- Библиотека для работы с рутокен эцп 2.0[править]
- Генерация пары ключей и формирование запроса на сертификат[править]
- Добавление (запись) сертификатов[править]
- Значения pin-кодов на рутокен по умолчанию[править]
- Изменение pin-кода[править]
- Инициализация токена[править]
- Настройка аутентификации[править]
- Проверка наличия сертификатов и ключевых пар[править]
- Проверка работы рутокен эцп в системе[править]
- Проверка работы[править]
- Просмотр сертификатов[править]
- Разблокировка pin-кода[править]
- Рутокен эцп в gnu/linux
- Смена pin-кода[править]
- Создание запроса на сертификат[править]
- Создание и проверка подписи[править]
- Создание ключевой пары[править]
- Создание контейнера[править]
- Удаление объекта[править]
- Управление считывателями[править]
- Установка «рутокен плагин»[править]
- Утилита pkcs11-tool[править]
Библиотека для работы с рутокен эцп 2.0[править]
.
Генерация пары ключей и формирование запроса на сертификат[править]
.
Добавление (запись) сертификатов[править]
.
Ассоциировать сертификат с контейнером, сертификат попадет в пользовательское хранилище uMy:
.
.
.
Необходимо последовательно добавить все сертификаты.
Значения pin-кодов на рутокен по умолчанию[править]
У Рутокен:
PIN-коды Рутокен S/Lite/ЭЦП 2.0, установленные по умолчанию — Пользователь: 12345678; Администратор: 87654321
У Рутокен Web:
PIN на скретч-карте.
Подробнее о КриптоПро: КриптоПро
Для поддержки Рутокен в качестве ключевого носителя в СКЗИ «КриптоПро CSP» необходимо установить модуль поддержки (из архива КриптоПро):
Изменение pin-кода[править]
.
где
pin — текущий PIN-код устройства;
new-pin — новый PIN-код устройства.
Инициализация токена[править]
.
Для инициализации токена следует выполнить команду (необходимо ввести so-pin карты 2 раза или передать его в качестве параметра –so-pin):
Настройка аутентификации[править]
.
.
Проверка наличия сертификатов и ключевых пар[править]
Просмотреть имеющуюся на токене информацию можно при помощи команды (требуется пароль от токена):
.
.
.
Чтобы скопировать сертификат в файл введите команду:
Проверка работы рутокен эцп в системе[править]
.
.
$ pkcs11-tool -v --module /usr/lib64/pkcs11/librtpkcs11ecp.so --list-mechanisms
Using slot 0 with a present token (0x0)
Supported mechanisms:
RSA-PKCS-KEY-PAIR-GEN, keySize={512,2048}, hw, generate_key_pair
RSA-PKCS, keySize={512,2048}, hw, encrypt, decrypt, sign, verify
RSA-PKCS-OAEP, keySize={512,2048}, hw, encrypt, decrypt
MD5, digest
SHA-1, digest
GOSTR3410-KEY-PAIR-GEN, hw, generate_key_pair
GOSTR3410, hw, sign, verify
mechtype-0x1204, hw, derive
GOSTR3411, hw, digest
GOSTR3410-WITH-GOSTR3411, hw, digest, sign
mechtype-0x1224, hw, wrap, unwrap
mechtype-0x1221, hw, encrypt, decrypt
mechtype-0x1222, hw, encrypt, decrypt
mechtype-0x1220, hw, generate
mechtype-0x1223, hw, sign, verify
mechtype-0x1211, sign, verify
Проверка работы[править]
.
Просмотреть имеющуюся на токене информацию можно при помощи команды (требуется пароль от токена):
Просмотр сертификатов[править]
.
.
Просмотр сертификатов в контейнере:
$ certmgr -list -container '.Aktiv Rutoken ECP - CP 00 00Rutoken'
Certmgr 1.1 (c) "Crypto-Pro", 2007-2022.
program for managing certificates, CRLs and stores
=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : E=ivanov@mail.mail, CN=Иванов Иван Иванович, SN=Иванов, G=Иван Иванович, C=RU, S=39 Калининградская обл., L=Калининград, STREET=Пр-т Победы 14 кв.3
Serial : 0x120032F1A2A438324D0C0EFA2900000032F1A2
SHA1 Hash : 85b37ce3e2fce0f86f7847000eafca0a9c5df274
SubjKeyID : c16fc96ae4670ac21b219434caae3a9f68b54ca2
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2022 (512 bits)
Not valid before : 05/03/2022 10:56:32 UTC
Not valid after : 05/06/2022 11:06:32 UTC
PrivateKey Link : Certificate from container. No link to key
CA cert URL : http://testca.cryptopro.ru/CertEnroll/test-ca-2022_CRYPTO-PRO Test Center 2.crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO Test Center 2.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.4
1.3.6.1.5.5.7.3.2
1.3.6.1.4.1.311.10.3.12
=============================================================================
[ErrorCode: 0x00000000]
.
Разблокировка pin-кода[править]
.
Рутокен эцп в gnu/linux
.
pcscd – Фоновая служба (демон), обеспечивающая доступ к смарт-картам через PC/SC
libpcsclite – Промежуточное ПО для доступа к смарт-картам через PC/SC
libccid – Библиотека-драйвер, поддерживающая USB CCID устройства (в т.ч. Рутокен ЭЦП) через PC/SC
Для установки указанных пакетов запустите терминал и выполните команду:
$ sudo apt-get install libccid pcscd libpcsclite1
Для систем (RedHat, CentOS, Fedora и др. )это пакеты ccid, pcscd и pcsc-lite. Для установки
rpm-based указанных пакетов откройте терминал и выполните команду:
.
.
Корректность работы устройства можно проверить запуском pcscd в режиме отладки. Для этого:
1. Остановите сервис pcscd, если он запущен:
# /usr/sbin/pcscd stop
.
# /usr/sbin/pcscd –afddddd
На некоторых дистрибутивах GNU/Linux могут возникать проблемы при совместной работе libccid и OpenCT
с демоном pcscd. И тот, и другой «драйвер» поддерживает работу с электронными идентификаторами Рутокен ЭЦП, однако при одновременной работе они могут блокировать друг друга. При этом pcsc_scan не сможет обнаружить устройство
В такой ситуации устройство не будет определяться в прикладных программах.
OpenCT является устаревшим драйвером смарт-карт и для корректной работы рекомендуется его удалить и перезагрузить устройство.
Драйвер Рутокен под *nix системы. http://www.rutoken.ru/support/download/drivers-for-nix/
.
http://www.rutoken.ru/manual/RutokenOSXUnix.pdf
Разблокировать файловую систему тонкого клиента – fsunlock
Смена pin-кода[править]
Для смены PIN-кода необходимо выполнить команду (потребуется ввести текущий PIN-код, а затем дважды ввести новый):
Создание запроса на сертификат[править]
.
Например:
$ cryptcp -creatrqst
-dn "E=ivanov@mail.mail,CN=Иванов Иван Иванович,SN=Иванов,G=Иван Иванович,C=RU,L=Калининград,ST=39 Калининградская обл.,street=Пр-т Победы 14 кв.3"
-provtype 80 -nokeygen
-cont '.Aktiv Co. Rutoken S 00 00Rutoken'
-certusage "1.3.6.1.5.5.7.3.4,1.3.6.1.5.5.7.3.2" rutoken.req
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2022.
Утилита командной строки для подписи и шифрования файлов.
Запрос успешно создан и сохранен в файле.
[ErrorCode: 0x00000000]
Запрос на сертификат необходимо подписать в аккредитованном удостоверяющем центре.
Создание и проверка подписи[править]
.
$ cryptcp -sign -dn E=ivanov@mail.mail -der my_file.odt
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2022.
Утилита командной строки для подписи и шифрования файлов.
Будет использован следующий сертификат:
Субъект:11223344556, 102301111222, Пр-т Победы 14 кв.3, Калининград, 39 Калининградская обл., RU, ivanov@mail.mail, Иван Иванович, Иванов, Иванов Иван Иванович
Действителен с 27.02.2022 13:41:47 по 27.05.2022 13:51:47
Цепочки сертификатов проверены.
Папка './':
my_file.odt... Подпись данных...
Подписанное сообщение успешно создано.
[ErrorCode: 0x00000000]
На выходе появится файл my_file.odt.sig, содержащий как сам подписываемый файл, так и электронную подпись.
Для проверки прикреплённой подписи выполните команду:
$ cryptcp -verify my_file.odt.sig
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2022.
Утилита командной строки для подписи и шифрования файлов.
Найдено сертификатов: 2
Цепочки сертификатов проверены.
Папка './':
my_file.odt.sig... Проверка подписи...
Автор подписи: 11223344556, 102301111222, Пр-т Победы 14 кв.3, Калининград, 39 Калининградская обл., RU, ivanov@mail.mail, Иван Иванович, Иванов, Иванов Иван Иванович
Подпись проверена.
[ErrorCode: 0x00000000]
.
Для создания откреплённой (detached) подписи необходимо заменить ключ -sign на -signf:
.
.
Создание ключевой пары[править]
.
Создание ключевой пары RSA 2048 (запрашивается PIN-код пользователя):
.
.
Создание контейнера[править]
Создание контейнера на токене/смарт-карте:
.
.
.
После указания PIN-кода снова будет предложено перемещать указатель мыши.
.
.
Удалить контейнер можно с помощью команды:
Удаление объекта[править]
.
.
- Privkey – закрытый ключ;
- Pubkey – открытый ключ;
- Cert – сертификат.
Управление считывателями[править]
.
Просмотр доступных считывателей:
.
Установка «рутокен плагин»[править]
Рутокен Плагин представляет собой решение для электронной подписи, шифрования и двухфакторной аутентификации для Web- и SaaS-сервисов.
Плагин необходим для связи USB-устройств c браузером, он позволяет опознавать и работать с ними. Для того чтобы установить плагин, необходимо загрузить соответствующий установочный файл и запустить его
Чтобы установить «Рутокен плагин» необходимо:
- Загрузить «Рутокен плагин» со страницы по ссылке (выбрать пакет формата «rpm»):
- Установить «Рутокен плагин». Для этого в контекстном меню скаченного файла выбрать пункт «Открыть в Установка RPM». В открывшемся окне нажать кнопку «Установить»:
Ввести пароль администратора системы и нажать кнопку «ОК»:В открывшемся окне нажать кнопку «Установить»:Или установить «Рутокен плагин», выполнив из папки с загруженным пакетом команду (под правами root): - Перезапустить браузер.
- Убедиться, что плагин установлен и включен. Сделать это можно на странице about:addons (или about:plugins в более ранних версиях Mozilla Firefox):
Утилита pkcs11-tool[править]
.
.