Перенос контейнера с flash-носителя в локальное хранилище пк
1. Активируем хранилище HDIMAGE:
cpconfig -hardware reader -add HDIMAGE store
Adding new reader:
Nick name: HDIMAGE
Succeeded, code:0x0
2. Посмотрим, какие контейнеры доступны на флешке:
csptest -keyset -enum_cont -fqcn -verifyc
CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 32114099
\.FLASHbob
OK.
Total: SYS: 0,020 sec USR: 0,080 sec UTC: 0,190 sec
[ErrorCode: 0x00000000]
Просмотр сертификатов
1. Просмотр установленных сертификатов:
certmgr -list
2. Просмотр установленных сертификатов в локальном хранилище uMy:
certmgr -list -store uMy
3. Просмотр сертификатов в хранилище ПК (обычно сюда устанавливаются корневых сертификаты):
$ certmgr -list -store uRoot
4. Просмотр сертификатов в контейнере:
certmgr -list -container '\.Aladdin R.D. JaCarta 00 008df47e71-18ae-49c1-8738-9b4b0944dcd4'
5. Просмотр промежуточных сертификатов:
certmgr -list -store uca
Удаление контейнеров и сертификатов
Построение защищенного соединения происходит с аутентификацией абонентов при помощи ключевой пары (закрытого и открытого ключа). Закрытый ключ аутентификации является конфиденциальным и должен использоваться только одним абонентом. Если клонирование произведено после введения ключа аутентификации, то необходимо удалить клонированный ключ и ввести ключ, принадлежащий абоненту, для которого производится клонирование виртуального шлюза.
Порядок удаления ключа описан далее.
Для работы с сертификатами используется утилита cert_mgr.
· Вывод списка сертификатов:
cert_mgr show
Found 2 certificates. No CRLs found.
1 Status: trusted C=RU,L=Moscow,O=S-Terra CSP,OU=Research,CN=CA-W2008SP1-X64-CA
2 Status: local C=RU,OU=Research,CN=GW1
· Вывод пути до контейнера, относящегося к сертификату:
cert_mgr show -i 2 | grep “container”
Private key container name: ‘\.HDIMAGEHDIMAGE\vpn5493fd98’
где -i 2 – номер сертификата.
· Удаление сертификата:
cert_mgr remove –i 2
2 OK C=RU,OU=Research,CN=GW1
где -i 2 – номер сертификата.
Описание работы утилиты cert_mgr представлено в документации на ПК «С-Терра Шлюз 4.1» (документ «Специализированные команды»).
Для работы с контейнерами применяются следующие утилиты:
· cont_mgr, если используется криптобиблиотека, разработанная компанией «С-Терра СиЭсПи»,
· csptest, если используется СКЗИ «КриптоПро CSP».
Утилита cont_mgr
· Вывод списка контейнеров:
cont_mgr show
file://ContName1
· Удаление контейнера:
cont_mgr delete -cont file://ContName1 -PIN 1234
где:
-cont file://ContName1 – путь до контейнера.
-PIN 1234 – пароль для доступа к контейнеру.
Описание работы утилиты cont_mgr представлено в документации на ПК «С-Терра Шлюз 4.1» (документ «Специализированные команды»).
Утилита csptest размещена в каталоге /opt/cprocsp/bin/ia32/ или /opt/cprocsp/bin/amd64/, в зависимости от разрядности операционной системы.
· Описание возможных ключей утилиты csptest можно вызвать, запустив утилиту с ключом –help:
./csptest –help
./csptest -keyset –help
· Вывод списка контейнеров:
./csptest -keyset -machinekeyset -verifycontext -enum_containers -fqcn –unique
CSP (Type:75) v3.9.8000 KC1 Release Ver:3.9.8212 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 30670563
\.HDIMAGEHDIMAGE\vpn5493fd98 |\.HDIMAGEHDIMAGE\vpn5493fd98
OK.
Total:
[ErrorCode: 0x00000000]
· Удаление контейнера:
./csptest -keyset -machinekeyset -deletekeyset -container ‘\.HDIMAGEHDIMAGE\vpn5493fd98’ -password pass
CSP (Type:75) v3.9.8000 KC1 Release Ver:3.9.8212 OS:Linux CPU:AMD64 FastCode:READY:AVX.
Container \.HDIMAGEHDIMAGE\vpn5493fd98 deleted.
Total:
[ErrorCode: 0x00000000]
где:
-container ‘\.HDIMAGEHDIMAGE\vpn5493fd98’ – путь до контейнера.
-password pass – пароль для доступа к контейнеру.
Удаление сертификатов
1. Удалить сертификат из личного хранилища сертификатов
Просмотрите установленные сертификаты:
certmgr -list
Изучите список всех установленных сертификатов (в общем списке отображаются абсолютно все сертификаты).
Для удаления следует выполнить команду в Терминале:
certmgr -delete -store uMy
Если установлено более одного сертификата, то будет предложено указать номер удаляемого сертификата.
2. Удалить сертификаты, установленные в хранилище КриптоПро:
certmgr -delete -store uRoot
Если установлено более одного сертификата, то будет предложено указать номер удаляемого сертификата.
3. Удалить все сертификаты, установленные в хранилище КриптоПро:
certmgr -delete -all -store uRoot
4. Удалить все сертификаты, установленные в хранилище ПК:
certmgr -delete -store mRoot
Установка корневых сертификатов
При установке корневых сертификатов достаточно указать хранилище uRoot. При указании mRoot (при наличии прав администратора) корневой сертификат будет доступен всем пользователям системы.
1. Установка в хранилище КриптоПро:
certmgr -inst -store uRoot -file <название-файла>.cer
2. Установка в хранилище ПК:
certmgr -inst -store mRoot -file <название-файла>cer
3. Установка списка отозванных сертификатов crl:
certmgr -inst -crl -file <название-файла>.crl
Установка личных сертификатов
1. Установка сертификата без привязки к ключам:
certmgr -inst -file cert_bob.cer
2. Установка личного сертификата cert_bob.cer, сертификат при этом попадает в пользовательское хранилище uMy. Приватный ключ находится на флешке.
certmgr -inst -file cert_bob.cer -store uMy -cont '\.FLASHbob'
в команде указывается сертификат cert_bob.cer, который ассоциируется с приватным контейнером \.FLASHbob’
3. Установка сертификата с токена (в конце команды указывается контейнер)
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\.Aladdin R.D. JaCarta 00 008df47e71-18ae-49c1-8738-9b4b0944dcd4'
Установка сертификатов pfx
1. Необходимо установить пакет cprocsp-rsa, который находится в составе дистрибутива КриптоПро (linux-amd64).
2. Выполним команду от локального (доменного) пользователя:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -pfx -pin <пинкод> -file 'путь до pfx'
Цепочка сертификатов будет отображаться в утилите «Ключевые носители и сертификаты» в «Личное хранилище сертификатов».
Проверка отзыва сертификата¶
Чтобы проверить открытый сертификат на отозванность, необходимо:
- Открыть командную строку «Пуск → Выполнить → cmd»;
- Ввести команду
certutil-verify
и указать путь до сертификата, например,certutil-verify6654074390-632701001-613402108217.cer
;
Будет показана информация о сертификате. В случае, если сертификат действующий, то будет выведено сообщение:
В случае, если сертификат отозван, то будет выведено сообщение СертификатОТОЗВАН(причина=5) и код причины отзыва.
Например, код причины 5 означает, что сертификат отозван по окончанию срока действия.