/opt/cprocsp/keys//.
Для работы со считывателем PC/SC требуется пакет cprocsp-rdr-pcsc. После подключения считывателя можно просмотреть список видимых считывателей (не зависимо от того, настроены ли они в КриптоПро как считыватели, зависит только от того, какие установлены драйверы для считывателей):
$ list_pcsc Aladdin R.D. JaCarta [SCR Interface] 00 00Aktiv Co. Rutoken S 00 00
Инициализация считывателя Aktiv Co. Rutoken S 00 00 (требуется, если считыватель есть в списке видимых считывателей и отсутствует в списке настроенных), в параметре -add указывается имя, которое было получено при просмотре видимых считывателей, в параметре -name — удобное для обращения к считывателю имя, например, Rutoken (под правами root):
# cpconfig -hardware reader -add ‘Aktiv Co. Rutoken S 00 00’ -name ‘Rutoken’Adding new reader:Nick name: Aktiv Co. Rutoken S 00 00Name device: RutokenSucceeded, code:0x0
Можно включить службу pcscd в автозапуск при загрузке системы:
Установка криптопро csp[править]
Архив с программным обеспечением (КриптоПро CSP 4.0 R4 — сертифицированная версия, КриптоПро CSP 5.0 — несертифицированная) можно загрузить после предварительной регистрации:
- linux-ia32.tgz (19,3 МБ, для i586) КриптоПро CSP 4.0 для Linux (x86, rpm) для 32 разрядный систем;
- linux-amd64.tgz (20,1 МБ, для x86_64) КриптоПро CSP 4.0 для Linux (x64, rpm) для 64 разрядный систем.
Внимание! По умолчанию при скачивании с сайта КриптоПро выдаётся лицензия на три месяца
Установка криптопро на windows, linux и mac os
Как установить КриптоПро на Windows 7
Как установить КриптоПро на Windows 10
КриптоПро: Linux — установка
КриптоПро: Mac OS — установка
КриптоПро является СКЗИ – программным компонентом, обеспечивающим надёжную защиту (шифрование) информации, создание электронных подписей и другое. Чтобы безопасно работать с электронной отчетностью, защищать конфиденциальную информацию и организовать юридически значимую передачу документов через сеть понадобится установить КриптоПро.
Имеется несколько версий программы, каждая из которых совместима с определёнными операционными системами, может поддерживать различные криптографические алгоритмы. Последняя из выпущенных версий 4.0. обладает поддержкой новых алгоритмов подписи и устанавливается на Windows 10.
Установка КриптоПро 3.6 на Windows 7 Установка КриптоПро 3.6 на Windows 10 Установка КриптоПро CSP 3.9
Установка пакетов[править]
1. Установите пакет cryptopro-preinstall:
# apt-get install cryptopro-preinstallЭтот пакет установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП).
Примечание:Пакет cryptopro-preinstall вытягивает зависимости libpangox-compat, opensc, pcsc-lite, pcsc-lite-rutokens, pcsc-lite-ccid, newt52.
2. Распакуйте архив, скачанный с официального сайта КриптоПро:
$ tar -xf linux-amd64.tgz
Таблица 1. Описание необходимых пакетов КриптоПро.
Базовые пакеты: | |
cprocsp-curl | Библиотека libcurl с реализацией шифрования по ГОСТ |
lsb-cprocsp-base | Основной пакет КриптоПро CSP |
lsb-cprocsp-capilite | Интерфейс CAPILite и утилиты |
lsb-cprocsp-kc1 | Провайдер криптографической службы KC1 |
lsb-cprocsp-kc2 | Провайдер криптографической службы KC2 (требует наличия аппаратного датчика случайных чисел или гаммы) |
lsb-cprocsp-rdr | Поддержка ридеров и RNG |
Дополнительные пакеты: | |
cprocsp-rdr-gui-gtk | Графический интерфейс для диалоговых операций |
cprocsp-rdr-rutoken | Поддержка карт Рутокен |
cprocsp-rdr-jacarta | Поддержка карт JaCarta |
cprocsp-rdr-pcsc | Компоненты PC/SC для ридеров КриптоПро CSP |
lsb-cprocsp-pkcs11 | Поддержка PKCS11 |
ifd-rutokens | Конфигурация Рутокеновских карт (или можно взять pcsc-lite-rutokens из репозитория) |
3. Установите пакеты КриптоПро:
Примечание:Для 32-битной версии вместо последнего пакета — lsb-cprocsp-rdr-4*
- установите пакеты для поддержки токенов (Рутокен S и Рутокен ЭЦП):# apt-get install cprocsp-rdr-gui-gtk* cprocsp-rdr-rutoken* cprocsp-rdr-pcsc* lsb-cprocsp-pkcs11* pcsc-lite-rutokens pcsc-lite-ccid
- установите пакет для поддержки токенов (JaCarta):# apt-get install cprocsp-rdr-jacarta*
Примечание:Для установки cprocsp-rdr-jacarta может понадобиться предварительно удалить openct.
- Для установки сертификатов Главного удостоверяющего центра:# apt-get install lsb-cprocsp-ca-certs*
Можно выполнить установку КриптоПро, запустив ./install_gui.sh в распакованном каталоге и выбрав необходимые модули:
Установка[править]
1. Установите пакет cryptopro-preinstall:
# apt-get install cryptopro-preinstallЭтот пакет установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП).
Примечание: Пакет cryptopro-preinstall вытягивает зависимости libpangox-compat, opensc, pcsc-lite, pcsc-lite-rutokens, pcsc-lite-ccid, newt52.
2. Распакуйте архив, скачанный с официального сайта КриптоПро:
$ tar -xf linux-amd64.tgz
Таблица 1. Описание необходимых пакетов КриптоПро.
Базовые пакеты: | |
cprocsp-curl | Библиотека libcurl с реализацией шифрования по ГОСТ |
lsb-cprocsp-base | Основной пакет КриптоПро CSP |
lsb-cprocsp-capilite | Интерфейс CAPILite и утилиты |
lsb-cprocsp-kc1 | Провайдер криптографической службы KC1 |
lsb-cprocsp-kc2 | Провайдер криптографической службы KC2 (требует наличия аппаратного датчика случайных чисел или гаммы) |
lsb-cprocsp-rdr | Поддержка ридеров и RNG |
Дополнительные пакеты: | |
cprocsp-rdr-gui-gtk | Графический интерфейс для диалоговых операций |
cprocsp-rdr-rutoken | Поддержка карт Рутокен |
cprocsp-rdr-jacarta | Поддержка карт JaCarta |
cprocsp-rdr-pcsc | Компоненты PC/SC для ридеров КриптоПро CSP |
lsb-cprocsp-pkcs11 | Поддержка PKCS11 |
ifd-rutokens | Конфигурация Рутокеновских карт (или можно взять pcsc-lite-rutokens из репозитория) |
3. Установите пакеты КриптоПро:
Примечание: Для 32-битной версии вместо последнего пакета — lsb-cprocsp-rdr-4*
- установите пакеты для поддержки токенов (Рутокен S и Рутокен ЭЦП):# apt-get install cprocsp-rdr-gui-gtk* cprocsp-rdr-rutoken* cprocsp-rdr-pcsc* lsb-cprocsp-pkcs11* pcsc-lite-rutokens pcsc-lite-ccid
Примечание: Если возникнут проблемы с отображением контейнеров на Рутокен S — удалите pcsc-lite-openct
- установите пакет для поддержки токенов (JaCarta):# apt-get install cprocsp-rdr-jacarta*
Примечание: Для установки cprocsp-rdr-jacarta может понадобиться предварительно удалить openct.
- Для установки сертификатов Главного удостоверяющего центра:# apt-get install lsb-cprocsp-ca-certs*
Можно выполнить установку КриптоПро, запустив ./install_gui.sh в распакованном каталоге и выбрав необходимые модули:
Вставляем ключ eToken и проверяем вывод list_pcsc:
# ./list_pcscavailable reader: AKS ifdh 00 00 |
# ./list_pcsc available reader: AKS ifdh 00 00
Утилита доступна после установки пакета
# rpm -i cprocsp-rdr-pcsc-64-3.9.0-4.x86_64.rpm |
# rpm -i cprocsp-rdr-pcsc-64-3.9.0-4.x86_64.rpm
Как вариант штатными средствами:
# lsusbBus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hubBus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hubBus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hubBus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hubBus 001 Device 002: ID 203a:fff9Bus 002 Device 039: ID ####:#### Aladdin Knowledge Systems eToken Pro 64k (4.2) |
# lsusb Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub Bus 001 Device 002: ID 203a:fff9 Bus 002 Device 039: ID ####:#### Aladdin Knowledge Systems eToken Pro 64k (4.2)