криптопро altlinux gui

криптопро altlinux gui Электронная цифровая подпись
Содержание
  1. Проверка электронной подписи [ править ]
  2. Отсоединённая подпись [ править ]
  3. Проверка электронной подписи в zip контейнере [ править ]
  4. Присоединённая подпись [ править ]
  5. Управление контейнерами
  6. Просмотр доступных контейнеров
  7. Удаление контейнера
  8. Управление считывателями [ править ]
  9. Создание контейнера [ править ]
  10. Hype-check
  11. Центр регистрации Рутокен [ править ]
  12. Установка «Рутокен плагин» [ править ]
  13. Генерация пары ключей и формирование запроса на сертификат [ править ]
  14. Библиотека для работы с Рутокен ЭЦП 2. 0 [ править ]
  15. Проверка работы Рутокен ЭЦП в системе [ править ]
  16. Проверка наличия сертификатов и ключевых пар [ править ]
  17. Изменение PIN-кода [ править ]
  18. Разблокировка PIN-кода [ править ]
  19. Инициализация токена [ править ]
  20. Создание ключевой пары [ править ]
  21. Вход в ЕСИА [ править ]
  22. Сертификат для аутентификации уже присутствует на Рутокене
  23. Если вы используете Ubuntu 22. 04 LTS, то необходимо включить автоматический старт службы смарт-карт
  24. Управление считывателями[править]
  25. Инструменты криптопро — кроссплатформенный графический интерфейс (cptools)[править]
  26. Zakupki. gov. ru [ править ]
  27. Прописывание путей к исполняемым файлам[править]
  28. Установка пакетов
  29. Установка КриптоПро CSP на AltLinux
  30. Установка криптопро csp[править]
  31. Просмотр сертификатов[править]
  32. Установка сертификата[править]
  33. Astra Linux, РЕД ОС, ALT Linux, ROSA Linux, Ubuntu, AlterOS
  34. Если у вас в ОС установлен OpenSSL 3. х, необходимо обновить библиотеку libp11.
  35. О КриптоПро
  36. Работа с сертификатами в token-manager [ править ]
  37. Установка и запуск [ править ]
  38. Проверка лицензии [ править ]
  39. Просмотр сертификатов [ править ]
  40. Установка сертификата [ править ]
  41. Управление сертификатами [ править ]
  42. Создание запроса на получение сертификата [ править ]
  43. Получение сертификата в УЦ и его установка [ править ]
  44. Проверка цепочки сертификатов [ править ]
  45. Удаление сертификата [ править ]
  46. Экспорт контейнера и сертификата на другую машину [ править ]
  47. Экспорт сертификатов на другую машину [ править ]
  48. Импорт персонального сертификата [ править ]
  49. КриптоПро ЭЦП Browser plug-in [ править ]
  50. Управление сертификатами[править]
  51. О КриптоПро [ править ]
  52. Создание и проверка подписи в командной строке [ править ]
  53. Проверка подписи [ править ]
  54. Извлечение подписанного файла [ править ]
  55. Создание и проверка подписи [ править ]
  56. Настройка оборудования [ править ]
  57. Генерирование ключей и получение сертификата[править]
  58. Составляем шорт-лист
  59. Электронная подпись[править]
  60. Особенности работы с токенами[править]
  61. Криптопро эцп browser plug-in[править]
  62. Неправильный зарегистрированный набор ключей[править]
  63. Настройка оборудования[править]
  64. Совместимость[править]
  65. Создание контейнера[править]
  66. Проверка цепочки сертификатов[править]
  67. Рутокен S [ править ]
  68. Проверка работы [ править ]
  69. Экспорт сертификатов на другую машину[править]
  70. Создание и проверка ЭЦП с использованием cptools [ править ]
  71. Устанавливаем и смотрим что за зверь
  72. ОС Атлант
  73. RED OS
  74. Создание и проверка эцп в gost-crypto-gui[править]
  75. Добавление (запись) сертификатов [ править ]
  76. Просмотр доступных контейнеров [ править ]
  77. Создание электронной подписи в zip контейнере [ править ]
  78. Создание присоединенной (attached) электронной подписи [ править ]
  79. В каких ОС семейства Unix работает КриптоПро CSP версий 3. 0 и 3

Проверка электронной подписи [ править ]

Проверка электронной подписи выполняется во вкладке «Проверка».

Отсоединённая подпись [ править ]

Для проверки отсоединённой электронной подписи необходимо нажать кнопку «Выбрать» и выбрать электронный документ.

Далее следует выбрать подпись, нажав кнопку «Выбрать» в секции «Подпись» и выбрать файл электронной подписи.

После появления имени подписи в секции «Подпись», нажать кнопку «Проверить»:

криптопро altlinux gui

Проверка электронной подписи в zip контейнере [ править ]

Для проверки электронной подписи в контейнере достаточно выбрать zip-архив (документ и подпись будут выбраны автоматически) и нажать кнопку «Проверить».

криптопро altlinux gui

Присоединённая подпись [ править ]

Для проверки присоединённой электронной подписи необходимо выбрать электронный документ и нажать кнопку «Проверить».

Управление контейнерами

Создадим контейнер с именем «test» в локальном ридере HDIMAGE.

При установленном пакете cprocsp-rdr-gui-gtk будет показано графическое окно, где предложат двигать курсором мыши:

криптопро altlinux gui

После показа окна будет предложено указать пароль на контейнер (можно указать пустой, тогда пароль запрашиваться не будет) и снова предложат двигать курсором мыши.

Просмотр доступных контейнеров

Локальный контейнер создан.

Удаление контейнера

Ридеры (readers) — устройства размещения контейнеров (аппаратные токены, каталог для размещения файлов).

Просмотр доступных ридеров:

Ридер HDIMAGE размещается на /var/opt/cprocsp/keys/ /

Инициализация ридера HDIMAGE (под правами root):

Управление считывателями [ править ]

Просмотр доступных (настроенных) считывателей:

Инициализация считывателя HDIMAGE, если его нет в списке доступных считывателей (под правами root):

Для работы со считывателем PC/SC требуется пакет cprocsp-rdr-pcsc. После подключения считывателя можно просмотреть список видимых считывателей (не зависимо от того, настроены ли они в КриптоПро как считыватели, зависит только от того, какие установлены драйверы для считывателей):

Можно включить службу pcscd в автозапуск при загрузке системы:

Создание контейнера [ править ]

Создание контейнера на токене/смарт-карте:

При установленном пакете cprocsp-rdr-gui-gtk будет показано графическое окно, где будет предложено перемещать указатель мыши или нажимать клавиши:

криптопро altlinux gui

После этого необходимо предъявить PIN-код пользователя.

После указания PIN-кода снова будет предложено перемещать указатель мыши.

Создание неизвлекаемого контейнера:

криптопро altlinux gui

В этом случае будет использована встроенная криптография носителя.

Создание контейнера КриптоПро:

криптопро altlinux gui

В этом случае будет использована криптография КриптоПро

Проверить наличие контейнеров можно с помощью команды:

Просмотр подробной информации о контейнере:

Удалить контейнер можно с помощью команды:

Hype-check

После тест-драйва я решил проверить количество поисковых запросов в Яндексе, содержащих наименование дистрибутива, чтобы оценить относительный размер пользовательской базы и сообщества. Не бросайте помидоры – конечно такой метод это антинаучная ахинея, но кажется он всё-же позволяет отделить более или менее популярные продукты от нишевых. Там где мне показалось это уместным я проверил и английское и русское наименование продукта, но это не сильно изменило относительный расклад.

ДистрибутивЧто ищутПоказов в месяцИтого показовAstra LinuxAstra Linux180 285270 481Астра Линукс90 196ALT LinuxALT Linux37 95559 102АЛЬТ Линукс21 147RED OSРЕД ОС16 85124 487RED OS7 636ROSA LinuxROSA Linux18 21720 416РОСА Линукс8 199AlterOSAlterOS5 5785 578ОС АтлантОС Атлант129129

Центр регистрации Рутокен [ править ]

Для генерации ключей, формирования запроса на сертификат и записи сертификата на Рутокен ЭЦП можно воспользоваться ПО «Рутокен плагин», (работает через библиотеку PKCS#11 и совместим с плагином Госуслуг) и ПО «Центр регистрации Рутокен» ra. rutoken.

Веб-сервис управления хранилищем сертификатов и ключей «Центр регистрации Рутокен» позволяет:

Установка «Рутокен плагин» [ править ]

Рутокен Плагин представляет собой решение для электронной подписи, шифрования и двухфакторной аутентификации для Web- и SaaS-сервисов. Плагин необходим для связи USB-устройств c браузером, он позволяет опознавать и работать с ними. Для того чтобы установить плагин, необходимо загрузить соответствующий установочный файл и запустить его

Чтобы установить «Рутокен плагин» необходимо:

Или установить «Рутокен плагин», выполнив из папки с загруженным пакетом команду (под правами root):

Генерация пары ключей и формирование запроса на сертификат [ править ]

Для генерации пары ключей и формированию запроса на сертификат с помощью ПО «Центр регистрации Рутокен» следует:

Должны быть установлены пакеты:

В состав opensc входит универсальная утилита pkcs11-tool, которой можно «подложить», например, библиотеку PKCS#11 для работы с Рутокен ЭЦП 2. 0 и с ее помощью «управлять» Рутокенами.

Библиотека для работы с Рутокен ЭЦП 2. 0 [ править ]

Для работы должна быть установлена библиотека librtpkcs11ecp:

Проверка работы Рутокен ЭЦП в системе [ править ]

Проверяем работу токена, он должен быть виден в списке:

Список поддерживаемых механизмов:

Проверка наличия сертификатов и ключевых пар [ править ]

Просмотреть имеющуюся на токене информацию можно при помощи команды (требуется пароль от токена):

В результате в окне терминала отобразится информация обо всех сертификатах и ключевых парах, хранящихся на Рутокене.

Чтобы открыть сертификат или ключевую пару скопируйте ID необходимого объекта и введите команду:

В результате в окне Терминала отобразится полная информация об указанном объекте.

Чтобы скопировать сертификат в файл введите команду:

Изменение PIN-кода [ править ]

Для изменения PIN-кода введите команду:

где pin — текущий PIN-код устройства; new-pin — новый PIN-код устройства.

Разблокировка PIN-кода [ править ]

Для того чтобы разблокировать PIN-код необходимо выполнить команду (потребуется ввести so-pin карты, а затем дважды ввести новый PIN-код):

Инициализация токена [ править ]

Для удаления объекта необходимо указать его тип и идентификатор (id) или название (label). Открытый и закрытый ключ удаляются отдельно.

Создание ключевой пары [ править ]

Часто, при обсуждении дистрибутивов Linux возникает вопрос: насколько там актуальный софт? Попробую ответить на примере популярных пакетов. Вот последние доступные в репозиториях версии (добавил CentOS 7 для референса):

PackageCentOS 7AlterOS 7. 5REDOS 7. 3Astra 1. 7ROSA 12. 2ALT 10Atlantkernel3. 155. 0 5. 745. 825. 205. 10glibc2. 172. 172. 282. 282. 332. 322. 28postgresql9. 2410. 512. 911. 1012. 1011. 15, 12. 10, 13. 6, 14. 211python33. 113. 3nginx-1. 2openssh7. 4p17. 4p18. 2p17. 4p18. 8p17. 9p17. 9p1libreoffice5. 5firefox91. 060. 091. 093. 099. 191. 068

Заметна “клонированность” AlterOS, а RED OS тут совсем и не похож на “клон”. Буду дальше называть его “дериватив”.

Ещё заметьте как всё круто с пакетами PostgreSQL в ALT Linux – не зря я выше по тексту нахваливал качество их репозитория.

Вход в ЕСИА [ править ]

И сделать символическую ссылку на библиотеку pkcs11:

Сертификат для аутентификации уже присутствует на Рутокене

Если нужный сертификат уже присутствует на Рутокене, то щелкаем два раза мышью по нему:

криптопро altlinux gui

И выбираем пункт для настройки локальной аутентификации:

криптопро altlinux gui

Для данной опции система может ещё раз проверить наличие прав суперпользователя:

криптопро altlinux gui

Выберем пользователя, для которого хотим произвести настройку.

криптопро altlinux gui

Если настройка прошла успешно, то утилита уведомит вас об этом:

криптопро altlinux gui

Чтобы проверить результат проверки, выполните команду:

Лампочка на токене начнет мигать и отобразится предложение с вводом PIN-кода:

Читайте также:  ЭЦП для таможни для юридических лиц в Москве - таможенное оформление и декларирование электронной подписи

криптопро altlinux gui

После этого, проверку можно произвести через Greeter:

криптопро altlinux gui

Помимо настройки входа с помощью Рутокена, автоматически была настроена автоблокировка при извлечении устройства. Ее можно проверить с помощью извлечения Рутокена.

Если вы используете Ubuntu 22. 04 LTS, то необходимо включить автоматический старт службы смарт-карт

Для этого необходимо выполнить следующие действия:

$ sudo systemctl enable pcscd
$ sudo systemctl enable pcscd. socket

Управление считывателями[править]

Считыватель HDIMAGE размещается на /var/opt/cprocsp/keys/<имя пользователя>/.

Инициализация считывателя Aktiv Co. Rutoken S 00 00 (требуется, если считыватель есть в списке видимых считывателей и отсутствует в списке настроенных), в параметре -add указывается имя, которое было получено при просмотре видимых считывателей, в параметре -name — удобное для обращения к считывателю имя, например, Rutoken (под правами root):

Современные аппаратные и программно-аппаратные хранилища ключей, такие как Рутокен ЭЦП или eSmart ГОСТ, поддерживаются через интерфейс PCSC. За реализацию этого интерфейса отвечает служба pcscd, которую необходимо запустить перед началом работы с соответствующими устройствами:

Инструменты криптопро — кроссплатформенный графический интерфейс (cptools)[править]

В версии КриптоПРО 5 появилась графическая утилита для работы с сертификатами — cptools. Для использования cptools необходимо установить пакет cprocsp-cptools-gtk из скачанного архива:

После этого её можно запустить из консоли:

С её помощью можно установить сертификат из токена в хранилище uMy:

Zakupki. gov. ru [ править ]

Проверка под обычным пользователем:

Прописывание путей к исполняемым файлам[править]

Утилиты КриптоПро расположены в директориях /opt/cprocsp/sbin/<название_архитектуры> и /opt/cprocsp/bin/<название_архитектуры>.

Чтобы каждый раз не вводить полный путь к утилитам КриптоПро:

Примечание: Не работает для суперпользователя.

Внимание! Если установлен пакет mono или mono4-devel, может быть конфликт по имени утилиты certmgr

Установка пакетов

Распакуйте архив и перейдите в распакованную папку

Установите пакет cryptopro-preinstall :

Этот пакет установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП).

Таблица 1. Описание необходимых пакетов КриптоПро.

ПакетОписание Базовые пакеты: cprocsp-curlБиблиотека libcurl с реализацией шифрования по ГОСТ lsb-cprocsp-baseОсновной пакет КриптоПро CSP lsb-cprocsp-capiliteИнтерфейс CAPILite и утилиты lsb-cprocsp-kc1Провайдер криптографической службы KC1 lsb-cprocsp-rdrПоддержка ридеров и RNG Дополнительные пакеты: cprocsp-rdr-gui-gtkГрафический интерфейс для диалоговых операций cprocsp-rdr-rutokenПоддержка карт Рутокен cprocsp-rdr-pcscКомпоненты PC/SC для ридеров КриптоПро CSP lsb-cprocsp-pkcs11Поддержка PKCS11 ifd-rutokensКонфигурация Рутокеновских карт (или можно взять pcsc-lite-rutokens из репозитория)

Установите пакеты КриптоПро:

Под правами пользователя root установите базовые пакеты:

для поддержки токенов (Рутокен S и Рутокен ЭЦП):

Установка КриптоПро CSP на AltLinux

криптопро altlinux gui

криптопро altlinux gui

криптопро altlinux gui

криптопро altlinux gui

Выполните команду su- и введите пароль суперпользователя.

криптопро altlinux gui

Выполните команду apt-get update для обновления пакетов lsb-core

криптопро altlinux gui

Выполните команду apt-get upgrade для установки обновленных пакетов.

криптопро altlinux gui

криптопро altlinux gui

криптопро altlinux gui

криптопро altlinux gui

Выберите все пакеты для установки, кроме lsb-cprocsp-kc2.

криптопро altlinux gui

Начните установку.

криптопро altlinux gui

Дождитесь окончания установки.

криптопро altlinux gui

Установка криптопро csp[править]

Архив с программным обеспечением (КриптоПро CSP 4. 0 R4 — сертифицированная версия, КриптоПро CSP 5. 0 — несертифицированная) можно загрузить после предварительной регистрации:

  • linux-ia32.tgz (19,3 МБ, для i586) — для 32-разрядных систем (x86, rpm);
  • linux-amd64.tgz (20,1 МБ, для x86_64) — для 64-разрядных систем (x64, rpm).

Внимание! По умолчанию при скачивании с сайта КриптоПро выдаётся лицензия на три месяца

Установите пакет cryptopro-preinstall:

Примечание: Пакет cryptopro-preinstall вытягивает зависимости libpangox-compat, opensc, pcsc-lite, pcsc-lite-rutokens, pcsc-lite-ccid, newt52.

Распакуйте архив, скачанный с официального сайта КриптоПро:

Примечание: Для 32-битной версии вместо последнего пакета — lsb-cprocsp-rdr-4*

Примечание: Если возникнут проблемы с отображением контейнеров на Рутокен S — удалите pcsc-lite-openct

Примечание: Для установки cprocsp-rdr-jacarta может понадобиться предварительно удалить openct.

Также можно выполнить установку КриптоПро, запустив. /install_gui. sh в распакованном каталоге и выбрав необходимые модули:

Внимание! Пакеты КриптоПро после обновления утрачивают работоспособность, так что рекомендуется удалить все пакеты и установить их заново.

Для обновления КриптоПро необходимо:

  • Запомнить текущую конфигурацию:
  • Удалить штатными средствами ОС все пакеты КриптоПро:
  • Установить аналогичные новые пакеты КриптоПро.
  • При необходимости внести изменения в настройки (можно просмотреть diff старого и нового ).
  • Ключи и сертификаты сохраняются автоматически.

Просмотр сертификатов[править]

Для просмотра установленных сертификатов можно воспользоваться командой:

Просмотр сертификатов в локальном хранилище uMy:

Просмотр сертификатов в контейнере:

Просмотр корневых сертификатов:

Установка сертификата[править]

Чтобы установить сертификат с токена в локальное хранилище, необходимо выбрать контейнер на токене и нажать кнопку «Установить»:

Сертификат будет установлен в локальное хранилище сертификатов и будет связан с закрытым ключом на токене.

Чтобы установить сертификат в локальное хранилище из файла, необходимо выбрать «Личное хранилище сертификатов», нажать кнопку «Установить», выбрать файл сертификата и нажать кнопку «Открыть». Появится сообщение об успешном импорте сертификата:

Сертификат будет установлен в локальное хранилище сертификатов, но не будет связан ни с каким закрытым ключом. Этот сертификат можно использовать для проверки подписи.

Astra Linux, РЕД ОС, ALT Linux, ROSA Linux, Ubuntu, AlterOS

Для упрощения процесса настройки локальной аутентификации по Рутокену можно воспользоваться графической утилитой. Загрузить ее можно с помощью следующей последовательности команд:

Если у вас в ОС установлен OpenSSL 3. х, необходимо обновить библиотеку libp11.

После того, как настройщик был загружен, его можно запустить двойным щелчком по token-assistent. run. Если программа открылась вместе с терминалом, то для запуска необходимо создать ярлык, с помощью установщика token-assistent. installer. После запуска установщика появится ярлык token-assistent. desktop, который нужно использовать для запуска программы.

При первом запуске программа может запросить пароль администратора для получения обновлений. Загрузка обновлений может занять несколько минут.

криптопро altlinux gui

В некоторых ОС может автоматически не устанавливаться пакет tkinter. Попробуйте установить его вручную, выполнив в консоли команду:

# для astra и alt linux
sudo apt-get install python3-tkinter

# для red os

sudo yum install python3-tkinter

Так же могут встречаться названия пакетов python3-tk, python34-tkinter.

После загрузки обновлений, программа предложит выбрать устройство, которое мы хотим использовать для локальной аутентификации. Если нужный Рутокен не появился в списке, то можно нажать на клавишу для обновления списка Рутокенов:

криптопро altlinux gui

Далее вводим PIN-код Рутокена:

криптопро altlinux gui

Откроем список объектов на Рутокене:

криптопро altlinux gui

О КриптоПро

КриптоПро — линейка криптографических утилит (вспомогательных программ) — так называемых криптопровайдеров. Они используются во многих программах российских разработчиков для генерации ЭЦП, работы с сертификатами, организации структуры PKI и т.

Если читатель думает, что, установив КриптоПро, он может без проблем входить на сайты электронных торговых площадок и подписывать ЭЦП документы, то это не совсем так:

Работа с сертификатами в token-manager [ править ]

token-manager предоставляет графический интерфейс управления ключевыми носителями и сертификатами. С помощью этой программы можно:

Установка и запуск [ править ]

Установка пакета token-manager :

Запустить token-manager можно:

криптопро altlinux gui

Проверка лицензии [ править ]

Проверить срок истечения лицензии КриптоПРО можно выбрав в меню token-manager пункт Операции ▷ Просмотр лицензии КриптоПро CSP :

криптопро altlinux gui

Для установки другой лицензии КриптоПРО выберите в меню token-manager пункт Операции ▷ Ввод лицензии КриптоПро CSP :

криптопро altlinux gui

Просмотр сертификатов [ править ]

Просмотреть список сертификатов в хранилище или на ключевом носителе, можно выбрав соответствующий носитель:

криптопро altlinux gui

Для просмотра сертификата, необходимо выбрать сертификат и нажать кнопку «Просмотр»:

криптопро altlinux gui

Установка сертификата [ править ]

криптопро altlinux gui

криптопро altlinux gui

Управление сертификатами [ править ]

cryptcp — приложение командной строки для создания запросов на сертификаты, шифрования и расшифрования файлов, создания и проверки электронной подписи файлов с использованием сертификатов открытых ключей, хэширования файлов. Результатом работы приложения в большинстве случаев является файл с CMS-сообщением (PKCS#7) в кодировке DER или BASE64.

Создание запроса на получение сертификата [ править ]

Создание запроса на получение сертификата средствами КриптоПро:

Для создания запроса на получение сертификата потребуется:

Таблица 2. Типы применения.

OIDНазначение 1. 1Аутентификация сервера 1. 2Аутентификация клиента 1. 3Подписывание кода 1. 4Защищенная электронная почта 1. 8Простановка штампов времени 1. 311. 1Цифровые права 1. 311. 12Подписывание документа

Таблица 3. Поле Subject сертификата

Созданный запрос будет сохранен в файле test5. req. Эти данные нужны для получения сертификата в удостоверяющем центре.

Создать запрос на физическое лицо, используя открытый ключ, сгенерированный в контейнере test_2012 (тип — 80) текущего пользователя криптопровайдером «Crypto-Pro GOST R 34. 10-2012 KC1 CSP» (тип — 80) и сохранить его в файл test2012. req, назначение ключа — аутентификация и защита электронной почты:

Тот же запрос, используя OID:

Добавление сертификата, без привязки к ключам (только проверка ЭЦП):

Ассоциировать сертификат с контейнером, сертификат попадет в пользовательское хранилище uMy:

Запись сертификата клиента в контейнер:

-provtype — указать тип криптопровайдера (по умолчанию 75);

-provname — указать имя криптопровайдера;

-cont — задать имя ключевого контейнера (по умолчанию выбор из списка);

-km — использовать контейнер компьютера (LOCAL_MACHINE);

-dm — установка в хранилище компьютера (LOCAL_MACHINE);

-askpin — запросить пароль ключевого контейнера из с консоли;

— имя файла, содержащего сертификат.

Добавление сертификата УЦ из файла certne_ucw. cer в хранилище машины (для текущего пользователя):

Добавление корневых сертификатов из файла cert. p7b (для текущего пользователя):

Необходимо последовательно добавить все сертификаты.

Получение сертификата в УЦ и его установка [ править ]

Для получения сертификата в УЦ (на примере тестового удостоверяющего центра КриптоПро), необходимо выполнить следующие действия:

Просмотреть полученный сертификат можно, выполнив команду:

Цепочка сертификатов содержит два сертификата:

Читайте также:  ЭЦП для работников: готовимся к кадровому электронному документообороту

Для установки сертификата удостоверяющего центра:

Для записи сертификата клиента в контейнер:

Проверка цепочки сертификатов [ править ]

Таблица 4. Сертификаты популярных удостоверяющих центров.

Для проверки можно скопировать персональный сертификат в файл:

Из вывода следует, что все сертификаты есть в цепочке сертификатов.

Если же команда возвращает «Цепочка сертификатов не проверена для следующего сертификата:» или другую ошибку:

(нажмите C и Enter, чтобы выйти).

Можно запустить вышеуказанную команду с отладкой цепочки:

То есть нам надо установить сертификат УЦ с CN=uc skb kontur (root):

Всё в порядке и сертификат виден в плагине Cades.

Удаление сертификата [ править ]

Удалить сертификат c «CN=Иванов Иван Иванович» из хранилища КриптоПро:

Удалить сертификат c «CN=Иванов Иван Иванович» из контейнера:

Удалить все сертификаты из хранилища КриптоПро:

Удалить все сертификаты установленные в хранилище машины:

Экспорт контейнера и сертификата на другую машину [ править ]

При этом потребуется ввести пароль от контейнера ‘\. HDIMAGE est_export’ и задать пароль на новый контейнер ‘\. FLASH est_new’.

Просмотр списка контейнеров:

Экспортировать сертификат из локального хранилища в файл:

Скопировать сертификат на USB-диск:

Экспорт контейнера с USB-диска на жесткий диск:

Ассоциировать сертификат с контейнером, сертификат попадет в пользовательское хранилище My:

Экспорт сертификатов на другую машину [ править ]

Для экспорта сертификатов необходимо:

Импорт персонального сертификата [ править ]

Вы можете импортировать собственный сертификат в локальный считыватель HDIMAGE.

Если у вас нет сертификата, самое время его создать:

Допустим, мы пошли по первому пути и создали сертификат web-server (делать это строго под правами root):

Создадим для нашего ключа и сертификата необходимый контейнер:

Проверка созданного контейнера (при запросе введите пароль, введённый в предыдущей команде):

И сертификат и ключ попали в контейнер.

После генерации сертификата проверим наличие считывателя:

Если Вам необходимо импортировать сертификат с токена:

криптопро altlinux gui

КриптоПро ЭЦП Browser plug-in [ править ]

КриптоПро ЭЦП Browser plug-in предназначен для создания и проверки электронной подписи (ЭП) на веб-страницах с использованием СКЗИ «КриптоПро CSP».

Плагин проверки ЭЦП для браузера требует установленного КриптоПро CSP, пакета cprocsp-rdr-gui-gtk из его комплекта и расширения для браузера CryptoPro Extension for CAdES Browser Plug-in (для работы в Firefox версии 52 и выше).

Для установки плагина:

Управление сертификатами[править]

  • просматривать подключенные ключевые носители (токены);
  • изменять PIN-код ключевого носителя;
  • устанавливать, просматривать и удалять сертификаты;
  • просматривать и устанавливать лицензию КриптоПро.

О КриптоПро [ править ]

КриптоПро — линейка криптографических утилит (вспомогательных программ), так называемых «криптопровайдеров». Они используются во многих программах российских разработчиков для генерации ЭЦП, работы с сертификатами, организации структуры PKI и т. (см. сайт).

Создание и проверка подписи в командной строке [ править ]

Для создания электронной подписи файла необходимо указать сертификат и имя подписываемого файла.

Для создания прикрепленной (attached) электронной подписи выполните команду:

Для создания открепленной (detached) подписи необходимо заменить ключ -sign на -signf:

Проверка подписи [ править ]

Для проверки прикреплённой подписи выполните команду:

Показано, кто подписывал и что подпись проверена.

Для проверки откреплённой подписи выполните команду:

Извлечение подписанного файла [ править ]

Для извлечения файла с данными из файла электронной подписи необходимо указать имя файла, в который будут извлечены данные, в конце команды проверки подписи:

Создание и проверка подписи [ править ]

Для создания электронной подписи файла необходимо указать сертификат и имя подписываемого файла:

Проверка откреплённой подписи:

Настройка оборудования [ править ]

Настройка устройств хранения (носителей) и считывания (считывателей) ключевой информации и датчиков случайных чисел.

Считыватели (readers) — устройства, предназначенные для чтения ключей. К считывателям относится считыватели дискет (FAT12), считыватели флеш-накопителей (FLASH), считыватели смарт-карт и токенов, считыватель образа дискеты на жестком диске (HDIMAGE) и др.

Ключевые носители (media) являются местом хранения электронной подписи. В качестве носителя ключевой информации могут использоваться: защищенный флэш-накопитель (токен) (Рутокен, JaCarta, ESMART и др. ), смарт-карта, флэш-накопитель, дискета.

Ключевые контейнеры — это способ хранения закрытых ключей, реализованный в КриптоПро. Их физическое представление зависит от типа ключевого носителя (на флеш-накопителе, дискете, жестком диске это каталог в котором хранится набор файлов с ключевой информацией; в случае со смарт-картами — файлы в защищенной памяти смарт-карты).

Встроенный в «КриптоПро CSP» датчик случайных чисел (далее ДСЧ) используется для генерации ключей.

Для смарт-карт: ключи дополнительно защищаются кодом доступа к защищенной памяти смарт-карты (PIN). При всех операциях с защищенной памятью (чтение, запись, удаление. ) требуется вводить PIN. Для других носителей: для повышения безопасности на контейнер можно установить пароль. В этом случае всё содержимое контейнера хранится не в открытом виде, а в зашифрованном на этом пароле. Пароль задается при создании контейнера, в дальнейшем для чтения ключей из контейнера необходимо будет вводить пароль.

Генерирование ключей и получение сертификата[править]

Для получения сертификата необходимо:

  • Сформировать запрос на квалифицированный сертификат.
  • Транспортировать запрос в аккредитованный УЦ (тестовый УЦ не подойдет).

Составляем шорт-лист

Я внимательно изучил сайты производителей этих 22 ОС, чтобы сформировать шорт-лист более-менее живых проектов, ориентированных на широкий круг задач. Из списка были вычеркнуты:

  • Предположительно мертвые продукты, на месте сайта которых уже висит заглушка регистратора с предложением выкупить заброшенный домен (ОСь и Альфа ОС). Или сайт живой, но информации по продукту там больше нет (Halo OS).
  • Нишевые системы, которые судя по документации и маркетингу (вернее полному его отсутствию) строго ориентированы на работу в условиях жестко зарегулированных ведомств и окружений (например гостайна). Не буду все перечислять. Вдруг это тоже гостайна!
  • Операционные системы, не основанные на Linux. Такая нашлась одна – Ульяновск.BSD. Экосистема ПО для “отечественных” ОС, основанных на Linux, и та не сильно развита, а для BSD так и вообще ничего нет. Зато можно патчить KDE!
  • Дистрибутивы, построенные на менеджерах пакетов, отличных от RPM и DEB. Приблизительно по тем-же соображениям – нужен доступ к экосистеме ПО, которое поставляется в виде бинарных пакетов в этих двух форматах. Таких два: Calculate Linux, основанный на Gentoo, и UBLinux, явно сделанный из Arch Linux.
  • Дистрибутивы, которые нельзя получить в формате ознакомительно-домашней версии с сайта производителя. Такой только один – ОС Лотос. Даже на запрос по почте ответили что ни в коем случае не дадут.

Итого до финала дошли следующие продукты – AlterOS, ROSA Linux, ALT Linux, ОС “Эльбрус”, ОС “Атлант”, Astra Linux и RED OS.

Электронная подпись[править]

Существуют два вида электронной подписи:

  • прикреплённая (attached) — в результирующий файл упакованы данные исходного файла и подпись;
  • откреплённая (detached) — подписываемый документ остается неизменным, подпись же сохраняется в отдельном файле. Для проверки отсоединенной подписи нужны оба файла, файл подписи и файл исходного документа.

Особенности работы с токенами[править]

При входе в ЕСИА с помощью Rutoken S не находится приватная часть ключа. В журнале ifc появляется строка:

Для этого надо перенести приватный ключ в локальное хранилище и задействовать его:

для AltLinux9. 2 КриптоПро5 Rutoken S – если cptools не читает ключ.

Добавить группу, если в журнале ошибки по отсутствию групп

добавить в файл

И закоментировать в файле

После внесения изменений перезагрузить службу

Криптопро эцп browser plug-in[править]

Внимание! Последняя доступная версия плагина КриптоПро ЭЦП Browser plug-in 2. 0 требует КриптоПро 4. С более ранними версиями КриптоПро плагин не работает и конфликтует.

Неправильный зарегистрированный набор ключей[править]

Код ошибки: 0x8009001A Может возникнуть в многопользовательской системе у второго и последующих пользователей из-за нарушения прав доступа к файлам в каталоге /var/opt/cprocsp/tmp.

Добавить в ACL отдельную запись для суперпользователя root:

Для создания запроса потребуется:

Настройка оборудования[править]

Проверить срок истечения лицензии КриптоПРО можно выбрав в меню token-manager пункт Операции ▷ Просмотр лицензии КриптоПро CSP:

Для установки другой лицензии КриптоПРО выберите в меню token-manager пункт Операции ▷ Ввод лицензии КриптоПро CSP:

Совместимость[править]

По информации разработчика, с ALT Linux совместимы следующие продукты КриптоПро:

  • КриптоПро CSP
  • КриптоПро JCP
  • КриптоПро HSM
  • КриптоПро TSP
  • КриптоПро OCSP
  • КриптоПро ЭЦП Browser plug-in
  • КриптоПро SSF
  • КриптоПро Stunnel
  • Браузер КриптоПро Fox

Примечание: В репозитории доступен пакет firefox-gost, аналогичный КриптоПро Fox, с патчем от КриптоПро.

Создание контейнера[править]

Примечание: Для того, чтобы сертификат из контейнера можно было использовать через модуль pkcs11 (из пакета lsb-cprocsp-pkcs11) в браузере firefox-gost, необходимо создать его с -provtype 75 (поддержка ГОСТ-2001).

Внимание! C 1 января 2022 г. по указанию ФСБ РФ и Минкомсвязи всем аккредитованным УЦ запрещен выпуск сертификатов ЭП по ГОСТ 2001. Ключи и запрос на сертификат необходимо формировать ГОСТ 2022.

Создадим контейнер с именем «test» в локальном считывателе HDIMAGE.

Примечание: Если такой пакет не установлен, будет предложено ввести любые символы с клавиатуры.

После этого будет предложено указать пароль на контейнер (можно указать пустой, тогда пароль запрашиваться не будет):

После указания пароля снова будет предложено перемещать указатель мыши.

В КриптоПро 5 появилась возможность интерактивно выбирать носитель и тип создаваемого контейнера. Теперь можно создавать неизвлекаемые контейнеры. Для этого необходимо выполнить команду, где testinside_2022 — имя контейнера:

Читайте также:  Как установить сертификат электронной подписи на компьютер? Инструкция по установке ЭЦП

Откроется окно выбора носителя и способа создания контейнера. Для некоторых носителей нет возможности выбрать способ создания контейнера (Рутокен S, JaCarta PKI):

Для некоторых носителей можно выбрать способ создания контейнера (Рутокен ЭЦП, JaCarta-2 PKI/ГОСТ). Создание неизвлекаемого контейнера:Создание обычного контейнера:

Проверка цепочки сертификатов[править]

Внимание! В кэше сертификатов для выпущенного сертификата должны присутствовать корневые сертификаты удостоверяющих центров. В противном случае он будет недоступен в плагине для браузера!

Рутокен S [ править ]

Если Вы хотите работать через наш PKCS#11, то лучше всего форматировать через Утилиту администрирования Рутокен, а затем создавать и работать с ключами только через наш PKCS#11. Это самый поддерживаемый путь. (не для Рутокен S??)

Вы можете отформатировать токен через pkcs15-init и работать с нашим PKCS#11. Но в этом случае через opensc-pkcs11. so ничего не будет доступно.

При работе с Рутокен S необходимо указывать путь до библиотеки opensc-pkcs11:

Проверка работы [ править ]

Для смены PIN-кода необходимо выполнить команду (потребуется ввести текущий PIN-код, а затем дважды ввести новый):

Экспорт сертификатов на другую машину[править]

Закрытые ключи к сертификатам находятся в /var/opt/cprocsp/keys.

  • Перенести ключи из на нужную машину в тот же каталог.
  • Экспортировать сертификаты (их, количество можно определить, выполнив: certmgr -list, в примере сертификатов 3):
  • Перенести файлы сертификатов (1.cer, 2.cer, 3.cer) на нужную машину.
  • На машине, куда переносятся сертификаты, просмотреть какие контейнеры есть (должны появится контейнеры с первой машины):
  • Связать сертификат и закрытый ключ:Если закрытый ключ и сертификат не подходят друг к другу, будет выведена ошибка:Cannot install certificate
    Public keys in certificate and container are not identical
  • Если закрытого ключа нет, то просто поставить сертификат:

Создание и проверка ЭЦП с использованием cptools [ править ]

Запустить программу можно из консоли (должен быть установлен cprocsp-cptools-gtk из скачанного архива КриптоПро):

С помощью cptools можно подписывать и проверять подписи файлов.

Для создания электронной подписи файла необходимо:

Для проверки электронной подписи следует:

Устанавливаем и смотрим что за зверь

Каждый дистрибутив я попытался установить на виртуальную машину (KVM). На этом этапе отвалилась только ОС “Эльбрус”. Инсталлятор падает на этапе разбивки диска. Видимо его работа на x86/KVM не особо тестировалась – ОС предназначена в первую очередь для серверов на одноименных процессорах. Я даже удивился, обнаружив сборку для x86.

На сайте производителя нет прямых ссылок на скачивание, но в репозитории в разделе “testing” нашелся ISO-образ под названием AlterOS_7. 5-5. 16_x86_64-DVD. Судя по документации это действительно последний релиз.

криптопро altlinux gui

AlterOS 7. 5, Cinnamon Desktop

У меня осталось впечатление что это клон CentOS 7, только с Cinnamon Desktop и актуальным ядром, нескучными обоями и некоторым количеством предустановленного “отечественного” софта. Плюс некоторые пакеты поновее. Какие-то более ранние версии похоже были основаны на openSUSE – в добавленных локальным производителем скриптах встречаются безнадёжные попытки вызова YaST. Больше интересного рассказать пожалуй нечего 🤷

С сайта бесплатно раздают редакцию ROSA Fresh Desktop 12. 2, я скачал вариант на KDE (на выбор были ещё GNOME и LXQt, но знатоки пишут на форумах что вариант с кедами – основной). Вероятно редакция Fresh служит апстримом (аля Fedora) для основных коммерческих продуктов компании с кодовыми именами “ХРОМ” и “КОБАЛЬТ”. Вот есть эта проблема у многих отечественных вендоров – сделать названия из которых совершенно неясно что за продукт: “чтобы никто не догадался”.

Вот что выяснилось: РОСА – одно из продолжений закрывшегося в 2011 году Mandriva Linux (старикам более известен как Mandrake). Внутри все выглядит привычным и стандартным, знакомым по другим современным rpm/dnf-based дистрибутивам Linux. Даже зацепиться не за что – одна нестареющая классика.

Из явных плюсов можно отметить собственную пакетную базу, насколько я понял РОСА не зависит от какого-то внешнего Open Source проекта. Отдельно упомяну что “из коробки” этот продукт может похвастать лучшим (на мой вкус) визуальным оформлением пользовательского окружения среди всех рассмотренных:

криптопро altlinux gui

Тоже кажется когда-то начинался как форк Mandrake, но с тех пор утекло столько воды что теперь это полностью самостоятельный продукт. Из нестандартных особенностей можно отметить совмещение формата RPM и менеджера пакетов APT. Если бы линуксы играли в RPG – это был бы типичный гибридный класс STR/INT!

криптопро altlinux gui

ALT Workstation 10, MATE Desktop

В дистрибутиве много и других специфичных вещей. Залез к примеру в /etc/shadow, чтобы посмотреть какой алгоритм хэширования используется (в некоторых русских линуксах там ГОСТ). А там пусто. В ALT оказывается своя система хранения паролей 🤯

Основная фича ALT на мой взгляд – огромная и хорошо сопровождаемая собственная пакетная база, высокая зрелость продукта, очень большое (по российским меркам) коммьюнити.

ОС Атлант

криптопро altlinux gui

Под капотом оказался Debian Buster с LXQt, ну и как водится комплект фирменных обоев. Более ничего интересного внутри обнаружить не удалось. Единственное что бросилось в глаза – какой-то нестандартный инсталлятор, который не предлагает задать пароли и заливает ОС с well-known passwords, в т. для root, и сразу после перезагрузки поднимает сеть и sshd. Ну такое.

криптопро altlinux gui

Странный инсталлятор. Помогите идентифицировать!

В качестве killer feature разработчик предлагает собственный инструмент централизованного управления и дистрибуции софта и обновлений на базе “слоев”, работающий на связке squashfs и aufs. В домашней редакции эта функция отсутствует, поэтому ничего по делу сказать не могу. После чтения документации у меня осталось ощущение что это пока больше концепт-кар, нежели рабочая лошадка.

криптопро altlinux gui

Пользовательское окружение Fly не имеет аналогов за рубежом!

RED OS

На сайте бесплатно раздают релиз 7. 3 “МУРОМ”. Моё первое впечатление – это ещё одна “отечественная” сборка CentOS, но с серьёзными с допами в виде софта свежих версий, включая ядро.

криптопро altlinux gui

Создание и проверка эцп в gost-crypto-gui[править]

gost-crypto-gui — средство для создания электронной подписи и шифрования файлов.

Установить пакет gost-crypto-gui из репозитория можно, выполнив команду:

Запустить программу можно:

С её помощью можно подписывать и проверять подписи файлов:

  • Нажать кнопку «Подписать файл(ы)».
  • Выбрать файл, который необходимо подписать.
  • Выбрать сертификат и нажать кнопку «Далее»:
  • Ввести пароль на контейнер (если он был установлен):
  • Появится сообщение о подписанном файле:

Опции ЭП настраиваются в меню «Опции» (параметр «Отсоединенная подпись» не работает???):

  • Нажать кнопку «Проверить подпись».
  • Выбрать подписанный файл.
  • Появится информация о сертификате подписи:

Запрос на сертификат необходимо подписать в аккредитованном удостоверяющем центре.

Добавление (запись) сертификатов [ править ]

Добавление сертификата УЦ из файла certne_ucw. cer в хранилище машины (с правами root):

Добавление корневых сертификатов из файла cert. p7b (под root):

криптопро altlinux gui

Пароль не создается, а предъявляется (PIN-код пользователя):

криптопро altlinux gui

В КриптоПро 5 появилась возможность интерактивно выбирать носитель и тип создаваемого контейнера. Теперь можно создавать неизвлекаемые контейнеры. Для этого необходимо выполнить команду, где testinside_2012 — имя контейнера:

криптопро altlinux gui

Для некоторых носителей можно выбрать способ создания контейнера (Рутокен ЭЦП, JaCarta-2 PKI/ГОСТ). Создание неизвлекаемого контейнера: Создание обычного контейнера:

Просмотр доступных контейнеров [ править ]

Для создания подписи следует на вкладке «Подпись», в разделе «Документ» нажать кнопку «Выбрать» и выбрать электронный документ. Нажав кнопку «Просмотреть», можно просмотреть содержимое электронного документа.

криптопро altlinux gui

Далее следует выбрать сертификат, которым вы собираетесь подписать документ.

Для генерации электронной подписи следует нажать кнопку «Подписать».

В открывшемся окне необходимо ввести пароль на контейнер, если он был установлен, и нажать кнопку «ОК».

В результате успешного создания электронной подписи в поле «Результат» появится сообщение «Ошибок не обнаружено».

Сформированный файл подписи по умолчанию будет сохранен в тот же каталог, в котором находится файл с исходными данными.

Создание электронной подписи в zip контейнере [ править ]

Для создания контейнера необходимо при создании электронной подписи нажать кнопку «Подписать и сжать».

В результате создания электронной подписи, будет сформирован контейнер с именем doc. odt. signed. zip, в который будут перемещены файл электронного документа (doc. odt) и файл электронной подписи (21-09-30_09-16-10_doc. odt. p7b).

Создание присоединенной (attached) электронной подписи [ править ]

Для создания присоединенной подписи необходимо при создании электронной подписи в разделе «Подпись» установить отметку в поле «Присоединённая подпись»:

криптопро altlinux gui

В том же каталоге, в котором хранился исходный документ, появится файл содержащий как саму электронную подпись, так и исходный документ (в данном примере 21-09-30_09-58-58_test. pdf. p7b).

Пример извлечения файла с данными из файла электронной подписи:

В каких ОС семейства Unix работает КриптоПро CSP версий 3. 0 и 3

КриптоПро CSP версии 3. 0 работает под управлением операционных систем: — Red Hat Linux 7, 9 (платформа ia32) — FreeBSD 5 (платформа ia32) — Solaris 9 Update 4 (платформы sparc, ia32).

КриптоПро CSP версии 3. 6 работает под управлением операционных систем: — FreeBSD 7/8 (платформа ia32) — Solaris 9/10 (платформы sparc, ia32, x64) — AIX 5/6 (платформа Power PC) — ALT Linux Server (платформы ia32, x64) — Debian (платформы ia32, х64) — Trustverse Linux XP (платформа ia32) — SPLAT (платформы ia32, х64)

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector