windows – fatal: unable to get credential storage lock: Permission denied – Stack Overflow

windows - fatal: unable to get credential storage lock: Permission denied - Stack Overflow Электронная цифровая подпись
Содержание
  1. Почему не пускает по ssh (permission denied (publickey)) со второго ip?
  2. Установка не отличается сложностью
  3. Добавляем считыватель:
  4. Просмотр списка настроенных считывателей:
  5. Cryptopro jcp на linux. как легко и безболезненно перейти на новый стандарт шифрования
  6. Epm 11.1.2.4 configuration – deploy to application server failed
  7. Fatal: unable to get credential storage lock: permission denied
  8. Unable to create/open lock file: /data/mongod.lock errno:13 permission denied
  9. Бесплатная браузерная версия
  10. Возможные проблемы
  11. Загрузка пакета
  12. Как настроить утилиты по работе с электронной подписью в linux
  13. Как установить крипто про и расширения для языка php
  14. Как установить криптопро на windows 10
  15. Как установить криптопро на windows 7
  16. Как установить сертификат эцп на компьютер: инструкция по установке электронной подписи
  17. Крипто-про на linux centos 6
  18. Криптопро: linux — установка
  19. Криптопро: mac os — установка
  20. Настройка «криптопро» csp
  21. Настройка криптопровайдера[править]
  22. Настройка оборудования[править]
  23. Настройка работы с рутокен эцп 2.0
  24. О криптопро[править]
  25. Обновление криптопро[править]
  26. Обновление эцп
  27. Обновление[править]
  28. Общие сведения о процессе установки
  29. Поддерживаемые unix-подобные операционные системы для версий криптопро 3.6, 3.9, 4.0
  30. Поддерживаемые операционные системы windows для версий криптопро 3.6, 3.9, 4.0
  31. Получаем тестовый сертификат
  32. Привязка к оборудованию
  33. Проверка лицензии[править]
  34. Проверки без выхода в сеть
  35. Прописывание путей к исполняемым файлам[править]
  36. Собираем libphpcades
  37. Совместимость[править]
  38. Создание контейнера[править]
  39. Технические требования
  40. Удаление криптопро[править]
  41. Управление дсч[править]
  42. Управление считывателями[править]
  43. Установка криптопро csp[править]
  44. Установка криптопро на windows, linux и mac os
  45. Установка неквалифицированной подписи
  46. Установка пакетов[править]
  47. Установка сертификата
  48. Установка сертификата эцп криптопро на компьютер
  49. Установка[править]
  50. Этот формат эцп имеет такие преимущества:
  51. Вставляем ключ eToken и проверяем вывод list_pcsc:

Почему не пускает по ssh (permission denied (publickey)) со второго ip?

Настроен доступ по SSH к удалённой машине с помощью ключей. Ключ скопирован с клиента на сервер.

Доступ по:

ssh external_ip

отлично работает.

На удаленной машине поднят OpenVPN-сервер. При попытке доступа по IP tun-интерфейса (10.8.0.1) приводит к ошибке “Permission denied (publickey)”.

Судя по логам (

ssh -v

) проблема в том, что во втором случае SSH не может найти нужный ключ в

~/.ssh/known_hosts

— у меня нестандартное имя файла ключа (для разных машин разные ключи).

Подключение с явным указанием файла ключа проходит, но, видимо, не добавляет запись в

~/.ssh/known_hosts

— повторная попытка соединиться без указания файла приводит к той же ошибке.

Ясности не добавляет то, что файл

~/.ssh/known_hosts

хэширован — IP удаленных машин не видны.

Как можно сделать так, чтобы клиент SSH запомнил, что есть 1 и тот же ключ для 2 разных IP удаленных машин?

Установка не отличается сложностью

В первом случае есть скрипт для инсталляции, во втором необходимо поставить RPM пакет (токен до момента установки драйверов необходимо извлечь из сервера).

В процессе установки под CentOS 6.5, мне также понадобился модуль поддержки eToken (cprocsp-rdr-jacarta-3.6.1-3.6.219-1.x86_64) идет в поставке КриптоПРО 3.6.

rpm -i cprocsp-rdr-jacarta-3.6.1-3.6.346-1.x86_64.rpm

rpm -i cprocsp-rdr-jacarta-3.6.1-3.6.346-1.x86_64.rpm

3. После установки, прописываем переменные окружения, или перемещаемся в папку «/opt/cprocsp/»

export PATH=»$PATH:$(ls -d /opt/cprocsp/{s,}bin/*|tr ” ‘:’)»

export PATH=»$PATH:$(ls -d /opt/cprocsp/{s,}bin/*|tr ” ‘:’)»

Добавляем считыватель:

# ./cpconfig -hardware reader -add «AKS ifdh 00 00″Adding new reader:Nick name: AKS ifdh 00 00Succeeded, code:0x0

# ./cpconfig -hardware reader -add «AKS ifdh 00 00» Adding new reader: Nick name: AKS ifdh 00 00 Succeeded, code:0x0

Просмотр списка настроенных считывателей:

Nick name: AKS ifdh 00 00Connect name:Reader name: AKS ifdh 00 00 Nick name: FLASHConnect name:Reader name: FLASH Nick name: HDIMAGEConnect name:Reader name: ��������� ������� �� ������� �����

Nick name: AKS ifdh 00 00 Connect name: Reader name: AKS ifdh 00 00 Nick name: FLASH Connect name: Reader name: FLASH Nick name: HDIMAGE Connect name: Reader name: ��������� ������� �� ������� �����

Первый ридер «AKS ifdh 00 0» — это наш токен, последний — локальное хранилище. Контейнеры HDIMAGE живут по адресу «/var/opt/cprocsp/keys//»

Cryptopro jcp на linux. как легко и безболезненно перейти на новый стандарт шифрования

С 2020 года использование шифрования по ГОСТ Р 34.10—2001 окажется под запретом, а значит, все организации, которые взаимодействуют с госструктурами, вынуждены срочно внедрять следующий стандарт — 2021 года. Если ты работаешь в одной из них, то не проходи мимо: в этой статье мы поговорим о том, как решить проблему, используя сервер на CentOS 7 и пакет CryptoPro JCP.

Если же ты впервые слышишь обо всем этом, то вот небольшая историческая справка.

В 1994 году в ФСБ разработали ряд стандартов и мер, призванных защитить обмен документами между организациями и другими участниками этого процесса. Одной из таких мер безопасности стала электронная цифровая подпись документов, а одним из стандартов — ГОСТ Р 34.

На смену пришел всем известный ГОСТ Р 34.10—2001 — улучшенный стандарт, разработанный для обеспечения большей стойкости алгоритма. Но время не стоит на месте, меняются алгоритмы и методы криптозащиты, и спустя одиннадцать лет ГОСТ Р 34.10—2001 меняют на ГОСТ Р 34.10—2021.

В новом стандарте первый вариант требований к параметрам остался прежним. Длина секретного ключа составляет порядка 256 бит, и предусмотрено использование хеш-функции с длиной хеш-кода 256 или 512 бит. Главное же отличие нового стандарта — варианты с дополнительными параметрами и схемами, в том числе хешированием по стандарту ГОСТ Р 34.11—2021 «Стрибог».

В феврале 2021 года ФСБ объявила о начале перехода на использование нового национального стандарта ГОСТ Р 34.10—2021 в средствах электронной подписи для информации, не содержащей сведений, составляющих государственную тайну. В свет вышел документ за номером 149/7/1/3-58 от 31 января 2021 года «О порядке перехода к использованию новых стандартов ЭЦП и функции хэширования», он устанавливал следующие требования.

  1. После 31 декабря 2021 года прекратить сертификацию средств электронной подписи на соответствие требованиям к средствам электронной подписи, утвержденным приказом ФСБ России от 27.12.2021 года №796, если в этих средствах не предусматривается реализация функций в соответствии с ГОСТ Р 34.10—2021.
  2. После 31 декабря 2021 года запретить использование ГОСТ Р 34.10—2001 для формирования электронной подписи.

Министерство связи даже создало план по переходу на стандарт (PDF). Однако на практике оказалось, что все не так просто, и переход пришлось отложить аж до 31 декабря 2021 года. Причины следующие.

  1. Многие государственные и муниципальные органы не готовы перейти на использование нового стандарта электронной подписи ГОСТ-2021 из-за отсутствия поддержки на уровне ПО.
  2. Чтобы выпускать сертификаты нового образца, необходимо оборудование, которое поддерживает новый ГОСТ, и сертификат Головного удостоверяющего центра, сформированный с использованием ГОСТ-2021. Удостоверяющие центры получили его только летом 2021 года. Необходимо дополнительное время, чтобы выпустить сертификаты для всех пользователей.

Сейчас в ходу два стандарта криптозащиты для работы ЭЦП, но тем, кто использует ГОСТ-2001, срочно нужно что-то предпринимать. Зима, как говорится, близко, а это значит, что нас ждет череда испытаний при внедрении поддержки ГОСТ-2021.

Я расскажу, как развернуть сертифицированное ФСБ средство СКЗИ (CryptoPro JCP) на сервере Linux под управлением Java JDK. Кстати, если ты до сих пор используешь ГОСТ-2001, на сайте CryptoPro есть замечательная статья, советую тебе ее прочесть, лишним не будет.

Весь документооборот между участниками обмена происходит по принципу СМЭВ (система межведомственного электронного взаимодействия). Приложение может быть участником такой системы, но может и не быть им вовсе, принцип обмена документами от этого не меняется. Для простоты понимания я нарисовал небольшую схему.

Взаимодействие приложений при обмене данными с криптографической защитой в рамках СМЭВ

Epm 11.1.2.4 configuration – deploy to application server failed

Hi All,

Trying to install an configure EPM 11.1.2.4,  shared services only.

Install was ok but the configuration fails with “deploy to application server failed” messages.

I had a look at the log files found here “<EPM_path>Middlewareuser_projectsepmsystem1diagnosticslogsconfig” and the errors I found were:

Unable to reset lock on EPM Registry. Root cause: Closed Connection

( Mar 04, 2021 11.16.39 PM ): Pass [000 min 11 sec] [INI] Init Tool

( Mar 04, 2021 11.16.39 PM ): Pass [000 min 58 sec] [GUI] GUI Wizard

( Mar 04, 2021 11.22.52 PM ): Fail [006 min 02 sec] [APP] Hyperion Foundation – Deploy to Application Server

( Mar 04, 2021 11.22.52 PM ): Fail [000 min 00 sec] [APP] Performance Management Architect – Deploy to Application Server

( Mar 04, 2021 11.22.52 PM ): Fail [000 min 00 sec] [APP] Performance Management Architect – Deploy to Application Server

( Mar 04, 2021 11.22.52 PM ): Fail [000 min 00 sec] [APP] Calculation Manager – Deploy to Application Server

( Mar 04, 2021 11.22.52 PM ): Fail [000 min 00 sec] [APP] Workspace – Deploy to Application Server

[2021-03-04T23:22:52.582 00:00] [EPMCFG] [ERROR] [EPMCFG-01020] [oracle.EPMCFG] [tid: 22] [ecid: 0000LD3umvjFw0WFLzjO8A1MqXSZ000005,0] [SRC_CLASS: com.hyperion.hit.tool.deploy.ant.wrappers.ScriptTaskWrapper] Error: [[

java.lang.reflect.InvocationTargetException

    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)

    at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)

    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)

    at java.lang.reflect.Method.invoke(Method.java:597)

    at com.hyperion.hit.tool.deploy.ant.wrappers.ScriptTaskWrapper.execute(ScriptTaskWrapper.java:72)

    at org.apache.tools.ant.UnknownElement.execute(UnknownElement.java:288)

    at sun.reflect.GeneratedMethodAccessor30.invoke(Unknown Source)

    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)

    at java.lang.reflect.Method.invoke(Method.java:597)

    at org.apache.tools.ant.dispatch.DispatchUtils.execute(DispatchUtils.java:106)

    at org.apache.tools.ant.Task.perform(Task.java:348)

    at org.apache.tools.ant.Target.execute(Target.java:357)

    at org.apache.tools.ant.Target.performTasks(Target.java:385)

    at org.apache.tools.ant.Project.executeSortedTargets(Project.java:1337)

    at org.apache.tools.ant.Project.executeTarget(Project.java:1306)

    at com.hyperion.hit.tool.deploy.ant.engine.ProjectRunner.execAtNumber(ProjectRunner.java:137)

    at com.hyperion.cis.config.AntDeploymentApiAdapter.deploy(AntDeploymentApiAdapter.java:192)

    at com.hyperion.cis.config.AppServerDeployer.deploy(AppServerDeployer.java:239)

    at com.hyperion.config.wizard.impl.RunAllTasks.executeAppDeploymentTask(RunAllTasks.java:627)

    at com.hyperion.config.wizard.impl.RunAllTasks.execute(RunAllTasks.java:312)

    at com.hyperion.config.wizard.impl.RunnAllTasksState.run(RunnAllTasksState.java:92)

    at java.lang.Thread.run(Thread.java:662)

Caused by: java.lang.UnsupportedOperationException: WLST was not initialized, check logs for details

    at com.hyperion.hit.tool.deploy.wlst.ScriptWlstConsole.execInternal(ScriptWlstConsole.java:146)

    at com.hyperion.hit.tool.deploy.wlst.WlstConsole.endBatch(WlstConsole.java:282)

    at com.hyperion.hit.tool.deploy.wlst.WlstStaticHelper.finishBatch(WlstStaticHelper.java:82)

    at com.hyperion.hit.tool.deploy.ant.model.Domain.initFileSystem(Domain.java:354)

    at com.hyperion.hit.tool.deploy.ant.model.Domain.openDomain(Domain.java:264)

    at com.hyperion.hit.tool.deploy.ant.wrappers.DomainWrapper.openDomain(DomainWrapper.java:21)

    … 22 more

So I have this error ‘11.1.2.4 WLST was not initialized’ and web logic folder țD:OraEPMMiddlewareuser_projectsdomainsEPMSystemserversț has no log files.

Would really appreciate some help on this,

Daniela

Fatal: unable to get credential storage lock: permission denied

For some reason, git tried to access the .gitconfig of WSL. So I disconnected the mounted virtual disk for WSL and tried again – everything worked flawlessly.

Maybe this will help someone…

Unable to create/open lock file: /data/mongod.lock errno:13 permission denied

I was having the same problem on a Ubuntu ec2 instance. I was following this amazon article on page 7:

http://d36cz9buwru1tt.cloudfront.net/AWS_NoSQL_MongoDB.pdf

Mongodb path in /etc/mongodb.conf was set to /var/lib/mongodb (primary install location and working). When I changed to /data/db (EBS volume) I was getting ‘errno:13 Permission denied’.

  1. First I ran sudo service mongodb stop.
  2. Then I used ls -la to see what group & owner mongodb assigned to /var/lib/mongodb (existing path) and I changed the /data/db (new path) with chown and chgrp to match. (example: sudo chown -R mongodb:mongodb /data/db)
  3. Then I updated the path in etc/mongodb.conf to /data/db and deleted the old mongo files in /var/lib/mongodb directory.
  4. Then I ran sudo service mongodb start and waited about a minute. If you try to connect to 27017 immediately you won’t be able to.
  5. After a minute check /data/db (EBS volume) and mongo should have placed a journal, mongod.lock, local.ns, local.0, etc. If not try sudo service mongodb restart and check a minute later.
Читайте также:  Обмен с органами казначейства: настройка и выгрузка – Учет без забот

I just spent over a hour with this. Changing the group and deleting the old files is probably not necessary, but that’s what worked for me.

This is a great video about mounting a ebs volume to ec2 instance:

http://www.youtube.com/watch?v=gBII3o3BofU

Бесплатная браузерная версия

Если пользователю требуются создание или проверка усовершенствованной и обычной ЭП, то КриптоПро ЭЦП Browser plug-in лучшее решение. У данного продукта КриптоПро ЭЦП лицензия бесплатна. То есть не нужно покупать ключ к программе, достаточно просто демоверсии.

Причём у последней богатый функционал, она также позволит либо добавить электронную подпись к имеющимся данным или создать её отдельно. Загрузить соответствующую версию плагина необходимо на сайте разработчика (автоматически загрузчик скачает версию, поддерживаемую вашей операционной системой и браузером). Но при желании комплекс КриптоПро ЭЦП купить можно.

Расширенные версии предлагают больше возможностей реализации криптографической защиты юридически значимой информации, да и в использовании они проще.

Возможные проблемы

Первым делом необходимо упомянуть, что каждый удостоверяющий центр предлагает услуги справочной поддержки за дополнительную плату. Соответственно, при возникновении каких-либо проблем с установкой и настройкой ЭЦП можно обращаться непосредственно к ним.Из типичных проблем пользователи чаще всего сталкиваются со следующими:

  1. Ошибка о сроке действия сертификата. Указывает на то, что ЭЦП уже не активен, так как прошло 12 месяцев с даты его выдачи.

    Также возникает в том случае, если на ПК установлена неверная дата и время.

  2. Ошибка отказа в установке сертификата. Указывает на то, что служба поддержки сертификатов и криптографии не запущена. Также возникает при использовании пиратских «урезанных» копий ОС Windows, где некоторые службы полностью вырезаны.
  3. Ошибка чтения сертификата с рутокена. Возникает при повреждении USB токена, реже – при выходе из строя USB-входа.
  4. Ошибка проверки сертификата. Возникает при отсутствии доступа в интернет, когда производится попытка подписи электронного документа. Для этих целей рекомендуется выполнять подпись через КриптоПро – программа работает и в локальном режиме.

В общем, установка ЭЦП на компьютер не представляет ничего сложного, разработчики ПО позаботились о том, чтобы с данной задачей справился и не опытный пользователь ПК.

За помощью же можно обратиться либо в удостоверяющий центр, либо в справочную службу КриптоПро – они довольно быстро отвечают на все вопросы от пользователей в рабочее время.

Загрузка пакета

Перед тем, как установить ЭЦП в КриптоПро, важно помнить, что он предлагается свободно и бесплатно. Установить его может любой желающий. КриптоПро ЭЦП SDK сертифицирован ФСБ РФ в составе ПАК «Службы УЦ».

Пакет включает:

документацию;

исходные файлы и библиотеки для проверки и создания электронной визы;

Как настроить утилиты по работе с электронной подписью в linux

Наши коллеги из компании «Актив» подготовили и разместили в своем блоге на Хабре интересный кейс по программным средствам для создания и проверки электронной подписи на операционных системах. Получился интересный обзор, полезный, на наш взгляд, не только программистам.

Поговорим немного про средства электронной подписи (ЭП) с использованием отечественных ГОСТ-алгоритмов в Linux. Несмотря на то, что различные средства и интерфейсы по работе с ЭП в Linux развиты даже лучше, чем в Windows, использовать их не так просто.

Такое положение вещей сохранялось последние несколько лет. Но с конца 2021 года ситуация изменилась в лучшую сторону. Появилось сразу два продукта, которые позволяют работать с электронной подписью по стандарту ГОСТ и шифрованием без использования консоли – это Rosa Crypto Tool и Trusted eSign.

«КриптоПро CSP» под Linux — неоднозначный продукт. С одной стороны, это одно из самых распространенных и мощных сертифицированных средств по работе с криптографией как в Windows, так и в Linux. С другой стороны, для простого человека пользоватся его интерфейсами даже в Windows не так-то просто.

Для настройки нам понадобится:

  • Любимый дистрибутив Linux. Я использовал Ubuntu Linux 16.04 LTS и ROSA Fresh GNOME R8;
  • Сертифицированная версия КриптоПро CSP 4.0 R2 для Windows, UNIX и macOS;
  • Рутокен ЭЦП 2.0.

Как установить крипто про и расширения для языка php

И так, напоминаю, что мы с вами уже слегка знакомились с crypto pro, точнее с его последствиями, после установки, а именно решалась ошибка 80072EE2 при обновлении Windows, где приходилось его удалять и вычищать систему, сегодня задача обратная, установка, да не просто, а в терминале Centos 7.

Расширение предоставляет программный интерфейс, аналогичный КриптоПро ЭЦП Browser plug-in, для выполнения следующих криптографических операций:

  • работа с сертификатами;
  • создание и проверка подписи форматов CAdES BES, CAdES-T, CAdES-X Long Type 1;
  • шифрование и расшифрование данных.

Как установить криптопро на windows 10

Чтобы установить средство криптографической защиты информации необходимо найти папку с ПО на компьютере либо установить диск в дисковод. Запустив Мастер Установки, необходимо следовать указаниям, выбрать вид инсталляции, место размещения и другие стандартные действия.

Можно выбрать язык установки, уровень защиты, настроить ПО для использования службы хранения ключей. Рекомендуется после установки перезагрузить компьютер для корректной работы программы.

Как установить криптопро на windows 7

Установка КриптоПро на Windows 7 имеет стандартный характер, и практически не отличается от установки другого ПО. Запускается Мастер Установки, который предлагает начать процесс инсталляции. Можно выбрать стандартную установку либо выборочную. При выборочной есть возможность сразу выбрать необходимые дополнительные опции и настроить программу под себя.

Как установить сертификат эцп на компьютер: инструкция по установке электронной подписи

Электронная подпись представляет собой цифровой сертификат, выдается на специальном USB-носителе, именуемом «рутокеном». Для того, чтобы начать пользоваться ключом ЭЦП его изначально необходимо установить на компьютер и только после этого появится возможность подписывать документы или авторизироваться на специальных сайтах (относящихся к порталу Госуслуг).

Крипто-про на linux centos 6

spions on 16 октября 2021

КриптоПро — набор криптографических утилит и вспомогательных программ, в основном использующихся в программах российских разработчиков для генерации ЭЦП, работы с сертификатами и шифрования передаваемых данных.

До определенного момента софт использовался преимущественно на windows, но с некоторых пор стал популярен и на других платформах, в частности Linux, в связи с вводом государством различных законов, требующих оперативности обмена и простоты последнего в плане автоматизации.

Например, провайдерам необходимо оперативно реагировать на  «Черные списки рунета», логично, что решение должно быть автономным и максимально удобным — с этим замечательно справляется Linux.

В моем случае CryptoPro будет работать в паре с eToken.

Криптопро: linux — установка

Чтобы установить ПО вам необходимо обладать правами администратора. СКЗИ устанавливается в определенной последовательности: вначале необходимо установить провайдер, а затем дополнительные модули. При помощи менеджера пакетов, который используется в ОС Linux нужное ПО можно устанавливать, удалять, обновлять и корректировать сборки. Пакет с КриптоПро должен устанавливаться в /opt/cprocsp в четкой последовательности.

Чтобы собрать модуль для нужной версии ядра, воспользуйтесь командой rpmbuild —rebuild —define «kernel_release `uname -r`» . Не забудьте при начале работы убедиться в наличии компилятора и заголовочных файлов ядра. После установки можно приступать к настройке ПО.

Криптопро: mac os — установка

Установка ПО выполняется также, как и на другие ОС от имени администратора. Для Mac OS используются packages (пакета), которые содержат установочные файлы ПО. Инсталляционный пакет имеет расширение .dmg и поставляется в образе диска.

Чтобы установить пакет через графический интерфейс необходимо открыть образ пакета, а затем, открыв файл пакета. mpkg, можно запускать установку. Можно установить ПО из командной строки, для этого понадобится смонтировать диск. Сборка ПО представляет собой комплект из нескольких модулей, которые можно устанавливать выборочно.

Настройка «криптопро» csp

Несмотря на то, что есть несколько неплохих статей по настройке «КриптоПро CSP» под Linux (например, тут или тут), я опишу здесь свой вариант. Основная причина в том, что большинство инструкций написаны для «Крипто Про CSP» версии 3.x. А современная версия «КриптоПро CSP» 4.

Приступаем к настройке.

Настройка криптопровайдера[править]

Просмотреть доступные типы криптопровайдеров можно командой cpconfig -defprov -view_type:

$ cpconfig -defprov -view_typeProvider type Provider Type Name_____________ _____________________________________ 75 GOST R 34.10-2001 Signature with Diffie-Hellman Key Exchange 80 GOST R 34.10-2021 (256) Signature with Diffie-Hellman Key Exchange 81 GOST R 34.10-2021 (512) Signature with Diffie-Hellman Key Exchange 16 ECDSA Full and AES 24 RSA Full and AES

Просмотр свойств криптопровайдера нужного типа:

$ cpconfig -defprov -view -provtype 80Listing Available Providers:Provider type Provider Name_____________ _____________________________________ 80 Crypto-Pro GOST R 34.10-2021 KC1 CSP 80 Crypto-Pro GOST R 34.10-2021 Cryptographic Service Provider Provider types and provider names have been listed.

Настройка оборудования[править]

Настройка устройств хранения (носителей) и считывания (считывателей) ключевой информации и датчиков случайных чисел.

Считыватели (readers) — устройства, предназначенные для чтения ключей. К считывателям относится считыватели дискет (FAT12), считыватели флеш-накопителей (FLASH), считыватели смарт-карт и токенов, считыватель образа дискеты на жестком диске (HDIMAGE) и др.

Ключевые носители (media) являются местом хранения электронной подписи. В качестве носителя ключевой информации могут использоваться: защищенный флэш-накопитель (токен) (Рутокен, JaCarta, ESMART и др.), смарт-карта, флэш-накопитель, дискета.

Ключевые контейнеры — это способ хранения закрытых ключей, реализованный в КриптоПро. Их физическое представление зависит от типа ключевого носителя (на флеш-накопителе, дискете, жестком диске это каталог в котором хранится набор файлов с ключевой информацией; в случае со смарт-картами — файлы в защищенной памяти смарт-карты).

Для смарт-карт: ключи дополнительно защищаются кодом доступа к защищенной памяти смарт-карты (PIN). При всех операциях с защищенной памятью (чтение, запись, удаление…) требуется вводить PIN.Для других носителей: для повышения безопасности на контейнер можно установить пароль.

Настройка работы с рутокен эцп 2.0

Сделаем небольшое отступление. Для работы с электронной подписью и шифрованием нам не обойтись без ключевых пар и сертификатов. Надежное хранение закрытых ключей – один из основных факторов безопасности. А более надежных средств хранения, чем токен или смарт-карта, человечество пока не придумало.

Для работы с токенами в ОС Linux есть масса различных средств и драйверов. Для описания всех этих средств понадобится отдельная статья. Поэтому я не буду подробно описывать, как это работает, и почему нам нужны именно эти пакеты.

Устанавливаем пакеты для работы с Рутокен ЭЦП 2.0:

apt-get install libpcsclite1 pcscd libccid

Нам также необходимо установить пакеты КриптоПро CSP для поддержки работы с токенами:

dpkg -i ./cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb ./cprocsp-rdr-rutoken-64_4.0.0-4_amd64.deb ./cprocsp-rdr-pcsc-64_4.0.0-4_amd64.deb ./lsb-cprocsp-pkcs11-64_4.0.0-4_amd64.deb

О криптопро[править]

КриптоПро — линейка криптографических утилит (вспомогательных программ) — так называемых криптопровайдеров. Они используются во многих программах российских разработчиков для генерации ЭЦП, работы с сертификатами, организации структуры PKI и т.д.

Обновление криптопро[править]

Внимание! Пакеты КриптоПро становятся нерабочие при их обновлении. Рекомендуется удалить все пакеты и установить пакеты снова.

Для обновления КриптоПро необходимо:

  1. Запомнить текущую конфигурацию:
    • набор установленных пакетов:
    • настройки провайдера (для простоты можно сохранить /etc/opt/cprocsp/config[64].ini).
  2. Удалить штатными средствами ОС все пакеты КриптоПро:# apt-get remove lsb-cprocsp-base
  3. Установить аналогичные новые пакеты КриптоПро.
  4. При необходимости внести изменения в настройки (можно просмотреть diff старого и нового /etc/opt/cprocsp/config[64].ini).
  5. Ключи и сертификаты сохраняются автоматически.

Обновление эцп

Срок действия ЭЦП – 12 месяцев, по его истечению сертификат признается не действительным, при попытке им подписать документ будет выдана ошибка.

Читайте также:  Справочник The Bat!

Для его обновления необходимо повторно обращаться в удостоверяющий центр для создания и регистрации новой электронной подписи. Как установить обновленный сертификат ЭЦП в систему? Точно так же, как и новый, через КриптоПро. Старый сертификат при этом автоматически будет деактивирован. Хоть и срок его действия может ещё и не закончится, но проверку на валидность он проходить не будет.

Кстати, при продлении ЭЦП изготавливать новый USB рутокен не нужно, можно обновить ранее выданный. Некоторые удостоверяющие центры также предлагают услугу продления электронной подписи по сниженной стоимости. Следует заблаговременно уточнять условия тарифной сетки удостоверяющего центра, с которым и сотрудничает получатель ЭЦП.

Обновление[править]

Внимание! Пакеты КриптоПро после обновления утрачивают работоспособность, так что рекомендуется удалить все пакеты и установить их заново.

Для обновления КриптоПро необходимо:

  1. Запомнить текущую конфигурацию:
    • набор установленных пакетов:
    • настройки провайдера (для простоты можно сохранить /etc/opt/cprocsp/config[64].ini).
  2. Удалить штатными средствами ОС все пакеты КриптоПро:# apt-get remove lsb-cprocsp-base
  3. Установить аналогичные новые пакеты КриптоПро.
  4. При необходимости внести изменения в настройки (можно просмотреть diff старого и нового /etc/opt/cprocsp/config[64].ini).
  5. Ключи и сертификаты сохраняются автоматически.

Общие сведения о процессе установки

Установка сертификата ЭЦП на компьютер проводится по следующему алгоритму:

  • установка программной платформы для работы с электронными подписями;
  • генерация совместимого сертификата ЭЦП;
  • установка сертификата в операционную систему;
  • прописывание сертификата в реестре (сейчас это выполняется автоматически, вручную вводить какие-либо изменения не нужно).

Для работы с ЭЦП используется программная платформа КриптоПро CSP. На текущий момент доступны 2 актуальные версии приложения – 3.5 и 5.0. В принципе, функционал у них практически идентичен, но в версии 5.0 реализовано больше протоколов защиты, поэтому именно она и рекомендуема к использованию. КриптоПро CSP – это единственная программа, сертифицирована в РФ для работы с ЭЦП.

Поддерживаемые unix-подобные операционные системы для версий криптопро 3.6, 3.9, 4.0

CSP 3.6 CSP 3.9 CSP 4.0
iOS 10ARM32** / ARM64**ARM32*** / ARM64***
iOS 9ARM32** / ARM64**ARM32 / ARM64
iOS 8ARM32 / ARM64**ARM32 / ARM64
iOS 6 / 7ARM32ARM32ARM32
iOS 4.2 / 4.3 / 5ARM32
Mac OS X 10.12x64**x64***
Mac OS X 10.11x64**x64
Mac OS X 10.10x64**x64
Mac OS X 10.9x64x64
Mac OS X 10.8x64x64x64
Mac OS X 10.7x64x64x64
Mac OS X 10.6x86 / x64x86 / x64
Android 3.2 / 4ARM32
Solaris 10 / 11x86 / x64 / sparcx86 / x64 / sparcx86 / x64 / sparc
Solaris 9x86 / x64 / sparc
AIX 5 / 6 / 7PowerPCPowerPCPowerPC
FreeBSD 10x86 / x64x86 / x64
FreeBSD 8 / 9x86 / x64x86 / x64x86 / x64
FreeBSD 7x86 / x64
FreeBSD 6x86*
LSB 4.0x86 / x64x86 / x64x86 / x64
LSB 3.0 / LSB 3.1x86 / x64
RHEL 7x64**x64
RHEL 4 / 5 / 6x86 / x64x86 / x64x86 / x64
RHEL 3.3 спец.сборкаx86x86x86
CentOS 7x86 / x64**x86 / x64
CentOS 5 / 6x86 / x64x86 / x64x86 / x64
CentOS 4x86 / x64
Ubuntu 15.10 / 16.04 / 16.10x86 / x64**x86 / x64***
Ubuntu 14.04x86 / x64**x86 / x64
Ubuntu 12.04 / 12.10 / 13.04x86 / x64x86 / x64
Ubuntu 10.10 / 11.04 / 11.10x86 / x64x86 / x64
Ubuntu 10.04x86 / x64x86 / x64x86 / x64
Ubuntu 8.04x86 / x64
Ubuntu 6.04x86 / x64*
Linux Mint 18x86 / x64**x86 / x64***
Linux Mint 13 / 14 / 15 / 16 / 17x86 / x64**x86 / x64
Astra Linuxx86 / x64**x86 / x64***
ALTLinux 8x86 / x64**x86 / x64***
ALTLinux 7x86 / x64x86 / x64
ALTLinux 6x86 / x64x86 / x64x86 / x64
ALTLinux 4 / 5x86 / x64
Debian 8x86 / x64**x86 / x64
Debian 7x86 / x64x86 / x64
Debian 6x86 / x64x86 / x64x86 / x64
Debian 4 / 5x86 / x64*
ТД ОС АИС ФССП России (GosLinux)x86 / x64x86 / x64x86 / x64
Linpus Lite 1.3x86 / x64x86 / x64x86 / x64
Mandriva Server 5, Business Server 1x86 / x64x86 / x64x86 / x64
Oracle Enterprise Linux 5/6x86 / x64x86 / x64x86 / x64
ОpenSUSE 12.2/12.3x86 / x64x86 / x64x86 / x64
SUSE Linux Enterprise 11x86 / x64x86 / x64x86 / x64

Поддерживаемые операционные системы windows для версий криптопро 3.6, 3.9, 4.0

CSP 3.6 CSP 3.9 CSP 4.0
Windows 2021x64*x64**
Windows 10x86 / x64*x86 / x64
Windows 2021 R2x64x64
Windows 8.1x86 / x64x86 / x64
Windows 2021x64x64x64
Windows 8x86 / x64x86 / x64x86 / x64
Windows 2008 R2x64 / itaniumx64x64
Windows 7x86 / x64x86 / x64x86 / x64
Windows 2008x86 / x64 / itaniumx86 / x64x86 / x64
Windows Vistax86 / x64x86 / x64x86 / x64
Windows 2003 R2x86 / x64 / itaniumx86 / x64x86 / x64
Windows 2003x86 / x64 / itaniumx86 / x64x86 / x64
Windows XPx86 / x64
Windows 2000x86

* Начиная с версии КриптоПро CSP 3.9 R2.

** Начиная с версии КриптоПро CSP 4.0 R2.

Получаем тестовый сертификат

Перед тем как перейти непосредственно к работе с подписью, надо сгенерировать ключевую пару и создать сертификат электронной подписи. Если у вас уже есть Рутокен с контейнером «КриптоПро», то эту часть можно смело пропустить.

Привязка к оборудованию

Вышеуказанный метод установки ЭЦП на компьютер выполняет привязку сертификата к оборудованию. При переустановке ОС или изменении аппаратной конфигурации компьютера ключ деактивируется, сертификат потребуется установить повторно.

Ограничений по количеству ПК, где будет использоваться одна и та же электронная подпись – нет. То есть, можно устанавливать сертификат сразу на несколько компьютеров, рабочий ноутбук. Дополнительно останется возможность использовать ЭЦП для однократной подписи документов (если в системе имеется установленная программа КриптоПро CSP). За сохранность персональных данных отвечает только сам владелец ЭЦП.

Проверка лицензии[править]

Проверить срок истечения лицензии можно командой (обратите внимание на строки Expires:):

$ cpconfig -license -viewLicense validity:4040E-G0037-EK8R3-C6K4U-HCXQGExpires: 2 month(s) 23 day(s)License type: Server.

Примечание: Для версии КриптоПро CSP под Linux все лицензии считаются серверными, поэтому не смущайтесь строкой «License type: Server».

Для установки другой лицензии выполните (под root):

# cpconfig -license -set

Примечание: Серийный номер следует вводить с соблюдением регистра символов.

Проверки без выхода в сеть

Электронная подпись КриптоПро уникальна тем, что не требует сетевых обращений для подтверждения актуальности и законности. Здесь в сам визируемый документ всаживаются все необходимые доказательства. Лишь когда создаётся виза, нужен доступ к службам CSP, хранилищу сертификатов и временным меткам.

Благодаря такой усовершенствованной визе есть возможность архивного хранения документов, удостоверенных электронной подписью.

Обеспечив целостность архивных данных организационными и техническими мерами, пользователь может хранить их неограниченное время, так как подлинность цифровой лицензии будет подтверждена даже после окончания срока действия сертификата ключа (в наличии маркёр времени, который и покажет подлинность на момент создания документа).

Прописывание путей к исполняемым файлам[править]

Утилиты КриптоПро расположены в директориях /opt/cprocsp/sbin/ и /opt/cprocsp/bin/.

Чтобы каждый раз не вводить полный путь к утилитам КриптоПро:

  • после установки пакета cryptopro-preinstall начните новый сеанс пользователя в консоли;

Примечание: Не работает для суперпользователя.

или

  • выполните от имени пользователя, который будет запускать команды (будет действовать до закрытия терминала):

export PATH=»$(/bin/ls -d /opt/cprocsp/{s,}bin/*|tr ” ‘:’)$PATH»

Внимание! Если установлен пакет mono или mono4-devel, может быть конфликт по имени утилиты certmgr

Собираем libphpcades

Для того, чтобы собрать libphpcades, у вас во первых, должна быть установлена CentOS 7. Далее мы должны установить пакеты boost-devel и php-devel, приступаем, добавляем репозиторий и ставим boost-devel.

Следующим шагом, мы ставим пакет php-devel с помощью команды.

Далее ставим lsb пакет (Linux Standard Base)

Далее переходим в папку root, если вы не в ней, с помощью команды

И скачиваем дистрибутив крипто про csp 4

Остальные версии можно посмотреть на официальном сайте Крипто ПРО . Для скачивания вам нужно будет зарегистрироваться.

Далее распаковываете архив с помощью tar и даете возможность запускать скрипт install.sh

Все теперь, можно устанавливать самый главный компонент libphpcades, сам крипто про csp 4

Далее после установки, прописываем переменные окружения, или перемещаемся в папку /opt/cprocsp/

Затем до установим, еще два пакета cprocsp-rdr-gui-gtk и lsb-cprocsp-devel

Затем следует установить пакет cprocsp-pki-2.0.0-cades.rpm из состава КриптоПро ЭЦП SDK . Скачиваем архив, лтбо вручную и потом через ssh передаем, либо скачиваем через wget. Скачивайте КриптоПро ЭЦП SDK 2.0, именно ее, так как она содержит пакет cprocsp-pki-2.0.0-cades.rpm.

Посмотреть список пакетом, можно командой

  • lsb-cprocsp-kc1-64-4.0.0-4.x86_64
  • cprocsp-pki-cades-2.0.0-1.x86_64
  • lsb-cprocsp-base-4.0.0-4.noarch
  • lsb-cprocsp-capilite-64-4.0.0-4.x86_64
  • cprocsp-curl-64-4.0.0-4.x86_64
  • lsb-cprocsp-devel-5.0.0-4.noarch
  • lsb-cprocsp-rdr-64-4.0.0-4.x86_64
  • cprocsp-rdr-gui-gtk-64-4.0.0-4.x86_64
  • cprocsp-pki-plugin-2.0.0-1.x86_64

Далее делаем следующее.

PHP 5.6.30 (cli) (built: Jan 19 2021 08:09:42) Copyright (c) 1997-2021 The PHP Group Zend Engine v2.6.0, Copyright (c) 1998-2021 Zend Technologies with Zend OPcache v7.0.6-dev, Copyright (c) 1999-2021, by Zend Technologies

You have mail in /var/spool/mail/root

Совместимость[править]

По информации разработчика, с ALT Linux совместимы следующие продукты КриптоПро:

  • КриптоПро CSP
  • КриптоПро JCP
  • КриптоПро HSM
  • КриптоПро TSP
  • КриптоПро OCSP
  • КриптоПро ЭЦП Browser plug-in
  • КриптоПро SSF
  • КриптоПро Stunnel
  • Браузер КриптоПро Fox

Примечание: В репозитории доступен пакет firefox-gost, аналогичный КриптоПро Fox, с патчем от КриптоПро.

Создание контейнера[править]

Примечание: Для того, чтобы сертификат из контейнера можно было использовать через модуль pkcs11 (из пакета lsb-cprocsp-pkcs11) в браузере firefox-gost, необходимо создать его с -provtype 75 (поддержка ГОСТ-2001).

Внимание! C 1 января 2021 г. по указанию ФСБ РФ и Минкомсвязи всем аккредитованным УЦ запрещен выпуск сертификатов ЭП по ГОСТ 2001.Ключи и запрос на сертификат необходимо формировать ГОСТ 2021.

Создадим контейнер с именем «test» в локальном считывателе HDIMAGE.

$ csptest -keyset -provtype 75 -newkeyset -cont ‘\.HDIMAGEtest’

При установленном пакете cprocsp-rdr-gui-gtk будет показано графическое окно, где будет предложено перемещать указатель мыши или нажимать клавиши:

Примечание: Если такой пакет не установлен, будет предложено ввести любые символы с клавиатуры.

После этого будет предложено указать пароль на контейнер (можно указать пустой, тогда пароль запрашиваться не будет):

Внимание! При создании контейнера на токене:$ csptest -keyset -provtype 75 -newkeyset -cont ‘\.Aladdin R.D. JaCarta [SCR Interface] 01 00test’

Пароль не создается, а предъявляется (PIN-код пользователя):

После указания пароля снова будет предложено перемещать указатель мыши.

Вывод команды:

Технические требования

Перед установкой новой ЭЦП на компьютер необходимо убедиться, что он отвечает следующим минимальным техническим требованиям для работы с КриптоПро:

  • операционная система: Windows 7 и старше;
  • бразуер: InternetExplorer 8 или выше, актуальные версии Chrome, Яндекс-браузер, Mozilla Firefox; процессор: 32 или 64-битный с частотой 1Ггц или выше;
  • ОЗУ: 512 Мб или выше;
  • устройство вывода изображения с разрешением 800х600 или выше;
  • наличие USB-входа стандарта 1.1 или выше (для работы с рутокеном).

Поддерживается работа и с Windows XP (при установленном Internet Explorer версии 7 или выше), но в этом случае будет действовать ряд ограничений. К тому же, в Windows XP не поддерживаются последние версии Microsoft Office (2021), а также прекращен выпуск некоторых браузеров (того же Chrome, к примеру).

Windows Vista официально не поддерживается КриптоПро CSP, тем не менее, программа там работает, но с такими же ограничениями, как и в Windows XP.

Читайте также:  Тензор ЭЦП: электронные подписи для любых целей

Удаление криптопро[править]

# apt-get remove lsb-cprocsp-baseПримечание: Если появляется support_mutex_open(«registry_lock») failed:: Permission deniedвыполните после удаления # rm -f /var/opt/cprocsp/tmp/.registry_lock

Управление дсч[править]

Просмотр списка настроенных ДСЧ:

$ cpconfig -hardware rndm -viewNick name: CPSDConnect name: Rndm name: Rndm level: 3 Nick name: BIO_GUIConnect name: Rndm name: Rndm level: 4 Nick name: BIO_TUIConnect name: Rndm name: Rndm level: 5

Управление считывателями[править]

Просмотр доступных (настроенных) считывателей:

$ cpconfig -hardware reader -viewNick name: Aladdin R.D. JaCarta [SCR Interface] 00 00Connect name: Reader name: Nick name: FLASHConnect name: Reader name: Nick name: HDIMAGEConnect name: Reader name:

Либо:

$ csptest -enum -info -type PP_ENUMREADERS | iconv -f cp1251CSP (Type:80) v4.0.9006 KC1 Release Ver:4.0.9708 OS:Linux CPU:AMD64 FastCode:READY:AVX.CryptAcquireContext succeeded.HCRYPTPROV: 6679203GetProvParam(…PP_ENUMREADERS…) until it returns false Len Byte NickName/Name_____________________________ 0x012a 0x72 ACS ACR38U-CCID 00 00 All PC/SC readers 0x012a 0x72 Aktiv Co.

Rutoken S 00 00 All PC/SC readers 0x012a 0x58 FLASH FLASH 0x012a 0x18 HDIMAGE Структура дискеты на жестком дискеCycle exit when getting data. 4 items found. Level completed without problems.Total: SYS: 0,000 sec USR: 0,170 sec UTC: 0,190 sec[ErrorCode: 0x00000000]

Инициализация считывателя HDIMAGE, если его нет в списке доступных считывателей (под правами root):

# cpconfig -hardware reader -add HDIMAGE storeAdding new reader:Nick name: HDIMAGESucceeded, code:0x0

Считыватель HDIMAGE размещается на /var/opt/cprocsp/keys//.

Для работы со считывателем PC/SC требуется пакет cprocsp-rdr-pcsc. После подключения считывателя можно просмотреть список видимых считывателей (не зависимо от того, настроены ли они в КриптоПро как считыватели, зависит только от того, какие установлены драйверы для считывателей):

$ list_pcsc Aladdin R.D. JaCarta [SCR Interface] 00 00Aktiv Co. Rutoken S 00 00

Инициализация считывателя Aktiv Co. Rutoken S 00 00 (требуется, если считыватель есть в списке видимых считывателей и отсутствует в списке настроенных), в параметре -add указывается имя, которое было получено при просмотре видимых считывателей, в параметре -name — удобное для обращения к считывателю имя, например, Rutoken (под правами root):

# cpconfig -hardware reader -add ‘Aktiv Co. Rutoken S 00 00’ -name ‘Rutoken’Adding new reader:Nick name: Aktiv Co. Rutoken S 00 00Name device: RutokenSucceeded, code:0x0

Современные аппаратные и программно-аппаратные хранилища ключей, такие как Рутокен ЭЦП или eSmart ГОСТ, поддерживаются через интерфейс PCSC. За реализацию этого интерфейса отвечает служба pcscd, которую необходимо запустить перед началом работы с соответствующими устройствами:

Можно включить службу pcscd в автозапуск при загрузке системы:

Установка криптопро csp[править]

Архив с программным обеспечением (КриптоПро CSP 4.0 R4 — сертифицированная версия, КриптоПро CSP 5.0 — несертифицированная) можно загрузить после предварительной регистрации:

  • linux-ia32.tgz (19,3 МБ, для i586) КриптоПро CSP 4.0 для Linux (x86, rpm) для 32 разрядный систем;
  • linux-amd64.tgz (20,1 МБ, для x86_64) КриптоПро CSP 4.0 для Linux (x64, rpm) для 64 разрядный систем.

Внимание! По умолчанию при скачивании с сайта КриптоПро выдаётся лицензия на три месяца

Установка криптопро на windows, linux и mac os

Как установить КриптоПро на Windows 7

Как установить КриптоПро на Windows 10

КриптоПро: Linux — установка

КриптоПро: Mac OS — установка

КриптоПро является СКЗИ – программным компонентом, обеспечивающим надёжную защиту (шифрование) информации, создание электронных подписей и другое. Чтобы безопасно работать с электронной отчетностью, защищать конфиденциальную информацию и организовать юридически значимую передачу документов через сеть понадобится установить КриптоПро.

Имеется несколько версий программы, каждая из которых совместима с определёнными операционными системами, может поддерживать различные криптографические алгоритмы. Последняя из выпущенных версий 4.0. обладает поддержкой новых алгоритмов подписи и устанавливается на Windows 10.

Установка КриптоПро 3.6 на Windows 7 Установка КриптоПро 3.6 на Windows 10 Установка КриптоПро CSP 3.9

Установка неквалифицированной подписи

Вышеуказанная инструкция установки ЭЦП на компьютер описывает процесс установки усиленной квалифицированной подписи. Неквалифицированная, в отличии от неё, состоит из 2 файлов – закрытого ключа и открытого сертификата. Также к ним обязательно добавляется сертификат удостоверяющего центра.

Если ЭЦП необходим ещё для идентификации на портале Госуслуг, то необходимо установить корневой сертификат в браузер Internet Explorer через его меню настроек (также вкладка «Сервис»). Это необходимо только в Windows XP, так как в Internet Explorer версии 8 и выше предусмотрена автоматическая синхронизация браузера с указанными в реестре сертификатами (при первом запуске браузера будет выдан соответствующий запрос на использование сертификата).

Установка пакетов[править]

1. Установите пакет cryptopro-preinstall:

# apt-get install cryptopro-preinstallЭтот пакет установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП).

Примечание:Пакет cryptopro-preinstall вытягивает зависимости libpangox-compat, opensc, pcsc-lite, pcsc-lite-rutokens, pcsc-lite-ccid, newt52.

2. Распакуйте архив, скачанный с официального сайта КриптоПро:

$ tar -xf linux-amd64.tgz

Таблица 1. Описание необходимых пакетов КриптоПро.

ПакетОписание
Базовые пакеты:
cprocsp-curlБиблиотека libcurl с реализацией шифрования по ГОСТ
lsb-cprocsp-baseОсновной пакет КриптоПро CSP
lsb-cprocsp-capiliteИнтерфейс CAPILite и утилиты
lsb-cprocsp-kc1Провайдер криптографической службы KC1
lsb-cprocsp-kc2Провайдер криптографической службы KC2 (требует наличия аппаратного датчика случайных чисел или гаммы)
lsb-cprocsp-rdrПоддержка ридеров и RNG
Дополнительные пакеты:
cprocsp-rdr-gui-gtkГрафический интерфейс для диалоговых операций
cprocsp-rdr-rutokenПоддержка карт Рутокен
cprocsp-rdr-jacartaПоддержка карт JaCarta
cprocsp-rdr-pcscКомпоненты PC/SC для ридеров КриптоПро CSP
lsb-cprocsp-pkcs11Поддержка PKCS11
ifd-rutokensКонфигурация Рутокеновских карт (или можно взять pcsc-lite-rutokens из репозитория)

3. Установите пакеты КриптоПро:

Примечание:Для 32-битной версии вместо последнего пакета — lsb-cprocsp-rdr-4*

  • установите пакеты для поддержки токенов (Рутокен S и Рутокен ЭЦП):# apt-get install cprocsp-rdr-gui-gtk* cprocsp-rdr-rutoken* cprocsp-rdr-pcsc* lsb-cprocsp-pkcs11* pcsc-lite-rutokens pcsc-lite-ccid
  • установите пакет для поддержки токенов (JaCarta):# apt-get install cprocsp-rdr-jacarta*

Примечание:Для установки cprocsp-rdr-jacarta может понадобиться предварительно удалить openct.

  • Для установки сертификатов Главного удостоверяющего центра:# apt-get install lsb-cprocsp-ca-certs*

Можно выполнить установку КриптоПро, запустив ./install_gui.sh в распакованном каталоге и выбрав необходимые модули:

Установка сертификата

Как установить сертификат ЭЦП на компьютер? Пошаговый алгоритм:

  1. Перейти в «Панель управления».
  2. Дважды кликнуть левой кнопкой мыши на «КриптоПро CSP».
  3. Откроется окно «Свойства», в нем необходимо перейти во вкладку «Сервис».
  4. Если имеется USB-рутокен – его на этом этапе необходимо подсоединить к USB-входу компьютера или ноутбука (можно и до запуска КриптоПро CSP, но не позже).
  5. Во вкладке «Сервис» выбрать «Просмотреть сертификаты на контейнере».
  6. В следующем окне – выбрать устройство, с которого и необходимо считать ключ ЭЦП (оно будет одно, если в USB имеется только один рутокен).
  7. Нажать «Далее», дождаться интеграции сертификата в систему, выбрать «Готово».
  8. В появившемся окне выбрать «Установить сертификат» (если не сделать этого, то после перезагрузки ПК ЭЦП будет не активным).

В последнем окне также будут указаны сведения из ЭЦП.

Продолжать установку следует только в том случае, если данные – верные, соответствуют действительным данным владельца ключа.

Если система выдаст запрос на выбор хранилища сертификата, то рекомендуется отмечать пункт «Личное». После этого данные ЭЦП будут добавлены в реестр, для последующего его использования вставлять в USB рутокен не потребуется, сертификат будет привязан к используемому оборудованию.

Важный нюанс: если пользователь периодически проводит «чистку» реестра с помощью таких программ, как C&Cleaner или схожих (с подобным функционалом), то после данной процедуры сертификат может деактивироваться и потребуется его повторная установка через КриптоПро.

Вышеуказанная инструкция актуальна для всех версий ОС Windows (XP и старше). В дальнейшем, при использовании офисного пакета Microsoft Office можно прямо из программы выполнять подпись и заверение документов установленным сертификатом буквально в несколько кликов.

И перед тем как установить ключ электронной подписи на компьютер рекомендуется инсталлировать любой современный антивирус, обновив и его базу данных (сигнатур). В Windows 10 это не обязательно, так как в данной версии операционной системы имеется интегрированный антивирус Microsoft Essential.

Установка сертификата эцп криптопро на компьютер

Основные проблемы ЭЦП:

сложно доказать конкретный момент визы

во время подписания сложно проверить статус, которым обладает сертификат открытого ключа. Ведь он может уже быть аннулированным или

приостановленным

Электронная подпись КриптоПро CSP гарантирует своему пользователю данные, которые могут стать доказательной базой в спорах. С её помощью можно точно установить момент подписи, статус сертификата (был ли он актуален на момент визы).

Установка[править]

1. Установите пакет cryptopro-preinstall:

# apt-get install cryptopro-preinstallЭтот пакет установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП).

Примечание: Пакет cryptopro-preinstall вытягивает зависимости libpangox-compat, opensc, pcsc-lite, pcsc-lite-rutokens, pcsc-lite-ccid, newt52.

2. Распакуйте архив, скачанный с официального сайта КриптоПро:

$ tar -xf linux-amd64.tgz

Таблица 1. Описание необходимых пакетов КриптоПро.

ПакетОписание
Базовые пакеты:
cprocsp-curlБиблиотека libcurl с реализацией шифрования по ГОСТ
lsb-cprocsp-baseОсновной пакет КриптоПро CSP
lsb-cprocsp-capiliteИнтерфейс CAPILite и утилиты
lsb-cprocsp-kc1Провайдер криптографической службы KC1
lsb-cprocsp-kc2Провайдер криптографической службы KC2 (требует наличия аппаратного датчика случайных чисел или гаммы)
lsb-cprocsp-rdrПоддержка ридеров и RNG
Дополнительные пакеты:
cprocsp-rdr-gui-gtkГрафический интерфейс для диалоговых операций
cprocsp-rdr-rutokenПоддержка карт Рутокен
cprocsp-rdr-jacartaПоддержка карт JaCarta
cprocsp-rdr-pcscКомпоненты PC/SC для ридеров КриптоПро CSP
lsb-cprocsp-pkcs11Поддержка PKCS11
ifd-rutokensКонфигурация Рутокеновских карт (или можно взять pcsc-lite-rutokens из репозитория)

3. Установите пакеты КриптоПро:

Примечание: Для 32-битной версии вместо последнего пакета — lsb-cprocsp-rdr-4*

  • установите пакеты для поддержки токенов (Рутокен S и Рутокен ЭЦП):# apt-get install cprocsp-rdr-gui-gtk* cprocsp-rdr-rutoken* cprocsp-rdr-pcsc* lsb-cprocsp-pkcs11* pcsc-lite-rutokens pcsc-lite-ccid

Примечание: Если возникнут проблемы с отображением контейнеров на Рутокен S — удалите pcsc-lite-openct

  • установите пакет для поддержки токенов (JaCarta):# apt-get install cprocsp-rdr-jacarta*

Примечание: Для установки cprocsp-rdr-jacarta может понадобиться предварительно удалить openct.

  • Для установки сертификатов Главного удостоверяющего центра:# apt-get install lsb-cprocsp-ca-certs*

Можно выполнить установку КриптоПро, запустив ./install_gui.sh в распакованном каталоге и выбрав необходимые модули:

Этот формат эцп имеет такие преимущества:

лёгкость встраивания в любую рабочую среду

упрощённую архивацию и хранение документации

автономная работа (нет необходимости в обращениях к сети для удостоверения подлинности)

наглядная демонстрация актуальности сертификата ключа в момент визы, фиксация самого момента подписания

Электронная цифровая подпись КриптоПро соответствует действующему законодательству, так как предоставляет данные по моменту визы, удостоверяет их подлинность, что приравнивает её к данным на бумажных носителях, заверенных по установленному порядку. Подтверждение момента визы осуществляется по штампам времени RFC 3161.

Вставляем ключ eToken и проверяем вывод list_pcsc:

# ./list_pcscavailable reader: AKS ifdh 00 00

# ./list_pcsc available reader: AKS ifdh 00 00

Утилита доступна после установки пакета

# rpm -i cprocsp-rdr-pcsc-64-3.9.0-4.x86_64.rpm

# rpm -i cprocsp-rdr-pcsc-64-3.9.0-4.x86_64.rpm

Как вариант штатными средствами:

# lsusbBus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hubBus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hubBus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hubBus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hubBus 001 Device 002: ID 203a:fff9Bus 002 Device 039: ID ####:#### Aladdin Knowledge Systems eToken Pro 64k (4.2)

# lsusb Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub Bus 001 Device 002: ID 203a:fff9 Bus 002 Device 039: ID ####:#### Aladdin Knowledge Systems eToken Pro 64k (4.2)

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector