криптопро csp состав

криптопро csp состав Электронная цифровая подпись
Содержание
  1. Особенности
  2. КриптоПро ЭЦП Browser plug-in[править]
  3. КриптоПро JCP[править]
  4. Поддержка Рутокена[править]
  5. Запуск контрольной панели[править]
  6. Сравнение версий
  7. Реализуемые КриптоПро CSP алгоритмы
  8. Установка КриптоПро CSP[править]
  9. Загрузка[править]
  10. Установка[править]
  11. Обновление[править]
  12. Прописывание путей к исполняемым файлам[править]
  13. Проверка лицензии[править]
  14. Проверка версии[править]
  15. Удаление КриптоПро[править]
  16. Вход в ЕСИА[править]
  17. Электронная подпись[править]
  18. Создание и проверка подписи в командной строке[править]
  19. Создание подписи[править]
  20. Проверка подписи[править]
  21. Извлечение подписанного файла[править]
  22. Создание и проверка ЭЦП в ALT CSP КриптоПро[править]
  23. Создание и проверка ЭЦП в gost-crypto-gui[править]
  24. Создание и проверка ЭЦП с использованием cptools[править]
  25. Особенности работы с токенами[править]
  26. Rutoken S[править]
  27. Поддержка КриптоПро различными платформамиПравить
  28. Виды лицензий КриптоПро CSP
  29. Лицензия КриптоПро CSP встроенная в сертификат электронной подписи
  30. Плюсы
  31. Минусы
  32. Стоимость — 1000 рублей
  33. Лицензия КриптоПро CSP на рабочее место
  34. Плюсы
  35. Минусы
  36. Стоимость — годовая лицензия 1600 рублей, бессрочная 3000 рублей
  37. Демонстрационная Лицензия КриптоПро CSP
  38. Сравнение лицензий КриптоПро
  39. Характиристики
  40. Типы ключевых носителей
  41. Совместимость[править]
  42. Управление сертификатами[править]
  43. Создание запроса на получение сертификата[править]
  44. Установка сертификата[править]
  45. Просмотр сертификатов[править]
  46. Получение сертификата в УЦ и его установка[править]
  47. Проверка цепочки сертификатов[править]
  48. Удаление сертификата[править]
  49. Экспорт контейнера и сертификата на другую машину[править]
  50. Экспорт сертификатов на другую машину[править]
  51. Импорт персонального сертификата[править]
  52. Инструменты КриптоПро — кроссплатформенный графический интерфейс (cptools)[править]
  53. Работа с сертификатами в token-manager[править]
  54. Установка и запуск[править]
  55. Проверка лицензии[править]
  56. Просмотр сертификатов[править]
  57. Установка сертификата[править]

Особенности

В качестве особенностей КриптоПро CSP можно выделить:

  • встроенную поддержку Winlogon;
  • наличие в составе КриптоПро CSP Revocation Provider, работающего через OCSP-ответы;
  • поддержка платформы x64;
  • реализация протокола EAP/TLS;
  • расширенный внешний интерфейс СКЗИ для обеспечения работы с функциональным ключевым носителем (ФКН), согласования ключей для использования в реализациях протокола IPSec, работы с другими приложениями;
  • исключена возможность использования стандарта ГОСТ Р 34.10-94 начиная с версии КриптоПро CSP 3.6 R3 (ГОСТ Р 34.10-94 отменен).

КриптоПро ЭЦП Browser plug-in[править]

Внимание! Последняя доступная версия плагина КриптоПро ЭЦП Browser plug-in 2.0

требует КриптоПро 4.0

. С более ранними версиями КриптоПро плагин не работает и конфликтует.

КриптоПро ЭЦП Browser plug-in предназначен для создания и проверки электронной подписи (ЭП) на веб-страницах с использованием СКЗИ «КриптоПро CSP».

Плагин проверки ЭЦП для браузера требует установленного КриптоПро CSP, пакета cprocsp-rdr-gui-gtk из его комплекта и расширения для браузера CryptoPro Extension for CAdES Browser Plug-in (для работы в Firefox версии 52 и выше).

Для установки плагина:

  1. Скачайте архив по ссылке http://www.cryptopro.ru/products/cades/plugin/get_2_0 (будет скачан архив под архитектуру браузера) или на странице https://www.cryptopro.ru/products/cades/plugin/ нажмите ссылку «версия 2.0 для пользователей»:
    Скачать актуальную версию КриптоПро ЭЦП Browser plug-in
  2. Распакуйте архив:
    $ tar -xf cades_linux_amd64.tar.gz
  3. Установите пакеты (под правами root, из папки с установочными файлами):
  4. Разместите ссылки (под правами root):
    Для Chromium:
    Для Firefox (64-битная версия):
    # ln -s /opt/cprocsp/lib/amd64/libnpcades.so.2.0.0 /usr/lib64/browser-plugins/libnpcades.so
    В актуальных версиях пакетов cprocsp-pki-* эти символические ссылки создаются автоматически в процессе установки.
  5. Для работы в Firefox версии 52 и выше установите расширение для браузера Инструкция на сайте производителя. Для установки расширения в Mozilla Firefox скачайте его по ссылке https://www.cryptopro.ru/sites/default/files/products/cades/extensions/firefox_cryptopro_extension_latest.xpi или нажмите на ссылку «Скачать расширение для браузера» на странице https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html
    Ссылка на расширение для браузера
    Во всплывающем окне нажмите кнопку «Разрешить»:
    Разрешить установку расширения для браузера
    Нажмите кнопку «Добавить»:
    Добавить расширение для браузера
    Появится сообщение, что расширение добавлено в Firefox:
    Сообщение об успешном добавлении расширения
    Убедиться, что плагин установлен можно на странице (или в более ранних версиях Mozilla Firefox). Сделайте его активируемым по умолчанию.
  6. Для работы в Chromium установите расширение для браузера на странице :
    Добавить расширение для браузера
  7. На странице https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html вверху должна появится надпись: «Плагин загружен» и должен показаться сертификат в списке:
    Проверка работы КриптоПро ЭЦП Browser plug-in
    Проверка работы КриптоПро ЭЦП Browser plug-in

    Внимание! Если список пуст, необходимо проверить правильность цепочки сертификатов

КриптоПро JCP[править]

  • Для установки КриптоПро JCP нужно установить Oracle Java 1.7.0 (через собственную сборку или пакеты для Fedora)
  • Распакуйте архив и перейдите в каталог
  • Выполните
# ./install.sh /usr/java/jre1.7.0_51 XXXXX-XXXXX-XXXXX-XXXXX-XXXXX "Your Company"

Поддержка Рутокена[править]

  • Загрузите драйвер для JCP http://www.rutoken.ru/support/download/rutoken-for-cp/ и распакуйте его
  • Выполните:
# java -jar rtjlib.jar -install -rutoken

Запуск контрольной панели[править]

(требует графического дисплея)

Сравнение версий

Поддерживаемые операционные системы Windows

CSP 2.0CSP 3.0CSP 3.6CSP 3.9*CSP 4.0*
Windows 2016x64*x64**
Windows 10x86 / x64*x86 / x64
Windows 2012 R2x64x64
Windows 8.1x86 / x64x86 / x64
Windows 2012x64x64x64
Windows 8x86 / x64x86 / x64x86 / x64
Windows 2008 R2x64 / itaniumx64x64
Windows 7x86 / x64x86 / x64x86 / x64
Windows 2008x86 / x64 / itaniumx86 / x64x86 / x64
Windows Vistax86 / x64x86 / x64x86 / x64
Windows 2003 R2x86 / itaniumx86 / x64 / itaniumx86 / x64x86 / x64
Windows 2003x86 / itaniumx86 / x64 / itaniumx86 / x64x86 / x64
Windows XPx86x86 / itaniumx86 / x64x86 / x64x86 / x64
Windows 2000x86x86x86
Windows Milleniumx86
Windows NT 4.xx86
Windows 98x86

* Начиная с версии КриптоПро CSP 3.9 R2.

** Начиная с версии КриптоПро CSP 4.0 R2

Поддерживаемые UNIX/Linux-подобные операционные системы

CSP 2.0CSP 3.0CSP 3.6CSP 3.9CSP 4.0
iOS 10ARM32** / ARM64**ARM32*** / ARM64***
iOS 9ARM32** / ARM64**ARM32 / ARM64
iOS 8
ARM32 / ARM64**ARM32 / ARM64
iOS 6/7 ARM32ARM32ARM32
iOS 4.2 / 4.3 / 5ARM32
Mac OS X 10.9x64x64
Mac OS X 10.8x86 / x64x64x86 / x64
Mac OS X 10.7x86 / x64x64x86 / x64
Mac OS X 10.6x86 / x64x64x86 / x64
Android 3.2+ / 4ARM7
Solaris 10/11x86 / x64 / sparcx86 / x64 / sparcx86 / x64 / sparc
Solaris 9x86 / sparcx86 / x64 / sparc
Solaris 8x86 / sparc
AIX 5 / 6 / 7PowerPCPowerPCPowerPC
FreeBSD 10x86 / x64x86 / x64
FreeBSD 8 / 9x86 / x64x86 / x64x86 / x64
FreeBSD 7x86 / x64
FreeBSD 6x86*
FreeBSD 5x86
LSB 4.0x86 / x64x86 / x64x86 / x64
LSB 3.0 / LSB 3.1x86 / x64
RHEL 4 / 5 / 6x86 / x64x86 / x64x86 / x64
RHEL 3.3 спец.сборкаx86x86x86
RedHat 7 / 9x86
CentOS 5 / 6x86 / x64x86 / x64x86 / x64
CentOS 4x86 / x64
Ubuntu 12.04 / 12.10 / 13.04x86 / x64x86 / x64
Ubuntu 10.10 / 11.04 / 11.10x86 / x64x86 / x64
Ubuntu 10.04x86 / x64x86 / x64x86 / x64
Ubuntu 8.04x86 / x64
Ubuntu 6.04x86 / x64*
ALTLinux 7x86 / x64x86 / x64
ALTLinux 6x86 / x64x86 / x64x86 / x64
ALTLinux 4 / 5x86 / x64
Debian 7x86 / x64x86 / x64
Debian 6x86 / x64x86 / x64x86 / x64
Debian 4 / 5x86 / x64*
Linpus Lite 1.3x86 / x64x86 / x64x86 / x64
Mandriva Server 5, Business Server 1x86 / x64x86 / x64x86 / x64
Oracle Enterprise Linux 5/6x86 / x64x86 / x64x86 / x64
ОpenSUSE 12.2/12.3x86 / x64x86 / x64x86 / x64
SUSE Linux Enterprise 11x86 / x64x86 / x64x86 / x64

* – до версии КриптоПро CSP 3.6 R1 (сборка 3.6.5402 от 2009-07-29) включительно.
** Начиная с версии КриптоПро CSP 3.9 R2.
*** Начиная с версии КриптоПро CSP 4.0 R2.

Поддерживаемые алгоритмы

CSP 2.0CSP 3.0CSP 3.6CSP 4.0
ГОСТ Р 34.10-2012 Создание подписи512 / 1024 бит
ГОСТ Р 34.10-2012 Проверка подписи512 / 1024 бит
ГОСТ Р 34.10-2001 Создание подписи512 бит512 бит512 бит512 бит
ГОСТ Р 34.10-2001 Проверка подписи512 бит512 бит512 бит512 бит
ГОСТ Р 34.10-94 Создание подписи1024 бит1024 бит1024 бит*
ГОСТ Р 34.10-94 Проверка подписи1024 бит1024 бит1024 бит*
ГОСТ Р 34.11-2012256 / 512 бит
ГОСТ Р 34.11-94256 бит256 бит256 бит256 бит
ГОСТ 28147-89256 бит256 бит256 бит256 бит

* – до версии КриптоПро CSP 3.6 R2 (сборка 3.6.6497 от 2010-08-13) включительно.

Реализуемые КриптоПро CSP алгоритмы

КриптоПро CSP реализует следующие алгоритмы:

  • алгоритм выработки значения хэш-функции реализован в соответствии с требованиями ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования»;
  • алгоритмы формирования и проверки ЭЦП реализованы в соответствии с требованиями ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
  • алгоритм зашифрования/расшифрования данных и вычисление имитовставки реализованы в соответствии с требованиями ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая».

При генерации закрытых и открытых ключей обеспечена возможность генерации с различными параметрами в соответствии ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012.

При выработке значения хэш-функции и шифровании обеспечена возможность использования различных узлов замены в соответствии с ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012 и ГОСТ 28147-89.

Установка КриптоПро CSP[править]

Загрузка[править]

Архив с программным обеспечением (КриптоПро CSP 4.0 R4 — сертифицированная версия, КриптоПро CSP 5.0 — несертифицированная) можно загрузить после предварительной регистрации:

  • linux-ia32.tgz (19,3 МБ, для i586) — для 32-разрядных систем (x86, rpm);
  • linux-amd64.tgz (20,1 МБ, для x86_64) — для 64-разрядных систем (x64, rpm).

Загрузка КриптоПро

Внимание! По умолчанию при скачивании с сайта КриптоПро выдаётся лицензия на три месяца

Установка[править]

1. Установите пакет cryptopro-preinstall:

# apt-get install cryptopro-preinstall
Этот пакет установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП).

Примечание: Пакет cryptopro-preinstall вытягивает зависимости libpangox-compat, opensc, pcsc-lite, pcsc-lite-rutokens, pcsc-lite-ccid, newt52.

2. Распакуйте архив, скачанный с официального сайта КриптоПро:

$ tar -xf linux-amd64.tgz

Таблица 1. Описание необходимых пакетов КриптоПро.

ПакетОписание
Базовые пакеты:
cprocsp-curlБиблиотека libcurl с реализацией шифрования по ГОСТ
lsb-cprocsp-baseОсновной пакет КриптоПро CSP
lsb-cprocsp-capiliteИнтерфейс CAPILite и утилиты
lsb-cprocsp-kc1Провайдер криптографической службы KC1
lsb-cprocsp-kc2Провайдер криптографической службы KC2 (требует наличия аппаратного датчика случайных чисел или гаммы)
lsb-cprocsp-rdrПоддержка ридеров и RNG
Дополнительные пакеты:
cprocsp-cptools-gtkИнструменты КриптоПро – кроссплатформенный графический интерфейс
cprocsp-rdr-gui-gtkГрафический интерфейс для диалоговых операций
cprocsp-rdr-rutokenПоддержка карт Рутокен
cprocsp-rdr-jacartaПоддержка карт JaCarta
cprocsp-rdr-pcscКомпоненты PC/SC для ридеров КриптоПро CSP
lsb-cprocsp-pkcs11Поддержка PKCS11
ifd-rutokensКонфигурация Рутокеновских карт (или можно взять pcsc-lite-rutokens из репозитория)
Читайте также:  Как получить электронную подпись на Госуслугах

3. Установите пакеты КриптоПро:

  • под правами пользователя root перейдите в папку с распакованным архивом:
  • установите базовые пакеты:
    # apt-get install cprocsp-curl* lsb-cprocsp-base* lsb-cprocsp-capilite* lsb-cprocsp-kc1-64* lsb-cprocsp-rdr-64*

Примечание: Для 32-битной версии вместо последнего пакета — lsb-cprocsp-rdr-4*

  • установите пакеты для поддержки токенов (Рутокен S и Рутокен ЭЦП):
    # apt-get install cprocsp-rdr-gui-gtk* cprocsp-rdr-rutoken* cprocsp-rdr-pcsc* lsb-cprocsp-pkcs11* pcsc-lite-rutokens pcsc-lite-ccid

Примечание: Если возникнут проблемы с отображением контейнеров на Рутокен S — удалите pcsc-lite-openct

  • установите пакет для поддержки токенов (JaCarta):
    # apt-get install cprocsp-rdr-jacarta*

Примечание: Для установки cprocsp-rdr-jacarta может понадобиться предварительно удалить openct.

  • установите пакет для поддержки носителей с неизвлекаемыми ключами:
    # apt-get install cprocsp-rdr-cryptoki*

Примечание: Для корректной работы носителей с неизвлекаемыми ключами через интерфейс PKCS#11 был добавлен cprocsp-rdr-cryptoki ( с версии CSP 5.0 R2 12000). Подробнее в базе знаний КриптоПро CSP.

  • Для установки сертификатов Главного удостоверяющего центра:
    # apt-get install lsb-cprocsp-ca-certs*
  • Если есть потребность в установке графических Инструментов КриптоПро:
    # apt-get install cprocsp-cptools*

Также можно выполнить установку КриптоПро, запустив ./install_gui.sh в распакованном каталоге и выбрав необходимые модули:

Установка пакетов КриптоПро
Примечания:

  • Для КриптоПро CSP 3.6 R2 потребуется установить пакет
  • Для установки может понадобиться libXm.so.3 () и для вывода кириллицы .
  • Для установки потребуется предварительно установить .
  • В версии 4.0.0-alt5 пакета добавлены подпакеты:
    • для установки с , «предоставляющим» (в случае нежелательности «лишних» зависимостей вроде ), и
    • для автоустановки зависимостей .

Обновление[править]

Внимание! Пакеты КриптоПро после обновления утрачивают работоспособность, так что рекомендуется удалить все пакеты и установить их заново.

Для обновления КриптоПро необходимо:

  1. Запомнить текущую конфигурацию:
    • набор установленных пакетов:
    • настройки провайдера (для простоты можно сохранить ).
  2. Удалить штатными средствами ОС все пакеты КриптоПро:
    # apt-get remove lsb-cprocsp-base
  3. Установить аналогичные новые пакеты КриптоПро.
  4. При необходимости внести изменения в настройки (можно просмотреть diff старого и нового ).
  5. Ключи и сертификаты сохраняются автоматически.

Прописывание путей к исполняемым файлам[править]

Утилиты КриптоПро расположены в директориях /opt/cprocsp/sbin/<название_архитектуры> и /opt/cprocsp/bin/<название_архитектуры>.

Чтобы каждый раз не вводить полный путь к утилитам КриптоПро:

  • после установки пакета начните новый сеанс пользователя в консоли;

Примечание: Не работает для суперпользователя.

или

  • выполните от имени пользователя, который будет запускать команды (будет действовать до закрытия терминала):
 /bin/ls -d /opt/cprocsp/s,bin/*tr  

Внимание! Если установлен пакет mono или mono4-devel, может быть конфликт по имени утилиты certmgr

Проверка лицензии[править]

Проверить срок истечения лицензии можно командой (обратите внимание на строки Expires:):

$ cpconfig -license -viewLicense validity:
4040E-G0037-EK8R3-C6K4U-HCXQG
Expires: 2 month(s) 23 day(s)
License type: Server.

Примечание: Для версии КриптоПро CSP под Linux все лицензии считаются серверными, поэтому не смущайтесь строкой «License type: Server».

Для установки другой лицензии выполните (под root):

# cpconfig -license -set <серийный_номер>

Примечание: Серийный номер следует вводить с соблюдением регистра символов.

Проверка версии[править]

Проверить версию КриптоПро можно командой:

4.0.9963

Удаление КриптоПро[править]

# apt-get remove lsb-cprocsp-base

Примечание: Если появляется

support_mutex_open("registry_lock") failed:: Permission denied

выполните после удаления

# rm -f /var/opt/cprocsp/tmp/.registry_lock

Вход в ЕСИА[править]

Для аутентификации через ЕСИА (https://esia.gosuslugi.ru/) потребуется установить версию не позже CSP 4.0R3 и плагин IFCPlugin, а также установить расширение для плагина Госуслуг, в зависимости от версии браузера:

  • Расширение для Google Chrome/Chromium/Chromium GOST
  • Расширение для Mozilla Firefox

Перезапустить браузер.

Подробнее:

  • Вход в ЕСИА
  • Вход с помощью электронной подписи на портал Госуслуг на Linux (от КриптоПро)

Примечание: Для старых версий плагина (< 3.0.0) необходимо добавить в файл /etc/ifc.cfg после раздела с Jacarta (для 64-битных систем):

  { name  = "CryptoPro CSP";
    alias = "cryptoprocsp";
    type  = "pkcs11";
    lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
  },

Примечание: Для работы с контейнерами КриптоПро (в том числе с ГОСТ-2012) для плагина 3.0.5 необходимо добавить в файл /etc/ifc.cfg (для 64-битных систем):

 { name  = "CryptoPro CSP5";
    alias = "cprocsp5";
    type  = "pkcs11";
    alg   = "gost2001";
    model = "CPPKCS 3";
    lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
  },
  { name  = "CryptoPro CSP5 2012 256";
    alias = "cprocsp5_2012_256";
    type  = "pkcs11";
    alg   = "gost2012_256";
    model = "CPPKCS 3";
    lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
  },
 { name  = "CryptoPro CSP5 2012 512";
    alias = "cprocsp5_2012_512";
    type  = "pkcs11";
    alg   = "gost2012_512";
    model = "CPPKCS 3";
    lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
  }

И сделать символическую ссылку на библиотеку pkcs11:

# ln -s /opt/cprocsp/lib/amd64/libcppkcs11.so.4.0.4 /usr/lib/mozilla/plugins/lib/libcppkcs11.so

Журнал работы плагина можно найти в файле /var/log/ifc/engine_logs/engine.log.

Электронная подпись[править]

Существуют два вида электронной подписи:

  • прикреплённая (attached) — в результирующий файл упакованы данные исходного файла и подпись;
  • откреплённая (detached) — подписываемый документ остается неизменным, подпись же сохраняется в отдельном файле. Для проверки отсоединенной подписи нужны оба файла, файл подписи и файл исходного документа.

Создание и проверка подписи в командной строке[править]

Создание подписи[править]

Для создания электронной подписи файла необходимо указать сертификат и имя подписываемого файла.

Для создания прикрепленной (attached) электронной подписи выполните команду:

Примечание: Проще всего для указания сертификата использовать адрес e-mail.

CryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:user@test.ru, Иванов Иван
Действителен с 18.12.2018 13:41:38 по 18.03.2019 13:51:38

Цепочки сертификатов проверены.
Папка './':
zayavlenie.pdf... Подпись данных...    
    
Подписанное сообщение успешно создано.
[ErrorCode: 0x00000000]

где

  • -dn E=user@test.ru — сертификат по e-mail;
  • -der — использовать формат DER для файла подписи (по умолчанию используется формат Base64);
  • zayavlenie.pdf — имя подписываемого файла.

На выходе появится файл zayavlenie.pdf.sig, содержащий как сам подписываемый файл, так и электронную подпись.

Для создания открепленной (detached) подписи необходимо заменить ключ -sign на -signf:

Тогда рядом с оригинальным файлом будет лежать файл подписи — zayavlenie.pdf.sgn.

Проверка подписи[править]

Для проверки прикреплённой подписи выполните команду:

$ cryptcp -verify zayavlenie.pdf.sigCryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:user@test.ru, Иванов Иван
Действителен с 18.12.2018 13:41:38 по 18.03.2019 13:51:38

Цепочки сертификатов проверены.
Папка './':
zayavlenie.pdf.sig... Проверка подписи...     
Автор подписи: user@test.ru, Иванов Иван
 Подпись проверена.
[ErrorCode: 0x00000000]

Показано, кто подписывал и что подпись проверена.

Для проверки откреплённой подписи выполните команду:

$ cryptcp -vsignf zayavlenie.pdfCryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:user@test.ru, Иванов Иван
Действителен с 18.12.2018 13:41:38 по 18.03.2019 13:51:38

Цепочки сертификатов проверены.
Папка './':
234.pdf... Проверка подписи...     
    
Автор подписи: user@test.ru, Иванов Иван
 Подпись проверена.
[ErrorCode: 0x00000000]

Также для проверки электронной подписи можно воспользоваться сервисом на сайте Госуслуг — https://www.gosuslugi.ru/pgu/eds.

Извлечение подписанного файла[править]

Для извлечения файла с данными из файла электронной подписи необходимо указать имя файла, в который будут извлечены данные, в конце команды проверки подписи:

$ cryptcp -verify zayavlenie.pdf.sig zayavlenie.pdf

Создание и проверка ЭЦП в ALT CSP КриптоПро[править]

Создание и проверка ЭЦП в gost-crypto-gui[править]

gost-crypto-gui — средство для создания электронной подписи и шифрования файлов.

Установить пакет gost-crypto-gui из репозитория можно, выполнив команду:

# apt-get install gost-crypto-gui

Запустить программу можно:

  • из командной строки:
    $ python /usr/bin/gost-crypto-gui.py
  • в рабочей среде Mate: ▷ ▷ Подпись и шифрование файлов;
  • в рабочей среде KDE: Меню запуска приложений ▷ ▷ Подпись и шифрование файлов.

С её помощью можно подписывать и проверять подписи файлов:

Программа gost-crypto-gui

Для создания электронной подписи файла необходимо:

  1. Нажать кнопку «Подписать файл(ы)».
  2. Выбрать файл, который необходимо подписать.
  3. Выбрать сертификат и нажать кнопку «Далее»:
    Выбор сертификата
  4. Ввести пароль на контейнер (если он был установлен):
    Пароль на контейнер
  5. Появится сообщение о подписанном файле:
    Информация о подписанном файле

Опции ЭП настраиваются в меню «Опции» (параметр «Отсоединенная подпись» не работает???):

Опции ЭП

Для проверки электронной подписи следует:

  1. Нажать кнопку «Проверить подпись».
  2. Выбрать подписанный файл.
  3. Появится информация о сертификате подписи:
    Проверка электронной подписи

Создание и проверка ЭЦП с использованием cptools[править]

Примечание: cptools доступна версии КриптоПро 5.

Запустить программу можно из консоли (должен быть установлен cprocsp-cptools-gtk из скачанного архива КриптоПро):

С помощью cptools можно подписывать и проверять подписи файлов.

Для создания электронной подписи файла необходимо:

  1. В левом меню выбрать пункт «Создание подписи».
  2. Выбрать файл, который необходимо подписать, нажав кнопку «Выбрать файл для подписи» (или ввести адрес файла в текстовое поле под кнопкой «Выбрать файл для подписи»).
  3. Изменить имя файла подписи, если оно вас не устраивает:
    Создание подписи в КриптоПро CSP
  4. Нажать кнопку «Подписать».
  5. Ввести пароль на контейнер (если он был установлен).
  6. Появится сообщение о подписанном файле: «Создание подписи завершилось успехом».

Для проверки электронной подписи следует:

  1. В левом меню выбрать пункт «Проверка подписи».
  2. Выбрать файл с подписью, нажав кнопку «Выбрать файл с подписью для проверки» (или ввести адрес файла в текстовое поле под этой кнопкой).
  3. Нажать кнопку «Проверить подпись».
  4. Появится информация о результате проверки:
    Проверка подписи в КриптоПро CSP

Особенности работы с токенами[править]

Rutoken S[править]

При входе в ЕСИА с помощью Rutoken S не находится приватная часть ключа. В журнале ifc появляется строка:

IFC:do_work_sign_cms:ERROR:get_priv_key_by_id error:ifc_sign_cms.c:110

Для этого надо перенести приватный ключ в локальное хранилище и задействовать его:

$ csptest -keycopy -contsrc 'имя_контейнера_например\\.\Aktiv Rutoken ECP 00 00\ххххх' -contdest '\\.\HDIMAGE\private' -pindest пароль$ certmgr -inst -cont '\\.\HDIMAGE\private'

для AltLinux9.2 КриптоПро5 Rutoken S – если cptools не читает ключ.

Bus 001 Device 005: ID 0a89:0020 Retoken S

Добавить группу, если в журнале ошибки по отсутствию групп

$ groupadd scard$ groupadd pcscd

В

добавить в файл

$ vi 50-pcscd-asedriveiiie.rules

строку

И закоментировать в файле

строку

После внесения изменений перезагрузить службу

Поддержка КриптоПро различными платформамиПравить

Виды лицензий КриптоПро CSP

криптопро csp состав

Лицензия КриптоПро CSP встроенная в сертификат электронной подписи

Данная лицензия прописывается в состав сертификата электронной подписи. Ввода серийного номера не требует, КриптоПро автоматически работает с этим видом лицензий. Срок действия лицензии равен сроку действия сертификата.

Читайте также:  Актив Документация, Комплект документации Рутокен ЭЦП 2.0 64КБ, сертификат МО — купить лицензию Рутокен ЭЦП (Rutoken), цена в Ростове-на-Дону на официальном сайте

Встроенная лицензия — самая удобная в использовании. Нужно только установить необходимые программы и рабочее место готово!

Плюсы



  • Работает на любом рабочем месте


  • Не требуется вводить серийный номер


  • Самая доступная по цене

Минусы



  • Работает только с одной ЭЦП

Стоимость — 1000 рублей

Оформить встроенную лицензию можно только вместе с оформлением электронной подписи (сертификата электронной подписи)! При отправке заявки на электронную подпись на втором шаге выберите «Лицензия встроенная в сертификат ЭЦП».

Если по каким-либо причинам вы получили сертификат без встроенной лицензии, то добавить её без перевыпуска невозможно. В этом случае необходимо получить лицензию КриптоПро CSP на рабочее место.

Лицензия КриптоПро CSP на рабочее место

Данная лицензия устанавливается на одно рабочее место методом ввода серийного номера из бланка лицензии или из e-mail. Срок действия лицензии может быть годовым (15 месяцев) или бессрочным.

Плюсы



  • Работает с любым количеством ЭЦП

Минусы



  • Можно использовать только на одном компьютере


  • При обновлении версии необходимо обновлять лицензию


  • Необходимо следить за сроком действия (в случае лицензии со сроком действия)

Стоимость — годовая лицензия 1600 рублей, бессрочная 3000 рублей

Получить лицензию КриптоПро CSP на рабочее место можно независимо от оформления электронной подписи. Вы можете заказать лицензию на 4-ю или 5-ю версию. Годовая лицензия от 4-й версии также подходит и к 5-й!

Демонстрационная Лицензия КриптоПро CSP

Данная лицензия устанавливается автоматически при первой установке КриптоПро. Срок действия демо-лицензии 90 дней с момента первой установки. Если программа КриптоПро уже уже была установлена, повторно демо-лицензия устанавливаться не будет!

Сравнение лицензий КриптоПро

Тип лицензииКоличество поддерживаемых ЭЦПКоличество поддерживаемых рабочих мест (компьютеров)Срок действия
Встроенная в сертификат ЭЦП1НеограниченноРавен сроку действия ЭЦП
На рабочее место, ГодоваяНеограниченно115 месяцев
На рабочее место, БессрочнаяНеограниченно1Бессрочно

Характиристики

Длина ключей электронной цифровой подписи:

  • закрытый ключ – 256 бит;
  • открытый ключ:
    • 512 бит при использовании алгоритма ГОСТ Р 34.10-2001,
    • 1024 бита при использовании алгоритма ГОСТ Р 34.10-94.

Длина ключей, используемых при шифровании:

  • закрытый ключ – 256 бит;
  • открытый ключ:
    • 512 бит на базе алгоритма ГОСТ Р 34.10-2001,
    • 1024 бита на базе алгоритма ГОСТ Р 34.10-94;
  • симметричный ключ – 256 бит.

Типы ключевых носителей

КриптоПро CSP работает со следующими ключевыми носителями:

  • дискеты 3,5″;
  • смарт-карты с использованием считывателей смарт-карт, поддерживающий протокол PС/SC;
  • таблетки Touch-Memory DS1993 – DS1996 с использованием устройств Аккорд 4+, электронный замок «Соболь» или устройство чтения таблеток Touch-Memory DALLAS (только в Windows версии);
  • электронные ключи с интерфейсом USB (USB-токены);
  • сменные носители с интерфейсом USB;
  • реестр ОС Windows;
  • файлы ОС Solaris/Linux/FreeBSD.

Совместимость[править]

По информации разработчика, с ALT Linux совместимы следующие продукты КриптоПро:

  • КриптоПро CSP
  • КриптоПро JCP
  • КриптоПро HSM
  • КриптоПро TSP
  • КриптоПро OCSP
  • КриптоПро ЭЦП Browser plug-in
  • КриптоПро SSF
  • КриптоПро Stunnel
  • Браузер КриптоПро Fox

Примечание: В репозитории доступен пакет firefox-gost, аналогичный КриптоПро Fox, с патчем от КриптоПро.

Управление сертификатами[править]

cryptcp — приложение командной строки для создания запросов на сертификаты, шифрования и расшифрования файлов, создания и проверки электронной подписи файлов с использованием сертификатов открытых ключей, хэширования файлов. Результатом работы приложения в большинстве случаев является файл с CMS-сообщением (PKCS#7) в кодировке DER или BASE64.

Создание запроса на получение сертификата[править]

Создание запроса на получение сертификата средствами КриптоПро:

cryptcp -creatrqst -dn "список имён полей" -cont 'путь к контейнеру' <название_файла>.csr

Для создания запроса на получение сертификата потребуется:

  1. DN — данные, которые будут храниться в поле Subject сертификата (cn=Test User5,e=cas@altlinux.org).
  2. Имя контейнера вместе со считывателем (например, в локальном хранилище hdimage: ).
  3. Имя файла, в котором следует сохранить запрос ().

Внимание! Для использования проверки подлинности клиента в браузере потребуется также указать, что запрос создается по ГОСТ 2001 и добавляется тип применения подлинности клиента: -provtype 75 -certusage “1.3.6.1.5.5.7.3.4,1.3.6.1.5.5.7.3.2”.

С помощью опции -certusage можно указать OID назначение сертификата.
Назначение сертификата представляется в сертификате объектным идентификатором, присвоенным этой политике, — OID. Если в сертификате указано несколько политик, то это означает, что сертификат соответствует всем этим политикам списка.

Таблица 2. Типы применения.

OIDНазначение
1.3.6.1.5.5.7.3.1Аутентификация сервера
1.3.6.1.5.5.7.3.2Аутентификация клиента
1.3.6.1.5.5.7.3.3Подписывание кода
1.3.6.1.5.5.7.3.4Защищенная электронная почта
1.3.6.1.5.5.7.3.8Простановка штампов времени
1.3.6.1.4.1.311.10.5.1Цифровые права
1.3.6.1.4.1.311.10.3.12Подписывание документа

Таблица 3. Поле Subject сертификата

OIDАлиасНазначениеПримечание
2.5.4.3CNОбщее имяНаименование ЮЛ (если ИНН начинается с “00”) или ФИО владельца. Длина не более 64 символов
2.5.4.4SNФамилия
2.5.4.42GN/GИмя ОтчествоОбщая длина текста в полях SN и G должна быть не более 64 символов (с учетом одного пробела между текстом из Фамилии и текстом из Имени)
1.2.840.113549.1.9.1emailAddress/EАдрес электронной почтыivanov@mail.mail
1.2.643.100.3SNILSСНИЛСДолжно быть записано 11 цифр (допускается 11 нулей для иностранных граждан).
1.2.643.3.131.1.1INNИНН12 цифр, для ЮЛ первые две цифры 00
2.5.4.6CСтранаДвухсимвольный код страны (RU)
2.5.4.8SРегионНаименование субъекта РФ ЮЛ: по адресу местонахождения,

ФЛ: по адресу регистрации (39 Калининградская обл.)

2.5.4.7LНаселенный пунктНаименование населенного

пункта (Калининград)

2.5.4.9streetНазвание улицы, номер домаПр-т Победы 14 кв.3
2.5.4.10OОрганизацияПолное или сокращенное

наименование организации (только для ЮЛ)

2.5.4.11OUПодразделениеВ случае выпуска СКПЭП на должностное лицо – соответствующее подразделение организации (только для ЮЛ)
2.5.4.12TДолжностьВ случае выпуска СКПЭП на должностное лицо – его должность (только для ЮЛ)
1.2.643.100.1OGRNОГРНОГРН организации (только для ЮЛ)

Создать запрос на субъект “cn=Test User5,e=cas@altlinux.org”, используя открытый ключ, сгенерированный в контейнере test текущего пользователя криптопровайдером «GOST R 34.10-2001» (тип — 75) и сохранить его в файл test5.req, назначение ключа — аутентификация и защита электронной почты:

CryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.
Запрос успешно создан и сохранен в файле.
[ErrorCode: 0x00000000]

Созданный запрос будет сохранен в файле test5.req. Эти данные нужны для получения сертификата в удостоверяющем центре.

Создать запрос на физическое лицо, используя открытый ключ, сгенерированный в контейнере test_2012 (тип — 80) текущего пользователя криптопровайдером «Crypto-Pro GOST R 34.10-2012 KC1 CSP» (тип — 80) и сохранить его в файл test2012.req, назначение ключа — аутентификация и защита электронной почты:

$ cryptcp -creatrqst \-provtype 80 -nokeygen  \-cont '\\.\HDIMAGE\test_2012'  \-certusage "1.3.6.1.5.5.7.3.4,1.3.6.1.5.5.7.3.2" test2012.req

Тот же запрос, используя OID:

$ cryptcp -creatrqst \-provtype 80 -nokeygen -cont '\\.\HDIMAGE\test_2012' \-certusage "1.3.6.1.5.5.7.3.4,1.3.6.1.5.5.7.3.2" test2012.req

Установка сертификата[править]

Добавление сертификата, без привязки к ключам (только проверка ЭЦП):

$ certmgr -inst -file cert.cer

Ассоциировать сертификат с контейнером, сертификат попадет в пользовательское хранилище uMy:

$ certmgr -inst -file cert.cer -store uMy -cont '\\.\HDIMAGE\test'

Запись сертификата клиента в контейнер:

$ cryptcp -instcert -provtype 80 -cont '\\.\HDIMAGE\test' -ku -askpin cert.cer

Основные опции:

-provtype — указать тип криптопровайдера (по умолчанию 75);

-provname — указать имя криптопровайдера;

-cont — задать имя ключевого контейнера (по умолчанию выбор из списка);

-ku — использовать контейнер пользователя (CURRENT_USER);

-km — использовать контейнер компьютера (LOCAL_MACHINE);

-dm — установка в хранилище компьютера (LOCAL_MACHINE);

-du — установка в хранилище пользователя (CURRENT_USER);

-askpin — запросить пароль ключевого контейнера из с консоли;

<имя файла> — имя файла, содержащего сертификат.

Добавление сертификата УЦ из файла certne_ucw.cer в хранилище машины (для текущего пользователя):

$ certmgr -inst -file certne_ucw.cer -store uRoot

Добавление корневых сертификатов из файла cert.p7b (для текущего пользователя):

$ certmgr -inst -all -file cert.p7b -store uRoot

Необходимо последовательно добавить все сертификаты.

Примечание: Корневые сертификаты для всех пользователей ставятся в хранилище машины — т.е. с параметром -store mRoot. Например: # certmgr -inst -store mRoot -file /tmp/cert.cer

Просмотр сертификатов[править]

Для просмотра установленных сертификатов можно воспользоваться командой:

$ certmgr -listCertmgr 1.1 (c) "Crypto-Pro",  2007-2018.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : CN=Test User5, E=cas@altlinux.org
Serial              : 0x120012447FA7E652B76808CD7900000012447F
SHA1 Hash           : 0xcb8e7ca68bea0ffbbd84c326d565de68cd8a15f5
SubjKeyID           : 6f7507353601d6d943f1406aae60c21ab65190e0
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 18/12/2018  13:41:38 UTC
Not valid after     : 18/03/2019  13:51:38 UTC
PrivateKey Link     : Yes                 
Container           : HDIMAGE\\test.000EF8
Provider Name       : Crypto-Pro GOST R 34.10-2001 KC1 CSP
Provider Info       : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.4
                      1.3.6.1.5.5.7.3.2
=============================================================================

[ErrorCode: 0x00000000]

Просмотр сертификатов в локальном хранилище uMy:

$ certmgr -list -store uMy

Примечание: Если в списке сертификатов выводится PrivateKey Link: Yes. Container: HDIMAGE\\test.000\2EF8, то сертификат ассоциирован (связан) с приватным ключом, а если выводится PrivateKey Link: No — связи нет, и использовать такой контейнер для подписи не удастся:

Просмотр сертификатов в контейнере:

$ certmgr -list -container '\\.\Aktiv Rutoken ECP - CP 00 00\Rutoken'

Просмотр корневых сертификатов:

$ certmgr -list -store uRoot

Получение сертификата в УЦ и его установка[править]

Для получения сертификата в УЦ (на примере тестового удостоверяющего центра КриптоПро), необходимо выполнить следующие действия:

  1. Откройте в браузере ссылку http://www.cryptopro.ru/certsrv (тестовый удостоверяющий центр КриптоПро).
  2. Нажмите ссылку «Отправить готовый запрос PKCS#10 или PKCS#7 в кодировке Base64»:
    Ссылка «Отправить готовый запрос PKCS#10 или PKCS#7 в кодировке Base64»
  3. Вставьте в поле «Base-64-шифрованный запрос сертификата» содержимое файла test5.req и нажмите кнопку «Выдать»:
    Выдача запроса на сертификат
  4. Сохраните файл по ссылке «Загрузить цепочку сертификатов» (по умолчанию предлагается имя certnew.p7b):
    Ссылка «Загрузить цепочку сертификатов»

Примечание: Просмотреть содержимое файла test5.req можно, выполнив команду:

$ cat test5.reqMIIBMDCB4AIBADA2MRMwEQYDVQQDDApUZXN0IFVzZXI1MR8wHQYJKoZIhvcNAQkBFhBjYXNAYWx0
bGludXgub3JnMGMwHAYGKoUDAgITMBIGByqFAwICJAAGByqFAwICHgEDQwAEQDq5IAql+tHfVT7r
oz+P5dPgOUVXc7dg91nzGM7fkUBSKlapGO2A2xUDRUBHLtW/hBCiZsxdH3ydhzlZ6nhcbNKgPjA8
BgorBgEEAYI3AgEOMS4wLDAdBgNVHSUEFjAUBggrBgEFBQcDBAYIKwYBBQUHAwIwCwYDVR0PBAQD
AgTwMAgGBiqFAwICAwNBAFYnhGI6SsCwFRSl5p6EVnM7y6Hx9JGM6BFS4U3xTEGvzMK7yzk9j1kG
EKU7YZO5cFluPuDdi0WuYskhdz4SEg4=

Просмотреть полученный сертификат можно, выполнив команду:

$ certmgr -list -file certnew.p7bCertmgr 1.1 (c) "CryptoPro",  2007-2018.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Serial              : 0x2B6E3351FD6EB2AD48200203CB5BA141
SHA1 Hash           : 0x046255290b0eb1cdd1797d9ab8c81f699e3687f3
SubjKeyID           : 15317cb08d1ade66d7159c4952971724b9017a83
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 05/08/2014  13:44:24 UTC
Not valid after     : 05/08/2019  13:54:03 UTC
PrivateKey Link     : No                  
2-------
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : CN=Test User5, E=cas@altlinux.org
Serial              : 0x120012447FA7E652B76808CD7900000012447F
SHA1 Hash           : 0xcb8e7ca68bea0ffbbd84c326d565de68cd8a15f5
SubjKeyID           : 6f7507353601d6d943f1406aae60c21ab65190e0
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 18/12/2018  13:41:38 UTC
Not valid after     : 18/03/2019  13:51:38 UTC
PrivateKey Link     : No
CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.4
                      1.3.6.1.5.5.7.3.2
=============================================================================

[ErrorCode: 0x00000000]

Цепочка сертификатов содержит два сертификата:

  • Сертификат удостоверяющего центра.
  • Сертификат клиента.
Читайте также:  Смарт-карта Рутокен ЭЦП 2.0 - купить от 1400 руб. руб. в Secure-Market

Для установки сертификата удостоверяющего центра:

  • выполните команду:
    $ certmgr -inst -file certnew.p7b -store uRoot
  • в ответ на запрос команды нажмите 1.

Для записи сертификата клиента в контейнер:

  • выполните команду:
    $ certmgr -inst -file certnew.p7b -store uMy -cont '\\.\HDIMAGE\test'
  • в ответ на запрос команды нажмите 2.
  • введите пароль на контейнер \\.\HDIMAGE\test при запросе:
    Запрос пароля на контейнер

Примечание: Корневые сертификаты для всех пользователей ставятся в хранилище машины — т.е. с параметром -store mRoot. Например: # certmgr -inst -store mRoot -file /tmp/cert.cer
CRL ставятся точно также только с параметром -crl. CRL ставить не обязательно, но нужно убедиться что в /etc/opt/cprocsp/config64.ini в секции apppath указан правильный путь для libcurl.so. По умолчанию там путь до библиотеки от КриптоПро и если curl от КриптоПро не установлен — загрузка CRL работать не будет. Установка параметра на 64-битных системах:

# cpconfig -ini \\config\\apppath -add string libcurl.so /opt/cprocsp/lib/amd64/libcpcurl.so

Проверка цепочки сертификатов[править]

Внимание! В кэше сертификатов для выпущенного сертификата должны присутствовать корневые сертификаты удостоверяющих центров. В противном случае он будет недоступен в плагине для браузера!

Таблица 4. Сертификаты популярных удостоверяющих центров.

Удостоверяющий ЦентрИсточникСертификаты
ПАК «Головной удостоверяющий центр»https://e-trust.gosuslugi.ru/MainCAhttps://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
ЗАО «Национальный удостоверяющий центр»https://www.nucrf.ru/info/https://www.nucrf.ru/download/nucrf.p7b
Удостоверяющий центр СКБ Контурhttps://ca.kontur.ru/about/certificates (выбрать 2015 год)http://cdp.skbkontur.ru/certificates/kontur-root-2015.crt

Для проверки можно скопировать персональный сертификат в файл:

cryptcp -copycert -dn "CN=Иванов Иван Иванович" -df  tt.cerCryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:11223344556, 102301111222, Пр-т Победы 14 кв.3, 39 Калининградская обл., Калининград, RU, ivanov@mail.mail, Иван Иванович, Иванов, Иванов Иван Иванович
Действителен с 21.02.2019 13:16:38 по 21.05.2019 13:26:38

Цепочки сертификатов проверены.
Копирование сертификатов завершено.
[ErrorCode: 0x00000000]

Из вывода следует, что все сертификаты есть в цепочке сертификатов.

Если же команда возвращает «Цепочка сертификатов не проверена для следующего сертификата:» или другую ошибку:


CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN:******
Valid from 13.07.2016 12:03:00 to 13.07.2017 12:04:00

Certificate chain is not checked for this certificate:
RDN:******
Valid from 13.07.2016 12:03:00 to 13.07.2017 12:04:00

The certificate or certificate chain is based on an untrusted root.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?

(нажмите C и Enter, чтобы выйти).

Можно запустить вышеуказанную команду с отладкой цепочки:

...
----------- Error chain -----------
Chain status:IS_UNTRUSTED_ROOT
Revocation reason:unspecified
1. 
 Subject:'E=ca@skbkontur.ru, C=ru, L=:0B5@8=1C@3, O= �$ �!▒ ▒>=BC@�, CN=uc skb kontur (root)'
 Issuer:'E=ca@skbkontur.ru, C=ru, L=:0B5@8=1C@3, O= �$ �!▒ ▒>=BC@�, CN=uc skb kontur (root)'
 Cert status:IS_UNTRUSTED_ROOT
...

То есть нам надо установить сертификат УЦ с CN=uc skb kontur (root):

$ certmgr -inst -store uRoot -file kontur-root-2015.crt

После этого:

CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN:******
Valid from 13.07.2016 12:03:00 to 13.07.2017 12:04:00

Certificate chains are checked.
Certificate's been copied.
[ReturnCode: 0]

Всё в порядке и сертификат виден в плагине Cades.

Удаление сертификата[править]

Удалить сертификат c “CN=Иванов Иван Иванович” из хранилища КриптоПро:

$ certmgr -delete -dn "CN=Иванов Иван Иванович"

Удалить сертификат c “CN=Иванов Иван Иванович” из контейнера:

Удалить все сертификаты из хранилища КриптоПро:

$ certmgr -delete -all$ certmgr -delete -store uRoot

Удалить все сертификаты установленные в хранилище машины:

# certmgr -delete -store mRoot

Экспорт контейнера и сертификата на другую машину[править]

Если при создании контейнера он был помечен как экспортируемый (ключ -exportable), то его можно экспортировать на USB-диск:

$ csptest -keycopy -contsrc '\\.\HDIMAGE\test_export' -contdest '\\.\FLASH\test_new'CryptAcquireContext succeeded.HCRYPTPROV: 36965843
CryptAcquireContext succeeded.HCRYPTPROV: 37297363
Total: SYS: 0,100 sec USR: 0,200 sec UTC: 13,420 sec
[ErrorCode: 0x00000000]

При этом потребуется ввести пароль от контейнера ‘\\.\HDIMAGE\test_export’ и задать пароль на новый контейнер ‘\\.\FLASH\test_new’.

Примечание: Будьте внимательны при операциях импорта/экспорта контейнера с использованием токена:

необходимо будет предъявлять pin токена.

Просмотр списка контейнеров:

CSP (Type:80) v5.0.10001 KC1 Release Ver:5.0.11319 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 41622371
\\.\FLASH\test_new
\\.\HDIMAGE\test_export
\\.\HDIMAGE\test
OK.
Total: SYS: 0,030 sec USR: 0,060 sec UTC: 0,160 sec
[ErrorCode: 0x00000000]

Экспортировать сертификат из локального хранилища в файл:

$ certmgr -export -dn 'CN=Ли Александр Сергеевич' -dest test.cer

Скопировать сертификат на USB-диск:

Экспорт контейнера с USB-диска на жесткий диск:

$ csptest -keycopy -contsrc '\\.\FLASH\test_new' -contdest '\\.\HDIMAGE\test_export'CryptAcquireContext succeeded.HCRYPTPROV: 35778003
CryptAcquireContext succeeded.HCRYPTPROV: 36125907
Total: SYS: 0,050 sec USR: 0,240 sec UTC: 19,390 sec
[ErrorCode: 0x00000000]

Примечание: Экспорт сертификата на жесткий диск необходимо выполнять под пользователем, который будет использовать данный контейнер для подписи.

Ассоциировать сертификат с контейнером, сертификат попадет в пользовательское хранилище My:

Экспорт сертификатов на другую машину[править]

Закрытые ключи к сертификатам находятся в /var/opt/cprocsp/keys.

Для экспорта сертификатов необходимо:

  1. Перенести ключи из на нужную машину в тот же каталог.
  2. Экспортировать сертификаты (их, количество можно определить, выполнив: certmgr -list, в примере сертификатов 3):
  3. Перенести файлы сертификатов (1.cer, 2.cer, 3.cer) на нужную машину.
  4. На машине, куда переносятся сертификаты, просмотреть какие контейнеры есть (должны появится контейнеры с первой машины):
    $ csptest -keyset -enum_cont -verifycontext -fqcn
  5. Связать сертификат и закрытый ключ:
    $ certmgr -inst -file 1.cer -cont '\\.\HDIMAGE\container.name'
    Если закрытый ключ и сертификат не подходят друг к другу, будет выведена ошибка:
    Cannot install certificate
    Public keys in certificate and container are not identical
    
  6. Если закрытого ключа нет, то просто поставить сертификат:
    $ certmgr -inst -file 1.cer

Импорт персонального сертификата[править]

Вы можете импортировать собственный сертификат в локальный считыватель HDIMAGE.

Если у вас нет сертификата, самое время его создать:

  • Создание через cert-sh-functions (требует установки пакета cert-sh-functions)
  • Создание сертификатов PKCS12 (достаточно только пакета openssl)

Допустим, мы пошли по первому пути и создали сертификат web-server (делать это строго под правами root):

# . cert-sh-functions# ssl_generate 'web-server'

Сертификат по умолчанию будет лежать в /var/lib/ssl/certs/web-server.cert, а ключ ­— в /var/lib/ssl/private/web-server.key

Для импорта потребуется файл сертификата и закрытый ключ в контейнере PKCS#12.

Создадим для нашего ключа и сертификата необходимый контейнер:

openssl pkcs12 -export -in /var/lib/ssl/certs/web-server.cert -inkey /var/lib/ssl/private/web-server.pem -out web-server.p12

Примечание: При создании контейнера будет дважды запрошен пароль для экспорта. По соображениям безопасности вводимые символы не показываются. После ввода каждого пароля нажимайте Enter.

Проверка созданного контейнера (при запросе введите пароль, введённый в предыдущей команде):

Enter Import Password:
MAC verified OK
-----BEGIN CERTIFICATE-----
-----BEGIN PRIVATE KEY-----

И сертификат и ключ попали в контейнер.

После генерации сертификата проверим наличие считывателя:

Nick name: FLASH
Nick name: HDIMAGE

Для импорта сертификата в КриптоПро используйте программу certmgr. В нашем случае:

$ certmgr -inst -file web-server.p12 -cont HDIMAGE

Если Вам необходимо импортировать сертификат с токена:

certmgr -inst -cont '\\.\Aktiv Co. Rutoken S 00 00\le-fb25d25d-23e9-4723-ae4c-fe0c95f2fcc1'

Если контейнер защищен паролем используйте ключ -pin <пароль>

Инструменты КриптоПро — кроссплатформенный графический интерфейс (cptools)[править]

В версии КриптоПРО 5 появилась графическая утилита для работы с сертификатами — cptools.
Для использования cptools необходимо установить пакет cprocsp-cptools-gtk из скачанного архива:

# apt-get install cprocsp-cptools-gtk*

После этого её можно запустить из консоли:

Графическая утилита для работы с сертификатами

С её помощью можно установить сертификат из токена в хранилище uMy:

Работа с сертификатами в token-manager[править]

token-manager предоставляет графический интерфейс управления ключевыми носителями и сертификатами. С помощью этой программы можно:

  • просматривать подключенные ключевые носители (токены);
  • изменять PIN-код ключевого носителя;
  • устанавливать, просматривать и удалять сертификаты;
  • просматривать и устанавливать лицензию КриптоПро.

Установка и запуск[править]

Установка пакета token-manager:

# apt-get install token-manager

Запустить token-manager можно:

  • из командной строки:
    $ python /usr/bin/token-manager.py
  • в рабочей среде Mate: ▷ ▷ Ключевые носители и сертификаты;
  • в рабочей среде KDE5: Меню запуска приложений ▷ ▷ Ключевые носители и сертификаты.

token-manager

Проверка лицензии[править]

Проверить срок истечения лицензии КриптоПРО можно выбрав в меню token-manager пункт Операции ▷ Просмотр лицензии КриптоПро CSP:

Просмотр лицензии КриптоПро CSP

Для установки другой лицензии КриптоПРО выберите в меню token-manager пункт Операции ▷ Ввод лицензии КриптоПро CSP:

Ввод лицензии КриптоПро CSP

Просмотр сертификатов[править]

Просмотреть список сертификатов в хранилище или на ключевом носителе, можно выбрав соответствующий носитель:

Просмотр сертификатов в хранилище

Для просмотра сертификата, необходимо выбрать сертификат и нажать кнопку «Просмотр»:

Просмотр сертификата

Для просмотра корневых сертификатов, необходимо выбрать в меню token-manager пункт Операции ▷ Просмотр корневых сертификатов.

Установка сертификата[править]

Чтобы установить сертификат с токена в локальное хранилище, необходимо выбрать контейнер на токене и нажать кнопку «Установить»:

Установка сертификата

Сертификат будет установлен в локальное хранилище сертификатов и будет связан с закрытым ключом на токене.

Чтобы установить сертификат в локальное хранилище из файла, необходимо выбрать «Личное хранилище сертификатов», нажать кнопку «Установить», выбрать файл сертификата и нажать кнопку «Открыть». Появится сообщение об успешном импорте сертификата:

Установка сертификата

Сертификат будет установлен в локальное хранилище сертификатов, но не будет связан ни с каким закрытым ключом. Этот сертификат можно использовать для проверки подписи.

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector