0
1
Как я вчера писал, в Manjaro Testing после длительной задержки приехала новая ветка Плазмы. Лучше бы не приезжала. Таких аццких глюков и тормозов я не видел со времён KDE 4.1 😡
Так как делать мне больше нехрен, кроме как менять DE — пришлось вчера принимать оперативные меры по избеганию глюков и тормозов. Отключил ВСЕ анимации, полупрозрачности и визуальные эффекты, подобрал оформление a la 2007 год. Стало терпимо, но и только. Задолбали эти придурошные переписывать по 10 раз то, что и так работало.
>>> Просмотр
(2560×1440,
844 Kb)
- Установить СБИС Плагин
- Крипто Про в LM19
- Крипто Про в LM19
- Крипто Про в LM19
- Крипто Про в LM19
- Крипто Про в LM19
- Крипто Про в LM19
- Крипто Про в LM19
- Крипто Про в LM19
- Крипто Про в LM19
- Крипто Про в LM19
- Крипто Про в LM19
- Крипто Про в LM19
- Крипто Про в LM19
- Крипто Про в LM19
- Крипто Про в LM19
- Крипто Про в LM19
- Крипто Про в LM19
- Крипто Про в LM19
- Крипто Про в LM19
- Проверка подписи ЭЦП
- Плагин для Линукс
- КриптоПро Linux установка в Astra
- Установка КриптоПРО CSP в Linux
- КриптоПро для Linux
- Подписание документа ЭЦП
- Как пользоваться КриптоПро для Линукс
- Корневые сертификаты
- Сертификаты
- Список установленных сертификатов
- Добавление реального сертификата
- Добавление реального сертификата с привязкой к закрытому ключу и возможностью подписывать документы
- Способ с дискетой или флешкой
- С жесткого диска
- Проверка успешности установки закрытого ключа
- Добавление тестового сертификата
- Удаление сертификата
- Проверка сертификата
- Просмотр всех атрибутов сертификата
- Экспорт сертификатов на другую машину
- Управление сертификатами
Установить СБИС Плагин
Необходимо установить СБИС Плагин. Делаю, как указано на сайте: sbis.ru/help/plugin/sbis3plugin/install?tb=tab2. Получаю ответ:
~/Downloads sudo -E ./sbis3plugin-setup
Current download url: https://update.sbis.ru/Sbis3Plugin/master/linux
Unknown OS. Install failed.
Понимаю, что моя ОС не указана в списке операционных систем на сайте, но может быть есть какой-то способ установить плагин?
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.
Из нашей статьи вы узнаете:
Для работы с электронной подписью понадобится средство криптографической защиты (СКЗИ) — криптопровайдер. Его скачивают и устанавливают на компьютер, с которого будет осуществляться обработка цифровых документов.
КриптоПро CSP — это популярное СКЗИ от российских разработчиков. Криптографическая утилита работает со всеми видами электронной подписи и на популярных операционных системах. Именно с этим криптопровайдером реализовано взаимодействие ФНС при выдаче квалифицированных сертификатов электронного ключа. Программа имеет сертификацию от ФСБ, соответствует последним обновлениям стандартов генерации и проверки ЭЦП.
В статье расскажем, как установить КриптоПро для операционной системы Linux на ПК, как ей пользоваться и где скачать СКЗИ.
# | |
Темы: Сообщения: Участник с: 27 июня 2016 | Здравствуйте уважаемые гуру archlinux. Подскажите пожалуйста что мне необходимо установить (ПО, библиотеки и т.д) для работы с Крипто ПРО и USB-ключем на котором стоит сертификат. Буду Вам очень благодарен. |
ghost | # |
Темы: Сообщения: Участник с: 07 мая 2013 | Вот, инструкция есть. Но насколько она применима к archlinux? это вопрос… |
kim4in | # |
Темы: Сообщения: Участник с: 27 июня 2016 | На официальном сайте я видел всю информацию, но она в основном под Debian, Ubuntu, Mandriva и Altlinux. Хотелось бы узнать есть ли какие нибудь готовые решения под Archlinux. |
ghost | # |
Темы: Сообщения: Участник с: 07 мая 2013 | судя по всему нет… (Если бы было – был бы пакет в AURе) По этому необходимо пройти все шаги руководства по установке походу адаптируя под arch. |
kim4in | # |
Темы: Сообщения: Участник с: 27 июня 2016 | Понятно. Будем адаптировать по Archlinux. |
NoVASpirit | # |
Темы: Сообщения: Участник с: 21 января 2011 | Обязательно напишите получилось ли адаптировать 🙂 |
emlen | # |
Темы: Сообщения: Участник с: 26 ноября 2014 | не получилось? |
frankyboy | # |
Темы: Сообщения: Участник с: 05 декабря 2012 | http://www.opennet.ru/opennews/art.shtml?num=45410 ? подскажите, где скачать дистрибутив крипто про для линукс? |
ghost | # |
Темы: Сообщения: Участник с: 07 мая 2013 | ROSA, КриптоПРО есть в репозитории. |
Перейти к содержимому
Рассмотрим упаковку подраздела (subvolume) BTRFS в сжатый файл-образ.
Все время забываю, как это делается, каждый раз приходится догадываться по Makefile, поэтому запишу процедуру обновления переводов после правки кода drakxtools.
При выполнении команды csptest -keyset -provtype 75 -newkeyset -cont ‘\\.\HDIMAGE\container_name’ в CryptoPro внутри контейнера systemd-nspawn возникала ошибка:
ctkey.c:1894:GenKey() Error number 0x80090020
Пришлось запустить под strace, чтобы придумать решение:
mv -v /opt/cprocsp/lib/amd64/librdrrndmbio_gui_fgtk.so /opt/cprocsp/lib/amd64/librdrrndmbio_gui_fgtk.so.bak
По всей видимости, оно пыталось открыть окошко для генерации энтропии мышкой, но не могло это сделать в chroot без доступа к X-серверу.
ID платформ:
rosa2014.1 — 878
rosa2016.1 — 1550
rosa2019.0 — 5777
rosa2019.05 — 12563
rosa2019.1 — 4084
Kochegar
- Сообщения: 201
- Зарегистрирован: 27 июл 2018, 12:46
- Благодарил (а): 91 раз
- Поблагодарили: 38 раз
- Контактная информация:
Крипто Про в LM19
05 дек 2018, 20:07
Други, пользуется ли кто ЭЦП в LM19? Сайт Крипто Про дает программу и для люнекс, вроде как deb-пакеты, но установщик GDebi открещивается от них. Заранее морщусь от перспективы винды7 в виртуалке, она там особо гадко выглядит .
Последний раз редактировалось пользователем 1 Kochegar; всего редактировалось раз: 5
zuzabrik
- Сообщения: 1744
- Зарегистрирован: 29 авг 2016, 12:08
- Решено: 20
- Благодарил (а): 108 раз
- Поблагодарили: 521 раз
- Контактная информация:
Крипто Про в LM19
#2
05 дек 2018, 20:11
Kochegar писал(а): ↑
05 дек 2018, 20:07
но установщик GDebi открещивается от них
dpkg -i имя_пакета.deb
что значит “открещивается” в контексте программы я не знаю, но выхлоп терминала поможет местным гуру поставить диагноз.
А мог бы стать нормальным человеком…
Kochegar
- Сообщения: 201
- Зарегистрирован: 27 июл 2018, 12:46
- Благодарил (а): 91 раз
- Поблагодарили: 38 раз
- Контактная информация:
Крипто Про в LM19
#3
05 дек 2018, 20:23
zuzabrik,
- Вложения
zuzabrik
- Сообщения: 1744
- Зарегистрирован: 29 авг 2016, 12:08
- Решено: 20
- Благодарил (а): 108 раз
- Поблагодарили: 521 раз
- Контактная информация:
Крипто Про в LM19
#4
05 дек 2018, 20:27
zuzabrik писал(а): ↑
05 дек 2018, 20:11
dpkg -i имя_пакета.deb
А мог бы стать нормальным человеком…
aulon
- Сообщения: 141
- Зарегистрирован: 30 авг 2016, 18:17
- Откуда: Солнечная Кубань
- Благодарил (а): 37 раз
- Поблагодарили: 29 раз
- Контактная информация:
Крипто Про в LM19
#5
05 дек 2018, 20:29
Я в Росе ставил, вроде работает, но были грабли с кодировками в названиях контейнеров.
Выпуск Linux Mint 20 Ulyana 64-разрядный MATE 1.24.0
Процессор Intel® Core™ i3-6006U CPU @ 2.00GHz × 4 Память 7,6 GiB
Kochegar
- Сообщения: 201
- Зарегистрирован: 27 июл 2018, 12:46
- Благодарил (а): 91 раз
- Поблагодарили: 38 раз
- Контактная информация:
Крипто Про в LM19
#6
05 дек 2018, 20:46
zuzabrik, терминал говорит – команда не найдена. Наверное, мне нужно подождать, когда кто-нибудь, пользующийся ЭЦП, поделится опытом. aulon, а мне не светит поставить второй системой Росу. Командой halt выключил ноут, что-то с boot меню случилось, ни с диска ни с флешки загрузки ОС не идут. Ладно, вляпаю Росу на другой ноут.
zuzabrik
- Сообщения: 1744
- Зарегистрирован: 29 авг 2016, 12:08
- Решено: 20
- Благодарил (а): 108 раз
- Поблагодарили: 521 раз
- Контактная информация:
Крипто Про в LM19
#7
05 дек 2018, 20:49
Kochegar писал(а): ↑
05 дек 2018, 20:46
терминал говорит – команда не найдена
Значит у тебя этот пакет просто не стоит. Доустанови dpkg из репозитория. Это консольная утилита типа gdebi, только она способна внятно в консоль написать почему не ставит пакет и какие зависимости надо удовлетворить перед тем как ставить этот самый пакет.
sudo apt install dpkg
А мог бы стать нормальным человеком…
Kochegar
- Сообщения: 201
- Зарегистрирован: 27 июл 2018, 12:46
- Благодарил (а): 91 раз
- Поблагодарили: 38 раз
- Контактная информация:
Крипто Про в LM19
#8
05 дек 2018, 21:23
пакет dpkg установил, но видно где-то ошибкау меня.
Bill Williamson
- Сообщения: 928
- Зарегистрирован: 31 авг 2016, 13:38
- Решено: 34
- Благодарил (а): 288 раз
- Поблагодарили: 249 раз
- Контактная информация:
Крипто Про в LM19
#9
05 дек 2018, 21:30
Kochegar писал(а): ↑
05 дек 2018, 21:23
пакет dpkg установил, но видно где-то ошибкау меня.
Нужен пробел между dpkg и -i
Bill Williamson
- Сообщения: 928
- Зарегистрирован: 31 авг 2016, 13:38
- Решено: 34
- Благодарил (а): 288 раз
- Поблагодарили: 249 раз
- Контактная информация:
Крипто Про в LM19
#10
05 дек 2018, 21:41
Ну и лучше начать со чтения
документации
.
Kochegar писал(а): ↑
05 дек 2018, 20:46
Наверное, мне нужно подождать, когда кто-нибудь, пользующийся ЭЦП, поделится опытом.
Зачем ждать? У них есть свой
форум
.
Kochegar
- Сообщения: 201
- Зарегистрирован: 27 июл 2018, 12:46
- Благодарил (а): 91 раз
- Поблагодарили: 38 раз
- Контактная информация:
Крипто Про в LM19
#11
05 дек 2018, 22:17
Bill Williamson, спасибо за подсказку форума!
2zer0
- Сообщения: 175
- Зарегистрирован: 23 май 2019, 23:25
- Благодарил (а): 24 раза
- Поблагодарили: 7 раз
- Контактная информация:
Крипто Про в LM19
#13
21 сен 2019, 10:23
Кажется в 5й версии криптопро всё наконец для людей с gui и тп. Весь геморой и пляски с бубном наконец позади
2zer0
- Сообщения: 175
- Зарегистрирован: 23 май 2019, 23:25
- Благодарил (а): 24 раза
- Поблагодарили: 7 раз
- Контактная информация:
Крипто Про в LM19
#14
25 сен 2019, 02:42
АУ НАРОД!!!
Кто нибудь работает с крипо про на минте?
На порталы закупок и проч гос тайну ныряете с токенами??
kutalgin
- Сообщения: 155
- Зарегистрирован: 08 июл 2018, 08:42
- Откуда: Ишимбай
- Благодарил (а): 12 раз
- Поблагодарили: 14 раз
- Контактная информация:
Крипто Про в LM19
#15
25 сен 2019, 06:51
Тоже интересует эта тема, хотелось бы утилитку для подписывания файлов ЭЦП с gui. И для порталов тоже.
Ишимбайский
2zer0
- Сообщения: 175
- Зарегистрирован: 23 май 2019, 23:25
- Благодарил (а): 24 раза
- Поблагодарили: 7 раз
- Контактная информация:
Крипто Про в LM19
#16
25 сен 2019, 06:55
kutalgin писал(а): ↑
25 сен 2019, 06:51
Тоже интересует эта тема, хотелось бы утилитку для подписывания файлов ЭЦП с gui. И для порталов тоже.
я дже боюсь спросить = а есть ли тут ребята у которых под присмотром 1с на минте круттится??…
Иначе, тогда я не понимаю – что у них с линуксом/минтом офисные ПК делают??…. А такие, как я понял, вроде есть… Или нет?
WWolf
- Сообщения: 3230
- Зарегистрирован: 14 фев 2018, 00:51
- Решено: 20
- Откуда: Краснодар
- Благодарил (а): 1344 раза
- Поблагодарили: 1019 раз
- Контактная информация:
Крипто Про в LM19
#17
25 сен 2019, 08:15
2zer0, не под моим присмотром, но у нас контора маленькая и 1с крутится на винде с ключом, клиенты и из винды и из линукса норм коннектятся. А госзакупки с их заточкой под эксплорер сидят чисто на винде
zuzabrik
- Сообщения: 1744
- Зарегистрирован: 29 авг 2016, 12:08
- Решено: 20
- Благодарил (а): 108 раз
- Поблагодарили: 521 раз
- Контактная информация:
Крипто Про в LM19
#18
25 сен 2019, 14:01
2zer0 писал(а): ↑
25 сен 2019, 06:55
1с на минте круттится??…
Иначе, тогда я не понимаю – что у них с линуксом/минтом офисные ПК делают??
С каких пор наличие 1С стало обязательным для офисного ПК?
А мог бы стать нормальным человеком…
2zer0
- Сообщения: 175
- Зарегистрирован: 23 май 2019, 23:25
- Благодарил (а): 24 раза
- Поблагодарили: 7 раз
- Контактная информация:
Крипто Про в LM19
#19
25 сен 2019, 16:00
zuzabrik писал(а): ↑
25 сен 2019, 14:01
С каких пор наличие 1С стало обязательным для офисного ПК?
ну, поделитесь – а что у вас делает офисный минт? Очень всем интересно…
zuzabrik
- Сообщения: 1744
- Зарегистрирован: 29 авг 2016, 12:08
- Решено: 20
- Благодарил (а): 108 раз
- Поблагодарили: 521 раз
- Контактная информация:
Крипто Про в LM19
#20
25 сен 2019, 16:03
У нас офисная винда, но как бы 1с стоит исключительно у тех кто ею занимается, бухгалтера, экономисты. Остальным она не упала.
А мог бы стать нормальным человеком…
Форум КриптоПро
»
Средства криптографической защиты информации
»
Linux, Solaris etc.
»
Arch Linux. КриптоПро 5.0 + Рутокен ЭЦП 2.0 + IFCPlugin ГосУслуги + КЭП ФНС
BredoGen Оставлено | |
Пришло время получать КЭП для ИП в ФНС. Приобрел Рутокен ЭЦП 2.0 (как оказалось зря, СКЗИ внутри него использоваться не будет, ФНС всё равно запишет контейнер в формате криптопро). Пришло время запустить всё на Arch Linux с возможностью входа на ГосУслуги. Актуальные шаги: CryptoPro 5.0 1. Ставим КриптоПро 5.0 из AUR: https://aur.archlinux.or…ckages/cryptopro-csp-k1/ 2. Скачиваем архив AUR 4. Ставим: 5. В хромиум ставим расширение CryptoPro Extension for CAdES Browser Plug-in. 6. Открываем гуй CryptoPro Tools (/opt/cprocsp/bin/amd64/cptools), удостоверяемся, что криптопро видит наш Рутокен и контейнер в нём. Код:
Убеждаемся, что в CryptoPro Tools разделе сертификатов наш сертификат установился в раздел персональных. 9. Идём на демо страницу и проверяем, что страница видит наш сертификат и подпись работает. Неcмотря на инструкции в интернете, файл config64.ini не трогаем, раздел PKCS11 не редактируем. Это была моя основная ошибка, я пробовал его редактировать и править под 2012 алгоритм. Трогать не нужно вообще. Всё, подписывать можем, теперь нужно разобраться с ГосУслугами. ГосУслуги (IFCPlugin) 1. Ставим из AUR: https://aur.archlinux.org/packages/ifcplugin/ Версия при которой в списке сертификатов будет показан только 1 наш сертификат ИП (без дублей и лишних сертификатов): Код:
Другие версии для других алгоритмов можно взять например тут. 4. Перезапускаем хромимум. 5. Идём на https://esia.gosuslugi.ru/login/ и пробуем логиниться. P.S. Удивительным для меня остаётся тот факт, что ФНС принудительно записывает криптопро контейнеры, при этом отсутствует опция логина в кабинет ИП nalog.ru. Есть там только опция Рутокен ЭЦП 2.0 (которая не работает из-за формата контейнера) или возня с сертификатами и хромиум-гос. | |
Санчир Момолдаев Оставлено | |
Добрый день! | |
BredoGen Оставлено | |
Автор: Санчир Момолдаев Добрый день! Да, это how-to для тех, кто будет искать процесс установки на Arch. | |
Gigses Оставлено | |
Автор: BredoGen 6. Открываем гуй CryptoPro Tools (/opt/cprocsp/bin/amd64/cptools), удостоверяемся, что криптопро видит наш Рутокен На этом шаге рутокен на виден. Систему перезагружал. Рутокен проверен на другой машине и под другой ОС. Как заставить программу видеть рутокен? Отредактировано пользователем 31 января 2022 г. 16:41:44(UTC) | |
Андрей Русев Оставлено | |
1 пользователь поблагодарил Андрей Русев за этот пост. Gigses оставлено 01.02.2022(UTC) | |
Gigses Оставлено | |
При подключении носителя, команда “pcscd -f -d” пишет это: Код:
Код:
Код:
Код:
Что сделать, чтобы программа увидела рутокен? Отредактировано пользователем 1 февраля 2022 г. 11:35:38(UTC) | |
Андрей Русев Оставлено | |
У вас проблема не с токеном, а с установкой КриптоПро CSP. Сходу ошибку в https://aur.archlinux.or…stall?h=cryptopro-csp-k1 не увидел, но проблема, вероятно, где-то там. Пришлите в личку диагностический архив, собранный с помощью Код:
Отредактировано пользователем 1 февраля 2022 г. 12:46:47(UTC) | |
Андрей Русев Оставлено | |
Gigses Оставлено | |
В этих секциях пусто. Лишь комментарии: Код:
Каким образом заполнить эти секции? | |
Андрей Русев Оставлено | |
Gigses Оставлено | |
Ставил по мануалу из первого сообщения этой темы. А есть ли какое-то официальное руководство по установке КриптоПро на Linux? | |
Андрей Русев Оставлено | |
Gigses Оставлено | |
Удалил всё, переустановил заново. Всё работает. | |
Андрей Русев Оставлено | |
Насколько я понимаю, в PKGBUILD cryptopro-csp-k1.install не хватает post_upgrade(), выполняющей то же, что и в post_install(). Накатал патч в AUR. Ничего не проверял, так как Arch-а у нас нет. | |
Андрей Русев Оставлено | |
Патч приняли, теперь надо, чтобы кто-нибудь проверил на своём Arch-е, что больше проблемы при Upgrade нет. | |
Санчир Момолдаев Оставлено | |
проверил. проблем при upgrade нет | |
Проверка подписи ЭЦП
Для верифицирования сертификатов нужен сертификат удостоверяющего центра и актуальный список отзыва сертификатов,
либо настроенный для этого revocation provider.
Корневой сертификат УЦ, список отзыва сертификата является одним из реквизитов самого сертификата.
Контрагенты когда открывают подписи в КриптоАРМ используют revocation provider, он делает проверки отзыва сертификата онлайн.
Как реализована проверка в Шарепоинте не знаю. Знаю только что используется библиотека Крипто.Net
cryptcp
Проверка конкретной подписи из локального хранилища по его хешу:
cryptcp 255c249150efe3e48f1abb3bc1928fc8f99980c4 test.txt.sig
Проверить, взяв сертификат из file1.sig, подпись файла file2.sig. Практически, надо использовать один и тот же файл:
cryptcp file1.sig file2.sig
Ответ:
Certificates found: 2 Certificate chains are checked. Folder './': file.xls.sig... Signature verifying... Signer: Старший инженер, Иванов Иван Иванович, Отдел закупок, ООО «Верес», Москва, RU, [email protected] Signature's verified. Signer: Генеральный директор, Сидоров Иван Петрович, Руководство, ООО «Кемоптика», Москва, RU, [email protected] Signature's verified. [ReturnCode: 0]
Результат:
[ReturnCode: x] | Текст | Описание | Возвращаемый код завершения в баше $? |
---|---|---|---|
0 | Успешно | 0 | |
0x80091004 | Invalid cryptographic message type | Неправильный формат файла | 4 |
0x80091010 | The streamed cryptographic message is not ready to return data | Пустой файл | 16 |
Плагин для Линукс
Чтобы корректно работать с электронной подписью в интернете, понадобится плагин для браузера и специальная утилита alien. Для этого требуется выполнить следующие шаги:
- Активировать alien — sudo apt install alien;
- Бесплатно скачать модуль Browser plug-in на сайте КриптоПро;
- Распаковать сохранённый архив — cades_linux_amd64.zip;
- Перейти в папку с файлами;
- Открыть Терминал через контекстное меню и задать команду для преобразования rpm в deb-пакеты — sudo alien -kci cprocsp-pki-cades_2.0.0-2_amd64.deb;
- После данных действий установка будет завершена, а подпись готова к работе.
Купить подходящую лицензию продукта КриптоПро для Linux рекомендуем в нашем интернет-магазине. Оставьте короткую заявку, для бесплатной консультации специалиста.
КриптоПро Linux установка в Astra
Astra Linux — это отечественная операционная система на базе ядра Linux, для бюджетных организаций: армии, полиции, школы, больницы и других учреждений. Разработана в качестве альтернативы популярным зарубежным ОС во время реализации национальной стратегии импортозамещения. ОС также подходит и для домашнего пользования.
Пробную версию CryptoPro Linux скачать можно на сайте разработчика. Перед этим необходимо пройти регистрацию на сайте КриптоПро. По истечении трёх месяцев понадобится купить лицензию.
Инсталляция в Linux осуществляется через консоль. Пользователь вводит специальные текстовые команды. Данный процесс происходит вручную или автоматически. Рассмотрим, как установить CryptoPro Linux с помощью второго способа. Понадобится выполнить следующие действия:
- Выбрать и скачать установочный файл в «Центре загрузок» с учётом разрядности операционной системы;
- Распаковать сохранённый архив с расширением tgz;
- Перейти в папку с распакованным архивом и через контекстное меню выбрать команду «Открыть в терминале»;
- Запустить автоматическую инсталляцию CryptoPro командой sudo./install_gui.sh — откроется Мастер установки;
- С помощью клавиш Tab и Next — отметить доступные установочные компоненты и нажать «Install»;
- По окончании процедуры появится уведомление об успешной установке дистрибутива;
- Для активации лицензии набрать команду: sudo/opt/cprocsp/sbin/amd64/cpconfig-license-set XXXXX-XXXXX-XXXXX-XXXXX-XXXXX, где Х — это серийный номер.
Установка криптопровайдера КриптоПро для других версий операционных систем Линукс происходит аналогично.
Установка КриптоПРО CSP в Linux
Описание процесса установки приведено на примере дистрибутива семейства Debian (x64).Некоторые команды могут потребовать запуска с sudo.Названия файлов и директорий могут отличаться из-за различий в версиях.
Загрузите КриптоПро CSP версии 4.0 для Вашей платформы и распакуйте архив:
tar -xzvf linux-amd64_deb.tgz
Для установки выполните команды:
sudo chmod 777 -R linux-amd64_deb/ sudo linux-amd64_deb/install.sh
Проверьте отсутствие cprocsp-rdr-gui:
dpkg -l | grep cprocsp-rdr
Установите дополнительно cprocsp-rdr-gui-gtk:
sudo dpkg -i linux-amd64_deb/cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb
Установите лицензионный ключ командой:
sudo /opt/cprocsp/sbin/amd64/cpconfig -license -set XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
Дополнительная информация по установке
КриптоПро для Linux
Семейство операционных систем Linux имеют как консольный, так и графический интерфейс. В обоих случаях для настройки КриптоПро CSP используется командная строка. У Линукс нет единой ОС, которая имеет различные версии. Вместо этого, существует множество дистрибутивов, разработанных для конкретных задач, работающих на базе одноимённого ядра.
Рассмотрим, как установить CryptoPro Linux на операционную систему Astra Linux.
Подписание документа ЭЦП
cryptcp КПС pincode src.txt dest.txt.sig
nochain – отменяет проверку цепочки сертификатов
pin – пин-код
КПС1 – критерий поиска сертификата
Пример создания ЭЦП (по SHA1 Hash):
cryptcp 255c249150efe3e48f1abb3bc1928fc8f99980c4 test.txt test.txt.sig
[ReturnCode: x] | Описание | Возвращаемый код завершения в баше $? |
---|---|---|
0 | успешно | 0 |
0x8010006b | Введен неправильный PIN | 107 |
0x2000012d | Сертификат не найден | 45 |
0x20000065 | Не удалось открыть файл | 101 |
Как пользоваться КриптоПро для Линукс
Работа на КриптоПро для Линукс реализована с помощью использования консоли. Данный способ взаимодействия с электронными документами привычен специалистам. Рядовому пользователю удобно работать через графический интерфейс. Чтобы все клиенты могли использовать возможности CryptoPro Linux, было разработано КриптоАРМ ГОСТ.
КриптоАРМ ГОСТ — это приложение, которое позволяет работать с электронной подписью и документами через понятный интерфейс. Устанавливается на компьютер или мобильное устройство. Управление осуществляется с помощью курсора мыши, клавиатуры или касания экрана. Программа предоставляется бесплатно на 14 дней, после чего следует купить лицензию.
Корневые сертификаты
Просмотр корневых сертификатов
certmgr uroot
В более старых версиях вместо uroot следует использовать root:
certmgr root
Добавление корневых сертификатов (под root) из файла cacer.p7b
certmgr uroot cacer.p7b
Необходимо последовательно добавить все сертификаты
Сертификаты
Список установленных сертификатов
certmgr -list, например:
1------- Issuer : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2 Subject : CN=test2 Serial : 0x120007E4E683979B734018897B00000007E4E6 SHA1 Hash : 0x71b59d165ab5ea39e4cd73384f8e7d1e0c965e81 Not valid before : 07/09/2015 10:41:18 UTC Not valid after : 07/12/2015 10:51:18 UTC PrivateKey Link : Yes. Container : HDIMAGE\\test2.000\F9C9 2------- Issuer : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2 Subject : CN=webservertest Serial : 0x120007E47F1FD9AE0EDE78616600000007E47F SHA1 Hash : 0x255c249150efe3e48f1abb3bc1928fc8f99980c4 Not valid before : 07/09/2015 09:56:10 UTC Not valid after : 07/12/2015 10:06:10 UTC PrivateKey Link : Yes. Container : HDIMAGE\\webserve.001\2608
Добавление реального сертификата
Добавить только сертификат (только проверка ЭЦП):
certmgr cert.cer
Добавление реального сертификата с привязкой к закрытому ключу и возможностью подписывать документы
Закрытый ключ состоит из шести key-файлов:
header.key masks2.key masks.key name.key primary2.key primary.key
Способ с дискетой или флешкой
Скопировать в корень дискеты или флэшки сертификат и приватный ключ (из каталога 999996.000, 999996 – название (alias) контейнера):
pathtokey mediaflashdrive pathtocertclient.cer mediaflashdrive
Выполнить команду по копированию ключа с флэшки на диск, ключ попадет в пользовательское хранилище My.
Необходимо выполнять под пользователем, который будет использовать данный контейнер для подписи.
[email protected] – то, что прописано в поле E сертификата (можно посмотреть командой keytool --printcert -file /path/to/cert/client.cer
):
csptest
С жесткого диска
«Ручной способ».
Скопировать приватный ключ в хранилище (контейнер), где <username>
– имя пользователя linux:
pathtokey varoptcprocspkeysusername
Поставить «минимальные» права:
varoptcprocspkeysusername
Узнать реальное название контейнера:
csptest -enum_cont
Ассоциировать сертификат с контейнером, сертификат попадет в пользовательское хранилище My:
certmgr pathtofileclient.cer
Если следующая ошибка, нужно узнать реальное название контейнера (см. выше):
Failed to open container \\.\HDIMAGE\<container> [ErrorCode: 0x00000002]
Установить сертификат УЦ из-под пользователя root командой:
certmgr uroot pathtofileCA.cer
Проверка успешности установки закрытого ключа
certmgr
Если выводится PrivateKey Link: Yes. Container: HDIMAGE\\999996.000\D7BB, то есть и сертификат, и приватный ключ, а если выводится PrivateKey Link: No – связи нет, и использовать такой контейнер для подписи не удастся.
Источник
Добавление тестового сертификата
Добавление работает только на той же машине, и в тот же контейнер, где был сформированы следующий запрос на добавление:
cryptcp test.csr
Ввести пароль на контейнер test123.
cryptcp myname.csr
Пароль mysecurepass
Откройте в браузере ссылку тестовый удостоверяющий центр КриптоПро
cryptcp certnew.cer
Ввести пароль на контейнер. По-умолчанию: 12345678
Удаление сертификата
Проверка сертификата
certmgr file.sig
Ответ:
1------- Issuer : [email protected], C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO Subject : [email protected], C=RU, L=г. Москва, O="ООО ""Верес""", OU=Руководство, CN=Иванов Иван Иванович, T=Генеральный директор Serial : 0x75F5C86A000D00016A5F SHA1 Hash : 0x255c249150efe3e48f1abb3bc1928fc8f99980c4 Not valid before : 08/12/2014 09:04:00 UTC Not valid after : 08/12/2019 09:14:00 UTC PrivateKey Link : No
Подписание пустого файла (размер 0) проходит успешно, но при просмотре сертификатов этого файла выдается ошибка:
Can't open certificate store: '/tmp/tmp.G8cd13vzfZ.sig'. Error: No certificate found. /dailybuilds/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:312: 0x2000012D [ErrorCode: 0x2000012d]
Будьте внимательны!
Просмотр всех атрибутов сертификата
В cryptcp нет необходимых инструментов для получения всех атрибутов сертификата. Поэтому следует использовать openssl, но настроив его.
Получаем SHA 1 хеши:
certmgr -list -f file.sig | grep 'SHA1 Hash'
В цикле извлекаем сертификаты:
cryptcp -nochain -copycert -thumbprint 255c249150efe3e48f1abb3bc1928fc8f99980c4 -f file.sig -df certificate.der -der
openssl x509 -in certificate.der -inform der -text -noout
Настройка openssl для поддержки ГОСТ:
В файл /etc/ssl/openssl.cnf
openssl_def # Это в начало файла #Все что ниже в конец /usr/lib/ssl/engines/libgost.so # заменить реальным файлом
Проверка:
openssl ciphers gost GOST2001-GOST89-GOST89 GOST94-GOST89-GOST89
Экспорт сертификатов на другую машину
Закрытые ключи к сертификатам находятся тут: /var/opt/cprocsp/keys. Поэтому эти ключи переносятся просто: создаем архив и переносим на нужную машину в тот же каталог.
Экспорт самих сертификатов (если их 14):
i ; certmgr .cer;
Переносим эти файлы на машину и смотрим, какие контейнеры есть:
csptest -keyset -enum_cont -verifycontext -fqcn
И как обычно, связываем сертификат и закрытый ключ:
certmgr -inst -file 1.cer -cont '\\.\HDIMAGE\container.name'
Если закрытый ключ и сертификат не подходят друг к другу, будет выведена ошибка:
Can not install certificate Public keys in certificate and container are not identical
Если все успешно:
Если нет закрытого ключа, то просто ставим сертификат:
certmgr -inst -file 1.cer
Управление сертификатами
Список команд для управления сертификатами электронной подписи:
- Просмотр сертификатов на подключённых токенах — /opt/cprocsp/bin/amd64/csptest -keyset-enum_cont -fqcn -verifyc;
- Импорт персональных сертификатов электронной подписи со всех ключевых USB-носителей — /opt/cprocsp/bin/amd64/csptestf -absorb-cert;
- Просмотр добавленных сертификатов в хранилище — /opt/cprocsp/bin/amd64/certmgr -list -store uMy;
- Удаление сертификата из реестра — /opt/cprocsp/bin/amd64/certmgr -delete -store umy.