Manjaro и март 2022 года

0
1

Как я вчера писал, в Manjaro Testing после длительной задержки приехала новая ветка Плазмы. Лучше бы не приезжала. Таких аццких глюков и тормозов я не видел со времён KDE 4.1 😡

Так как делать мне больше нехрен, кроме как менять DE — пришлось вчера принимать оперативные меры по избеганию глюков и тормозов. Отключил ВСЕ анимации, полупрозрачности и визуальные эффекты, подобрал оформление a la 2007 год. Стало терпимо, но и только. Задолбали эти придурошные переписывать по 10 раз то, что и так работало.

>>> Просмотр
(2560×1440,
844 Kb)

~/Downloads sudo -E ./sbis3plugin-setup                                                                                                      
Current download url: https://update.sbis.ru/Sbis3Plugin/master/linux
Unknown OS. Install failed.

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.

Из нашей статьи вы узнаете:

Для работы с электронной подписью понадобится средство криптографической защиты (СКЗИ) — криптопровайдер. Его скачивают и устанавливают на компьютер, с которого будет осуществляться обработка цифровых документов.

КриптоПро CSP — это популярное СКЗИ от российских разработчиков. Криптографическая утилита работает со всеми видами электронной подписи и на популярных операционных системах. Именно с этим криптопровайдером реализовано взаимодействие ФНС при выдаче квалифицированных сертификатов электронного ключа. Программа имеет сертификацию от ФСБ, соответствует последним обновлениям стандартов генерации и проверки ЭЦП.

В статье расскажем, как установить КриптоПро для операционной системы Linux на ПК, как ей пользоваться и где скачать СКЗИ.

Перейти к содержимому

Kochegar

Сообщения: 201

Зарегистрирован: 27 июл 2018, 12:46

Благодарил (а): 91 раз

Поблагодарили: 38 раз

Контактная информация:

Крипто Про в LM19

05 дек 2018, 20:07

Други, пользуется ли кто ЭЦП в LM19? Сайт Крипто Про дает программу и для люнекс, вроде как deb-пакеты, но установщик GDebi открещивается от них. Заранее морщусь от перспективы винды7 в виртуалке, она там особо гадко выглядит .

Последний раз редактировалось пользователем 1 Kochegar; всего редактировалось раз: 5

zuzabrik

Сообщения: 1744

Зарегистрирован: 29 авг 2016, 12:08

Решено: 20

Благодарил (а): 108 раз

Поблагодарили: 521 раз

Контактная информация:

Крипто Про в LM19

#2

05 дек 2018, 20:11

Kochegar писал(а): ↑

05 дек 2018, 20:07

но установщик GDebi открещивается от них

dpkg -i имя_пакета.deb

что значит “открещивается” в контексте программы я не знаю, но выхлоп терминала поможет местным гуру поставить диагноз.

А мог бы стать нормальным человеком…

Kochegar

Сообщения: 201

Зарегистрирован: 27 июл 2018, 12:46

Благодарил (а): 91 раз

Поблагодарили: 38 раз

Контактная информация:

Крипто Про в LM19

#3

05 дек 2018, 20:23

zuzabrik,

Вложения

zuzabrik

Сообщения: 1744

Зарегистрирован: 29 авг 2016, 12:08

Решено: 20

Благодарил (а): 108 раз

Поблагодарили: 521 раз

Контактная информация:

Крипто Про в LM19

#4

05 дек 2018, 20:27

zuzabrik писал(а): ↑

05 дек 2018, 20:11

dpkg -i имя_пакета.deb

А мог бы стать нормальным человеком…

aulon

Сообщения: 141

Зарегистрирован: 30 авг 2016, 18:17

Откуда: Солнечная Кубань

Благодарил (а): 37 раз

Поблагодарили: 29 раз

Контактная информация:

Крипто Про в LM19

#5

05 дек 2018, 20:29

Я в Росе ставил, вроде работает, но были грабли с кодировками в названиях контейнеров.

Выпуск Linux Mint 20 Ulyana 64-разрядный MATE 1.24.0
Процессор Intel® Core™ i3-6006U CPU @ 2.00GHz × 4 Память 7,6 GiB

Kochegar

Сообщения: 201

Зарегистрирован: 27 июл 2018, 12:46

Благодарил (а): 91 раз

Поблагодарили: 38 раз

Контактная информация:

Крипто Про в LM19

#6

05 дек 2018, 20:46

zuzabrik, терминал говорит – команда не найдена. Наверное, мне нужно подождать, когда кто-нибудь, пользующийся ЭЦП, поделится опытом. aulon, а мне не светит поставить второй системой Росу. Командой halt выключил ноут, что-то с boot меню случилось, ни с диска ни с флешки загрузки ОС не идут. Ладно, вляпаю Росу на другой ноут.

zuzabrik

Сообщения: 1744

Зарегистрирован: 29 авг 2016, 12:08

Решено: 20

Благодарил (а): 108 раз

Поблагодарили: 521 раз

Контактная информация:

Крипто Про в LM19

#7

05 дек 2018, 20:49

Kochegar писал(а): ↑

05 дек 2018, 20:46

терминал говорит – команда не найдена

Значит у тебя этот пакет просто не стоит. Доустанови dpkg из репозитория. Это консольная утилита типа gdebi, только она способна внятно в консоль написать почему не ставит пакет и какие зависимости надо удовлетворить перед тем как ставить этот самый пакет.

sudo apt install dpkg

А мог бы стать нормальным человеком…

Kochegar

Сообщения: 201

Зарегистрирован: 27 июл 2018, 12:46

Благодарил (а): 91 раз

Поблагодарили: 38 раз

Контактная информация:

Крипто Про в LM19

#8

05 дек 2018, 21:23

пакет dpkg установил, но видно где-то ошибкау меня.

Bill Williamson

Сообщения: 928

Зарегистрирован: 31 авг 2016, 13:38

Решено: 34

Благодарил (а): 288 раз

Поблагодарили: 249 раз

Контактная информация:

Крипто Про в LM19

#9

05 дек 2018, 21:30

Kochegar писал(а): ↑

05 дек 2018, 21:23

пакет dpkg установил, но видно где-то ошибкау меня.

Нужен пробел между dpkg и -i

Bill Williamson

Сообщения: 928

Зарегистрирован: 31 авг 2016, 13:38

Решено: 34

Благодарил (а): 288 раз

Поблагодарили: 249 раз

Контактная информация:

Крипто Про в LM19

#10

05 дек 2018, 21:41

Ну и лучше начать со чтения

документации

.

Kochegar писал(а): ↑

05 дек 2018, 20:46

Наверное, мне нужно подождать, когда кто-нибудь, пользующийся ЭЦП, поделится опытом.

Зачем ждать? У них есть свой

форум

.

Kochegar

Сообщения: 201

Зарегистрирован: 27 июл 2018, 12:46

Благодарил (а): 91 раз

Поблагодарили: 38 раз

Контактная информация:

Крипто Про в LM19

#11

05 дек 2018, 22:17

Bill Williamson, спасибо за подсказку форума!

2zer0

Сообщения: 175

Зарегистрирован: 23 май 2019, 23:25

Благодарил (а): 24 раза

Поблагодарили: 7 раз

Контактная информация:

Крипто Про в LM19

#13

21 сен 2019, 10:23

Кажется в 5й версии криптопро всё наконец для людей с gui и тп. Весь геморой и пляски с бубном наконец позади

2zer0

Сообщения: 175

Зарегистрирован: 23 май 2019, 23:25

Благодарил (а): 24 раза

Поблагодарили: 7 раз

Контактная информация:

Крипто Про в LM19

#14

25 сен 2019, 02:42

АУ НАРОД!!!
Кто нибудь работает с крипо про на минте?
На порталы закупок и проч гос тайну ныряете с токенами??

kutalgin

Сообщения: 155

Зарегистрирован: 08 июл 2018, 08:42

Откуда: Ишимбай

Благодарил (а): 12 раз

Поблагодарили: 14 раз

Контактная информация:

Крипто Про в LM19

#15

25 сен 2019, 06:51

Тоже интересует эта тема, хотелось бы утилитку для подписывания файлов ЭЦП с gui. И для порталов тоже.

Ишимбайский

2zer0

Сообщения: 175

Зарегистрирован: 23 май 2019, 23:25

Благодарил (а): 24 раза

Поблагодарили: 7 раз

Контактная информация:

Крипто Про в LM19

#16

25 сен 2019, 06:55

kutalgin писал(а): ↑

25 сен 2019, 06:51

Тоже интересует эта тема, хотелось бы утилитку для подписывания файлов ЭЦП с gui. И для порталов тоже.

я дже боюсь спросить = а есть ли тут ребята у которых под присмотром 1с на минте круттится??…
Иначе, тогда я не понимаю – что у них с линуксом/минтом офисные ПК делают??…. А такие, как я понял, вроде есть… Или нет?

WWolf

Сообщения: 3230

Зарегистрирован: 14 фев 2018, 00:51

Решено: 20

Откуда: Краснодар

Благодарил (а): 1344 раза

Поблагодарили: 1019 раз

Контактная информация:

Крипто Про в LM19

#17

25 сен 2019, 08:15

2zer0, не под моим присмотром, но у нас контора маленькая и 1с крутится на винде с ключом, клиенты и из винды и из линукса норм коннектятся. А госзакупки с их заточкой под эксплорер сидят чисто на винде

zuzabrik

Сообщения: 1744

Зарегистрирован: 29 авг 2016, 12:08

Решено: 20

Благодарил (а): 108 раз

Поблагодарили: 521 раз

Контактная информация:

Крипто Про в LM19

#18

25 сен 2019, 14:01

2zer0 писал(а): ↑

25 сен 2019, 06:55

1с на минте круттится??…
Иначе, тогда я не понимаю – что у них с линуксом/минтом офисные ПК делают??

С каких пор наличие 1С стало обязательным для офисного ПК?

А мог бы стать нормальным человеком…

2zer0

Сообщения: 175

Зарегистрирован: 23 май 2019, 23:25

Благодарил (а): 24 раза

Поблагодарили: 7 раз

Контактная информация:

Крипто Про в LM19

#19

25 сен 2019, 16:00

zuzabrik писал(а): ↑

25 сен 2019, 14:01

С каких пор наличие 1С стало обязательным для офисного ПК?

ну, поделитесь – а что у вас делает офисный минт? Очень всем интересно…

zuzabrik

Сообщения: 1744

Зарегистрирован: 29 авг 2016, 12:08

Решено: 20

Благодарил (а): 108 раз

Поблагодарили: 521 раз

Контактная информация:

Крипто Про в LM19

#20

25 сен 2019, 16:03

У нас офисная винда, но как бы 1с стоит исключительно у тех кто ею занимается, бухгалтера, экономисты. Остальным она не упала.

А мог бы стать нормальным человеком…

Форум КриптоПро
 » 
Средства криптографической защиты информации
 » 
Linux, Solaris etc.
 » 
Arch Linux. КриптоПро 5.0 + Рутокен ЭЦП 2.0 + IFCPlugin ГосУслуги + КЭП ФНС

/opt/cprocsp/bin/amd64/csptestf -absorb -certs -autoprov

log = {
   level = "DEBUG";
}

config = {
    cert_from_registry = "false";
    set_user_pin = "false";
}

params =
(

    {   name = "CPPKCS11_2012_256";
        alias = "CPPKCS11_2012_256";
        type = "pkcs11";
        alg = "gost2012_256";
        model = "CPPKCS 3";
        lib_linux = "libcppkcs11.so";
    }
);

08451508 [139815546779200] hotplug_libudev.c:667:HPEstablishUSBNotifications() USB Device add
00000630 [139815546779200] hotplug_libudev.c:300:get_driver() Looking for a driver for VID: 0x0A89, PID: 0x0025, path: /dev/bus/usb/001/008
00000049 [139815546779200] hotplug_libudev.c:441:HPAddDevice() Adding USB device: Aktiv Rutoken lite - CP
00000167 [139815546779200] readerfactory.c:1097:RFInitializeReader() Attempting startup of Aktiv Rutoken lite - CP 00 00 using /usr/lib/pcsc/drivers/ifd-acsccid.bundle/Contents/Linux/libacsccid.so
00000847 [139815546779200] readerfactory.c:972:RFBindFunctions() Loading IFD Handler 3.0
00000086 [139815546779200] ifdhandler.c:2960:init_driver() Driver version: 1.1.8
00000829 [139815546779200] ifdhandler.c:2977:init_driver() LogLevel: 0x0003
00000029 [139815546779200] ifdhandler.c:2988:init_driver() DriverOptions: 0x0000
00000025 [139815546779200] ifdhandler.c:2996:init_driver() ACSDriverOptions: 0x0003
00000021 [139815546779200] ifdhandler.c:3004:init_driver() ACR38CardVoltage: 0
00000019 [139815546779200] ifdhandler.c:3012:init_driver() ACR38CardType: 0
00000140 [139815546779200] ifdhandler.c:162:CreateChannelByNameOrChannel() Lun: 0, device: usb:0a89/0025:libudev:0:/dev/bus/usb/001/008
00000029 [139815546779200] ccid_usb.c:329:OpenUSBByName() Using: /usr/lib/pcsc/drivers/ifd-acsccid.bundle/Contents/Info.plist
00000736 [139815546779200] ccid_usb.c:347:OpenUSBByName() ifdManufacturerString: Advanced Card Systems Ltd.
00000022 [139815546779200] ccid_usb.c:348:OpenUSBByName() ifdProductString: ACS CCID driver
00000027 [139815546779200] ccid_usb.c:349:OpenUSBByName() Copyright: This driver is protected by terms of the GNU Lesser General Public License version 2.1, or (at your option) any later version.
00009758 [139815546779200] ccid_usb.c:753:OpenUSBByName() Found Vendor/Product: 0A89/0025 (Aktiv Rutoken lite - CP)
00000020 [139815546779200] ccid_usb.c:755:OpenUSBByName() Using USB bus/device: 1/8
00000010 [139815546779200] ccid_usb.c:934:OpenUSBByName() bNumDataRatesSupported is 0
00000736 [139815546779200] ifdhandler.c:333:CreateChannelByNameOrChannel() dwFeatures: 0x00020840
00000016 [139815546779200] ifdhandler.c:334:CreateChannelByNameOrChannel() wLcdLayout: 0x0000
00000009 [139815546779200] ifdhandler.c:335:CreateChannelByNameOrChannel() bPINSupport: 0x00
00000008 [139815546779200] ifdhandler.c:336:CreateChannelByNameOrChannel() dwMaxCCIDMessageLength: 271
00000007 [139815546779200] ifdhandler.c:337:CreateChannelByNameOrChannel() dwMaxIFSD: 254
00000004 [139815546779200] ifdhandler.c:338:CreateChannelByNameOrChannel() dwDefaultClock: 3580
00000005 [139815546779200] ifdhandler.c:339:CreateChannelByNameOrChannel() dwMaxDataRate: 9600
00000006 [139815546779200] ifdhandler.c:340:CreateChannelByNameOrChannel() bMaxSlotIndex: 0
00000007 [139815546779200] ifdhandler.c:341:CreateChannelByNameOrChannel() bCurrentSlotIndex: 0
00000006 [139815546779200] ifdhandler.c:342:CreateChannelByNameOrChannel() bInterfaceProtocol: 0x00
00000006 [139815546779200] ifdhandler.c:343:CreateChannelByNameOrChannel() bNumEndpoints: 2
00000008 [139815546779200] ifdhandler.c:344:CreateChannelByNameOrChannel() bVoltageSupport: 0x01
00000009 [139815546779200] ifdhandler.c:517:IFDHGetCapabilities() tag: 0xFB3, usb:0a89/0025:libudev:0:/dev/bus/usb/001/008 (lun: 0)
00000007 [139815546779200] readerfactory.c:395:RFAddReader() Using the pcscd polling thread
00000321 [139815546779200] ifdhandler.c:517:IFDHGetCapabilities() tag: 0xFAE, usb:0a89/0025:libudev:0:/dev/bus/usb/001/008 (lun: 0)
00000014 [139815546779200] ifdhandler.c:621:IFDHGetCapabilities() Reader supports 1 slot(s)
00000620 [139815625848384] ifdhandler.c:1407:IFDHPowerICC() action: PowerUp, usb:0a89/0025:libudev:0:/dev/bus/usb/001/008 (lun: 0)
00000386 [139815625848384] eventhandler.c:289:EHStatusHandlerThread() powerState: POWER_STATE_POWERED
00000012 [139815625848384] Card ATR: 3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2 
00401093 [139815625848384] ifdhandler.c:1407:IFDHPowerICC() action: PowerDown, usb:0a89/0025:libudev:0:/dev/bus/usb/001/008 (lun: 0)
00000531 [139815625848384] eventhandler.c:482:EHStatusHandlerThread() powerState: POWER_STATE_UNPOWERED

lsusb
...
Bus 001 Device 008: ID 0a89:0025 Aktiv Rutoken lite
...

# /opt/cprocsp/bin/amd64/csptest -card -enum -v -v  
Aktiv Rutoken lite - CP 00 00
  Card present, ATR=3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2 
  Unknown applet
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x00000000]

# /opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMREADERS -flags 32
../../../../CSPbuild/CSP/samples/support/cplevel.c:418:Cannot find default provider.

Error 0x80090017: Тип поставщика не определен. 
../../../../CSPbuild/CSP/samples/support/getcspparam.c:28:Can not get CSP param: AcquireContext failed.
Error 0x80090017: Тип поставщика не определен. 
../../../../CSPbuild/CSP/samples/csptest/enum.c:420:Error during CryptAcquireContext.

Error 0x80090017: Тип поставщика не определен. 
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x80090017]

curl https://cryptopro.ru/sites/default/files/products/csp/cprodiag 2>/dev/null|sudo perl

[Defaults\Provider]
# Провайдеры. Описание провайдера должно содержать поля:
# "Image Path" = путь до разделяемой библиотеки провайдера
# "Type"= тип провайдера (71, 75)

[Defaults\"Provider Types"]
# Типы провайдеров. Описание типа провайдера должно содержать поля:
# "Name"= имя провайдера по умолчанию для данного типа

Проверка подписи ЭЦП

Для верифицирования сертификатов нужен сертификат удостоверяющего центра и актуальный список отзыва сертификатов,
либо настроенный для этого revocation provider.

Корневой сертификат УЦ, список отзыва сертификата является одним из реквизитов самого сертификата.

Контрагенты когда открывают подписи в КриптоАРМ используют revocation provider, он делает проверки отзыва сертификата онлайн.
Как реализована проверка в Шарепоинте не знаю. Знаю только что используется библиотека Крипто.Net

cryptcp  

Проверка конкретной подписи из локального хранилища по его хешу:

cryptcp   255c249150efe3e48f1abb3bc1928fc8f99980c4  test.txt.sig

Проверить, взяв сертификат из file1.sig, подпись файла file2.sig. Практически, надо использовать один и тот же файл:

cryptcp    file1.sig file2.sig

Ответ:

Certificates found: 2
Certificate chains are checked.
Folder './':
file.xls.sig... Signature verifying...
Signer: Старший инженер, Иванов Иван Иванович, Отдел закупок, ООО «Верес», Москва, RU, [email protected]
 Signature's verified.
Signer: Генеральный директор, Сидоров Иван Петрович, Руководство, ООО «Кемоптика», Москва, RU, [email protected]
 Signature's verified.
[ReturnCode: 0]

Результат:

Плагин для Линукс

Чтобы корректно работать с электронной подписью в интернете, понадобится плагин для браузера и специальная утилита alien. Для этого требуется выполнить следующие шаги:

1. Активировать alien — sudo apt install alien;
2. Бесплатно скачать модуль Browser plug-in на сайте КриптоПро;
3. Распаковать сохранённый архив — cades_linux_amd64.zip;
4. Перейти в папку с файлами;
5. Открыть Терминал через контекстное меню и задать команду для преобразования rpm в deb-пакеты — sudo alien -kci cprocsp-pki-cades_2.0.0-2_amd64.deb;
6. После данных действий установка будет завершена, а подпись готова к работе.

Купить подходящую лицензию продукта КриптоПро для Linux рекомендуем в нашем интернет-магазине. Оставьте короткую заявку, для бесплатной консультации специалиста.

КриптоПро Linux установка в Astra

Astra Linux — это отечественная операционная система на базе ядра Linux, для бюджетных организаций: армии, полиции, школы, больницы и других учреждений. Разработана в качестве альтернативы популярным зарубежным ОС во время реализации национальной стратегии импортозамещения. ОС также подходит и для домашнего пользования.

Пробную версию CryptoPro Linux скачать можно на сайте разработчика. Перед этим необходимо пройти регистрацию на сайте КриптоПро. По истечении трёх месяцев понадобится купить лицензию.

Инсталляция в Linux осуществляется через консоль. Пользователь вводит специальные текстовые команды. Данный процесс происходит вручную или автоматически. Рассмотрим, как установить CryptoPro Linux с помощью второго способа. Понадобится выполнить следующие действия:

1. Выбрать и скачать установочный файл в «Центре загрузок» с учётом разрядности операционной системы;



2. Распаковать сохранённый архив с расширением tgz;
3. Перейти в папку с распакованным архивом и через контекстное меню выбрать команду «Открыть в терминале»;
4. Запустить автоматическую инсталляцию CryptoPro командой sudo./install_gui.sh — откроется Мастер установки;
5. С помощью клавиш Tab и Next — отметить доступные установочные компоненты и нажать «Install»;



6. По окончании процедуры появится уведомление об успешной установке дистрибутива;
7. Для активации лицензии набрать команду: sudo/opt/cprocsp/sbin/amd64/cpconfig-license-set XXXXX-XXXXX-XXXXX-XXXXX-XXXXX, где Х — это серийный номер.

Установка криптопровайдера КриптоПро для других версий операционных систем Линукс происходит аналогично.

Установка КриптоПРО CSP в Linux

Описание процесса установки приведено на примере дистрибутива семейства Debian (x64).Некоторые команды могут потребовать запуска с sudo.Названия файлов и директорий могут отличаться из-за различий в версиях.

Загрузите КриптоПро CSP версии 4.0 для Вашей платформы и распакуйте архив:

tar -xzvf linux-amd64_deb.tgz

Для установки выполните команды:

sudo chmod 777 -R linux-amd64_deb/ sudo linux-amd64_deb/install.sh

Проверьте отсутствие cprocsp-rdr-gui:

dpkg -l | grep cprocsp-rdr

Установите дополнительно cprocsp-rdr-gui-gtk:

sudo dpkg -i linux-amd64_deb/cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb

Установите лицензионный ключ командой:

sudo /opt/cprocsp/sbin/amd64/cpconfig -license -set XXXXX-XXXXX-XXXXX-XXXXX-XXXXX

Дополнительная информация по установке

КриптоПро для Linux

Семейство операционных систем Linux имеют как консольный, так и графический интерфейс. В обоих случаях для настройки КриптоПро CSP используется командная строка. У Линукс нет единой ОС, которая имеет различные версии. Вместо этого, существует множество дистрибутивов, разработанных для конкретных задач, работающих на базе одноимённого ядра.

Рассмотрим, как установить CryptoPro Linux на операционную систему Astra Linux.

Подписание документа ЭЦП

cryptcp  КПС   pincode src.txt dest.txt.sig

• nochain – отменяет проверку цепочки сертификатов

• pin – пин-код

• КПС1 – критерий поиска сертификата

Пример создания ЭЦП (по SHA1 Hash):

cryptcp   255c249150efe3e48f1abb3bc1928fc8f99980c4    test.txt test.txt.sig

Как пользоваться КриптоПро для Линукс

Работа на КриптоПро для Линукс реализована с помощью использования консоли. Данный способ взаимодействия с электронными документами привычен специалистам. Рядовому пользователю удобно работать через графический интерфейс. Чтобы все клиенты могли использовать возможности CryptoPro Linux, было разработано КриптоАРМ ГОСТ.

КриптоАРМ ГОСТ — это приложение, которое позволяет работать с электронной подписью и документами через понятный интерфейс. Устанавливается на компьютер или мобильное устройство. Управление осуществляется с помощью курсора мыши, клавиатуры или касания экрана. Программа предоставляется бесплатно на 14 дней, после чего следует купить лицензию.

Корневые сертификаты

Просмотр корневых сертификатов

certmgr   uroot

В более старых версиях вместо uroot следует использовать root:

certmgr   root

Добавление корневых сертификатов (под root) из файла cacer.p7b

 certmgr    uroot  cacer.p7b

Необходимо последовательно добавить все сертификаты

Сертификаты

Список установленных сертификатов

certmgr -list, например:

1-------
Issuer            : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject           : CN=test2
Serial            : 0x120007E4E683979B734018897B00000007E4E6
SHA1 Hash         : 0x71b59d165ab5ea39e4cd73384f8e7d1e0c965e81
Not valid before  : 07/09/2015  10:41:18 UTC
Not valid after   : 07/12/2015  10:51:18 UTC
PrivateKey Link   : Yes. Container  : HDIMAGE\\test2.000\F9C9
2-------
Issuer            : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject           : CN=webservertest
Serial            : 0x120007E47F1FD9AE0EDE78616600000007E47F
SHA1 Hash         : 0x255c249150efe3e48f1abb3bc1928fc8f99980c4
Not valid before  : 07/09/2015  09:56:10 UTC
Not valid after   : 07/12/2015  10:06:10 UTC
PrivateKey Link   : Yes. Container  : HDIMAGE\\webserve.001\2608

Добавление реального сертификата

Добавить только сертификат (только проверка ЭЦП):

certmgr   cert.cer

Добавление реального сертификата с привязкой к закрытому ключу и возможностью подписывать документы

Закрытый ключ состоит из шести key-файлов:

header.key
masks2.key
masks.key
name.key
primary2.key
primary.key

Способ с дискетой или флешкой

Скопировать в корень дискеты или флэшки сертификат и приватный ключ (из каталога 999996.000, 999996 – название (alias) контейнера):

  pathtokey mediaflashdrive
 pathtocertclient.cer mediaflashdrive

Выполнить команду по копированию ключа с флэшки на диск, ключ попадет в пользовательское хранилище My.

Необходимо выполнять под пользователем, который будет использовать данный контейнер для подписи.

[email protected] – то, что прописано в поле E сертификата (можно посмотреть командой keytool --printcert -file /path/to/cert/client.cer):

csptest     

С жесткого диска

«Ручной способ».

Скопировать приватный ключ в хранилище (контейнер), где <username> – имя пользователя linux:

  pathtokey varoptcprocspkeysusername

Поставить «минимальные» права:

  varoptcprocspkeysusername

Узнать реальное название контейнера:

csptest  -enum_cont  

Ассоциировать сертификат с контейнером, сертификат попадет в пользовательское хранилище My:

certmgr   pathtofileclient.cer  

Если следующая ошибка, нужно узнать реальное название контейнера (см. выше):

Failed to open container \\.\HDIMAGE\<container>
[ErrorCode: 0x00000002]

Установить сертификат УЦ из-под пользователя root командой:

certmgr   uroot  pathtofileCA.cer

Проверка успешности установки закрытого ключа

certmgr 

Если выводится PrivateKey Link: Yes. Container: HDIMAGE\\999996.000\D7BB, то есть и сертификат, и приватный ключ, а если выводится PrivateKey Link: No – связи нет, и использовать такой контейнер для подписи не удастся.

Источник

Добавление тестового сертификата

Добавление работает только на той же машине, и в тот же контейнер, где был сформированы следующий запрос на добавление:

cryptcp      test.csr

Ввести пароль на контейнер test123.

cryptcp      myname.csr

Пароль mysecurepass

Откройте в браузере ссылку тестовый удостоверяющий центр КриптоПро

cryptcp    certnew.cer

Ввести пароль на контейнер. По-умолчанию: 12345678

Удаление сертификата

Проверка сертификата

certmgr   file.sig

Ответ:

1-------
Issuer            : [email protected], C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
Subject           : [email protected], C=RU, L=г. Москва, O="ООО ""Верес""", OU=Руководство, CN=Иванов Иван Иванович, T=Генеральный директор
Serial            : 0x75F5C86A000D00016A5F
SHA1 Hash         : 0x255c249150efe3e48f1abb3bc1928fc8f99980c4
Not valid before  : 08/12/2014  09:04:00 UTC
Not valid after   : 08/12/2019  09:14:00 UTC
PrivateKey Link   : No

Подписание пустого файла (размер 0) проходит успешно, но при просмотре сертификатов этого файла выдается ошибка:

Can't open certificate store: '/tmp/tmp.G8cd13vzfZ.sig'.
Error: No certificate found.
/dailybuilds/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:312: 0x2000012D
[ErrorCode: 0x2000012d]

Будьте внимательны!

Просмотр всех атрибутов сертификата

В cryptcp нет необходимых инструментов для получения всех атрибутов сертификата. Поэтому следует использовать openssl, но настроив его.

Получаем SHA 1 хеши:

certmgr -list -f file.sig | grep 'SHA1 Hash'

В цикле извлекаем сертификаты:

cryptcp -nochain -copycert -thumbprint 255c249150efe3e48f1abb3bc1928fc8f99980c4 -f file.sig -df certificate.der -der

openssl x509 -in certificate.der -inform der -text -noout

Настройка openssl для поддержки ГОСТ:

В файл /etc/ssl/openssl.cnf

 openssl_def # Это в начало файла
#Все что ниже в конец

 
 

 
 

 
 /usr/lib/ssl/engines/libgost.so # заменить реальным файлом
 
 

Проверка:

openssl ciphers        gost
GOST2001-GOST89-GOST89
GOST94-GOST89-GOST89

Экспорт сертификатов на другую машину

Закрытые ключи к сертификатам находятся тут: /var/opt/cprocsp/keys. Поэтому эти ключи переносятся просто: создаем архив и переносим на нужную машину в тот же каталог.

Экспорт самих сертификатов (если их 14):

 i    ;     certmgr   .cer; 

Переносим эти файлы на машину и смотрим, какие контейнеры есть:

csptest -keyset -enum_cont -verifycontext -fqcn

И как обычно, связываем сертификат и закрытый ключ:

certmgr -inst -file 1.cer -cont '\\.\HDIMAGE\container.name'

Если закрытый ключ и сертификат не подходят друг к другу, будет выведена ошибка:

Can not install certificate
Public keys in certificate and container are not identical

Если все успешно:

Если нет закрытого ключа, то просто ставим сертификат:

certmgr -inst -file 1.cer

Управление сертификатами

Список команд для управления сертификатами электронной подписи:

1. Просмотр сертификатов на подключённых токенах — /opt/cprocsp/bin/amd64/csptest -keyset-enum_cont -fqcn -verifyc;
2. Импорт персональных сертификатов электронной подписи со всех ключевых USB-носителей — /opt/cprocsp/bin/amd64/csptestf -absorb-cert;
3. Просмотр добавленных сертификатов в хранилище — /opt/cprocsp/bin/amd64/certmgr -list -store uMy;
4. Удаление сертификата из реестра — /opt/cprocsp/bin/amd64/certmgr -delete -store umy.