Установка КриптоПро 4.0 под Linux и другие операционные системы

Содержание
  1. Применимость
  2. Создание контейнера
  3. В носителе токена
  4. В носителе usb flash drive
  5. Создание носителя через графическую оболочку
  6. Назначение
  7. Проверка подписи в файле
  8. Естественный
  9. Обучающий
  10. Скачиваем deb-пакет для установки КриптоПро в Ubuntu
  11. Полезные ссылки
  12. Таблица поддерживаемых устройств Крипто-Про CSP
  13. База знаний КриптоПро
  14. Перечень аккредитованных удостоверяющих центров
  15. Установка КриптоПро CSP
  16. Установочные пакеты
  17. Установка КриптоПро в графическом режиме
  18. Установка сертификатов
  19. Установка базовых компонентов КриптоПро
  20. Установка пакетов поддержки устройств
  21. Установка программы
  22. Ввод лицензионного кода
  23. При помощи install_gui
  24. Установка дополнительных файлов поддержки КрптоПро
  25. Установка криптопро для mac os
  26. Установка криптопро в astra linux
  27. Отключение цифровой подписи в windows 10
  28. Установка на apple mac os
  29. Добавление сертификатов через криптопро
  30. Криптопро для linux
  31. Идентификация токена
  32. Информация о контейнерах
  33. Проверка работы контейнера
  34. Удаление контейнера
  35. Копирование контейнера
  36. Смена пароля на контейнер (снятие паролей с контейнера)
  37. Диагностический архив для обращения в тех. поддержку
  38. Установка КриптоПро Fox
  39. Альтернативный метод получения тестового сертификата
  40. Получение тестового сертификата с помощью cli
  41. Запрос на получение сертификата для созданного контейнера ключей
  42. Установка КриптоПРО CSP в Linux
  43. Подключение и установка КриптоПро
  44. Настройка
  45. Вариант 1
  46. Вариант 2
  47. Криптопро для windows 10
  48. Резюме
  49. Руководство по настройке
  50. Установка драйверов и ПО для работы с JaCarta PKI
  51. Установка пакетов КриптоПро CSP
  52. Настройка и диагностика КриптоПро CSP
  53. Работа с токеном JaCarta PKI
  54. Программное извлечение ключей
  55. Результаты
  56. Установка графических компонентов
  57. Ключ для работы в режиме замкнутой программной среды Astra Linux SE.
  58. Установка дополнительных пакетов с модулем поддержки для токена

Применимость

В этой инструкции описана установка СКЗИ КриптоПро CSP 4. 0 в ROSA Fresh R7–R10 (RED X2–X3) для работы с электронными ключами Рутокен. Пример приведён для 64-разрядной архитектуры AMD64; для 32-разрядной i586 установка аналогична с точностью до названий установочных пакетов и папок. Для установки нужны навыки работы в файловом менеджере (для KDE-версии это Dolphin) и консоли (Konsole или F4 при работе в Dolphin).

Создание контейнера

Для создания контейнера в носителе HDIMAGE следует воспользоваться командой:

/opt/cprocsp/bin/amd64/csptest -keyset -newkeyset -cont ‘\. HDIMAGEимя_контейнера’

Если локального носителя не существует, то его можно создать командой:

sudo /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add HDIMAGE store

HDIMAGE размещается на /var/opt/cprocsp/keys/<имя пользователя>/

В носителе токена

Для создания контейнера в носитель токена следует воспользоваться командой:

/opt/cprocsp/bin/amd64/csptest -keyset -newkeyset -cont ‘\. Aktiv Rutoken ECP 00 00имя_контейнера’

Название токена может отличаться. Для идентификации воспользуйтесь командой: csptest -card -enum -v -v

В носителе usb flash drive

/opt/cprocsp/bin/amd64/csptest -keyset -newkeyset -cont ‘\. FLASHимя_контейнера’

Создание носителя через графическую оболочку

В 5-ой версии КриптоПРО CSP v. 0, для создания контейнера, имя носителя можно не указывать, а выбрать в интерактивном gtk-диалоге:

/opt/cprocsp/bin/amd64/csptest -keyset -newkeyset -cont ‘имя_контейнера’

Установка КриптоПро 4.0 под Linux и другие операционные системы

Установка КриптоПро 4.0 под Linux и другие операционные системы

Назначение

Криптопровайдер КриптоПро CSP предназначен для:

  • авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012);
  • обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
  • обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;
  • контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;
  • управления ключевыми элементами системы в соответствии с регламентом средств защиты.

В качестве СКЗИ разрешается использовать только КриптоПро CSP следующих версий:

  • КриптоПро CSP версии 4.0 R4;
  • КриптоПро CSP версии 5.0;

Указанные СКЗИ должны использоваться в исполнениях 1-Base или 2-Base.

СКЗИ КриптоПро CSP в исполнении 2-Base должно использоваться с аппаратно- программным модулем доверенной загрузки (АПМДЗ).

При эксплуатации СКЗИ необходимо соблюдать требования и рекомендации эксплуатационной документации на СКЗИ, в частности требования по защите от несанкционированного доступа и по криптографической защите, а также требования по поддерживаемым СКЗИ аппаратно-программным платформам. В частности, при использовании СЭП со встроенным СКЗИ необходимо проведение проверки программного обеспечения BIOS ЭВМ, на которых предполагается функционирование СКЗИ и СЭП, на соответствие методическим документам ФСБ России в области исследований программного обеспечения BIOS.

Контроль целостности СКЗИ и СЭП должен выполняться с использованием механизма замкнутой программной среды ОС или с использованием стандартных средств контроля целостности КриптоПро CSP.

Проверка подписи в файле

Для проверки прикрепленной подписи выполните:

CryptCP 5. 0 (c) “КРИПТО-ПРО”, 2002-2018. Утилита командной строки для подписи и шифрования файлов.

Найдено сертификатов: 4Цепочки сертификатов проверены. Папка ‘. /’:raport. pdf. sig. Проверка подписи.

Естественный

использовать ключ -verall, указывающий, что надо найти всех подписавших, в том числе в сообщении:

CryptCP 5. 0 (c) “КРИПТО-ПРО”, 2002-2018. Утилита командной строки для подписи и шифрования файлов. Папка ‘/home/shuhrat/smolensk/’: /home/shuhrat/smolensk/raport. pdf. Проверка подписи.

Цепочки сертификатов проверены. Папка ‘. /’: raport. pdf. Проверка подписи.

Обучающий

указать в качестве хранилища сертификатов само сообщение (ключ -f):

Скачиваем deb-пакет для установки КриптоПро в Ubuntu

Загрузка доступна с официального сайта КриптоПро в разделе Продукты. Отмечу лишь то, что надо скачивать обязательно сертифицированную версию. В данном материале описана установка и настройка КриптоПро CSP 4. 0 R3.

Далее загруженный архив tgz необходимо распаковать.

Полезные ссылки

КриптоПро CADES ЭЦП Browser plug-in

Таблица поддерживаемых устройств Крипто-Про CSP

На официальном сайте СКЗИ КриптоПро в таблице указаны носители, продемонстрировавшие работоспособность с соответствующими версиями КриптоПро CSP:

База знаний КриптоПро

ЭЦП в государственных информационных системах и электронно торговых площадках

Перечень аккредитованных удостоверяющих центров

Rutoken Lite не требует установки дополнительных драйверов. Для установки других типов Рутокена потребуется посетить официальный сайт и установить необходимые драйвера.

Однако для полноценной работы Рутокена потребуется установить дополнительные библиотеки при помощи команды в Терминале:

  • После корректной установки плагина и добавления сайта КриптоПро в доверенные должна появиться возможность создать тестовый сертификат (ссылка). Тестовый сертификат может пригодиться для проверки работы различных приложений или для тестирования при их разработке.
  • Для проверки работы КриптоПро ЭЦП Browser plug-in следует установить сертификаты (можно использовать тестовые) и использовать данные ресурсы.
  • Для новых версий FireFox может потребоваться выполнить следующие действия: для весии 53 процедура описана здесь, для версии 52 процедура может оказаться аналогичной, но переменную plugin.load_flash_only придётся создавать вручную.

Установка КриптоПро CSP

Архив с программным обеспечением (КриптоПро CSP) можно загрузить c официального сайта www. cryptopro. ru, предварительно зарегистрировавшись на сайте.

Для ОС Astra Linux следует загрузить пакет КриптоПро CSP 4 и выше версии –  пакет для 64 разрядной системы.

Пробный период использования КриптоПро CSP составляет 3 месяца, по истечении которых необходимо приобрести полноценную лицензию.

Для написания настоящей статьи была использована сертифицированная версия ПО «КриптоПро» «4. 0 R4». При этом был выполнен следующий алгоритм действий:

1) загрузить архив с сертифицированной версией ПО «КриптоПро». Название полученного файла: «linux-amd64_deb. tgz»;

2) открыть “Терминал Fly” (alt+T);

3) разархивировать полученный архив в терминале командой:

tar -zxf linux-amd64_deb. tgz

5) перейти в каталог с ПО:

6) выполнить установку ПО с помощью запуска сценария “install. sh” или  “instal_gui. sh” командой:

Установка КриптоПро 4.0 под Linux и другие операционные системы

* Выбрать необходимые модули, библиотеки.

Для использования КриптоПро ЭЦП Browser plug-in должен быть установлен КриптоПро CSP 4. 0 и, в частности, пакет из архива с КриптоПро CSP 4. 0 под названием cprocsp-rdr-gui-gtk и не установлен — cprocsp-rdr-gui. Данные пакеты при работе плагина могут конфликтовать между собой.

Для проверки можно воспользоваться следующей командой:

Если в выводе команды есть пакет cprocsp-rdr-gui, нужно использовать следующие команды:

urpme -a cprocsp-rdr-gui
cd ~/Загрузки/linux-amd64/
rpm -ivh cprocsp-rdr-gui-gtk*

Если в выводе нет обоих пакетов, необходимо установить cprocsp-rdr-gui-gtk:

Установочные пакеты

cd ~/Загрузки && tar -xvf cades_linux_amd64. tar

и устанавливаем его составляющие:

rpm -ivh lsb-cprocsp-devel*
rpm -ivh –nodeps cprocsp-pki-2. 0-amd64-cades. rpm
rpm -ivh –nodeps cprocsp-pki-2. 0-amd64-plugin. rpm

Установка КриптоПро в графическом режиме

Переходим в папку с распакованным архивом и выбираем в контекстном меню команду Открыть в Терминале (в Kubuntu Действия / Открыть Терминал в этой папке). Для запуска установки в КриптоПро в графическом режиме вводим в терминале команду

Установка сертификатов

После установки пакетов появится возможность просматривать контейнеры на устройстве Рутокен. Например, чтобы узнать путь к требуемому контейнеру, выполните:

/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq

Установка КриптоПро 4.0 под Linux и другие операционные системы

Для работы с сертификатами нужно установить сертификат удостоверяющего центра (в данном случае устанавливается непосредственно корневой сертификат) и сертификат Рутокен на локальное хранилище.

Установка корневого сертификата удостоверяющего центра:

Установка списка отозванных сертификатов:

Установка цепочки промежуточных сертификатов:

Установка сертификата с рутокена:

Подробнее о программе certmgr можно узнать здесь.

Примечание. Чаще всего расширение. cer соответствует сертификату, а. p7b — контейнеру, в котором может содержаться один или больше сертификатов (например, их цепочка).

Установка базовых компонентов КриптоПро

cd ~/Загрузки/
tar -xvf linux-amd64. tgz

Должна появиться папка с установочными файлами КриптоПро.

Дальнейшую установку нужно выполнять с правами администратора (root).

  • Выполните в консоли команду перехода в режим администратора (su) и введите пароль.
  • Выполните команды установки:

urpmi -a lsb-core ccid. /install. sh
rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*

Если пароль администратора неизвестен, можно использовать команду sudo. /install. sh, а затем — sudo rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*, введя при этом пароль текущего пользователя (если у него есть на это права).

Для установки в графическом интерфейсе запустите файловый менеджер Dolphin с правами администратора, выполнив следующую команду:

Читайте также:  Как работать с Rutoken и Rutoken ЭЦП

В открывшемся окне щёлкните по файлу install.

Установка пакетов поддержки устройств

Пакеты поддержки токенов/ридеров/плат расширения находятся в архиве КриптоПро CSP; их названия начинаются с cprocsp-rdr-. Если необходимо использовать определённое устройство (например, Рутокен ЭЦП), установите соответствующий пакет:

sudo rpm -ivh cprocsp-rdr-rutoken*

Ещё в архиве есть пакеты с драйверами (ifd-*). Их также следует установить при использовании соответствующих устройств. Например, для Рутокен S:

sudo rpm -ivh ifd-rutokens*

Установка программы

Вспомогательный компонент взаимодействует со всеми версиями Windows выше 2003. С полным списком поддерживаемых ОС можно ознакомиться в соответствующем разделе.

СКЗИ для Windows применима для большинства сфер электронного документооборота, где требуется юридически значимая информация, заверенная квалифицированной ЭЦП (КЭЦП):

Процедура установки КриптоПро для Windows 10 предполагает следующий порядок действий:

  • запустить загруженный на ПК дистрибутив и нажать кнопку «Установить»;
  • если лицензия еще не куплена, пропустить строку с серийным номером и нажать клавишу «Далее» (при наличии лицензии — ввести номер из соглашения);
  • выбрать тип установки: «Обычная» — набор базовых функций, «Дополнительный опции» — формирование конфигурации вручную (для продвинутых пользователей);
  • подтвердить операцию клавишей «Установить».

По завершении инсталляции рекомендуется перезапустить компьютер, чтобы изменения вступили в силу. Такой алгоритм действий применим для всех версий Windows.

После загрузки криптопровайдера остается инсталлировать драйвер USB-носителя, добавить сертификат в хранилище, настроить веб-браузер, и можно приступать к работе с ЭП.

Ввод лицензионного кода

Далее мастер предложит ввести код лицензии. Делать это не обязательно. По умолчанию КриптоПро включает стандартную лицензию на три месяца. Проверить срок действия лицензии можно стандартной командой в Терминале

/opt/cprocsp/sbin/amd64/cpconfig -license -view

Установка КриптоПро 4.0 под Linux и другие операционные системы

Примечание
По умолчанию класс защиты выбирается как КС1. Если требуется класс защиты КС2, то это следует указать при выполнении скрипта (sudo. /install. sh kc2).

Установка КриптоПро 4.0 под Linux и другие операционные системы

Предупреждение
Пакеты “lsb-cprocsp-kc1” и “lsb-cprocsp-kc2” являются конфликтующими.

  • Установить дополнительные пакеты (без них не будет работать КриптоПро Fox и КриптоПро ЭЦП Browser Plug-in): sudo rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-* cprocsp-rdr-gui-gtk-*.
  • Установить пакеты поддержки нужных устройств. Эти пакеты находятся в архиве КриптоПро CSP, их названия начинаются с cprocsp-rdr-. Не следует устанавливать пакет cprocsp-rdr-gui, так как в связке с cprocsp-rdr-gui-gtk он нарушает работу графических компонентов.
  • Установить компоненты КриптоПро ЭЦП Browser Plug-in, скачав архив с сайта.

При помощи install_gui

  • Установить базовые пакеты из репозиториев (или из диска): sudo urpmi -a lsb-core ccid pangox-compat newt или sudo yum install redhat-lsb* ccid pangox-compat newt (в зависимости от используемого менеджера пакетов).
  • Далее, если нет отдельно обозначенных требований к классу защиты, то можно поступить так, как указанно на картинках ниже. Иначе, если требуется класс защиты КС2, на соответствующем этапе следует выбрать пакет “lsb-cprocsp-kc2”.

Примечание
Для выбора опций здесь используется пробел, а для навигации – стрелки и табуляция.

  • Выбор пакетов. В данном примере устанавливается всё (кроме пакета КС2).
  • Уточняется правильность выбора
  • Все пакеты успешно установлены
  • Здесь можно ввести номер лицензии. Для тестирования можно использовать триальную (3 месяца).
  • Можно передумать и сделать что-то ещё
  • Выход из установщика
  • То, как выглядит терминал после успешной установки

Установка дополнительных файлов поддержки КрптоПро

Если установка КриптоПро запущена не в графическом режиме или при установке выбраны не все компоненты, то следует в обязательном порядке установить следующие пакеты (найти их можно в папке установки КриптоПро с файломinstall_gui. sh):

cprocsp-rdr-pcsc-64_4. 0-4_amd64. deb

cprocsp-rdr-rutoken-64_4. 0-4_amd64. deb

ifd-rutokens_1. 1_amd64. deb

cprocsp-rdr-gui-gtk-64_4. 0-4_amd64. deb

Установка криптопро для mac os

Подготовка компьютера на базе MacOS для работы с цифровой подписью начинается с тех же процедур, что и для описанных выше ОС. Зайдите на официальный портал «Крипто-ПРО» и сохраните бесплатный дистрибутив КриптоПро для Mac OS:

  • запустите установочный файл ru.cryptopro.csp;
  • разрешите программе внести изменения на ваш ПК клавишей «Продолжить»;
  • дайте согласие с условиями лицензионного соглашения;
  • завершите инсталляцию клавишей «Установить»;
  • дождитесь окончания и закройте окно.

Для добавления сертификата в реестр подключите к компьютеру ключевой носитель и введите команду в окне Терминала:

/opt/cprocsp/bin/csptestf -absorb-certs -autoprov

Команда для проверки статуса лицензии:

/opt/cprocsp/sbin/cpconfig -license -view

sudo /opt/cprocsp/sbin/cpconfig -license -set номер_лицензии

В качестве USB-носителя для интеграции с MacOS подойдет Рутокен Lite или Рутокен ЭЦП. Флешки eToken и JaCarta не функционируют в связке с CryptoPro для Мак ОС.

Для визирования электронной информации в Mac OS можно воспользоваться программным комплексом Trusted eSign, описанным выше.

Установка криптопро в astra linux

В последние годы многие госслужбы и частные компании взяли курс на импортозамещение, все чаще выбирая Линукс в качестве операционной системы. Особую популярность среди российских пользователей получили аналоги этой ОС — Astra Linux, Rosa Linux, ГосЛинукс и др.

Процедуру установки КриптоПро рассмотрим на примере Astra Linux (ОС на базе ядра Линукс, используемая преимущественно в бюджетных учреждениях).

Чтобы загрузить дистрибутив для инсталляции СКЗИ, зайдите в «Центр загрузок», выберите сертифицированный релиз КриптоПро и deb-пакет для скачивания (с учетом разрядности ОС).

На СКЗИ для Линукс распространяются стандартные правила лицензирования и 3-месячный демо-период для ознакомления.

Распакуйте сохраненный на ПК архив с расширением tgz. Процесс установки осуществляется через консоль с помощью ввода специальных текстовых команд. Для инсталляции в Linux есть два варианта: вручную или автоматически. Рассмотрим второй способ:

  • перейдите в папку с распакованным архивом и через контекстное меню выберите команду «Открыть в терминале»;
  • запустите автоматическую инсталляцию CryptoPro командой sudo./install_gui.sh — откроется Мастер установки;
  • навигацию в окне Мастера осуществляйте с помощью кнопки Tab — отметьте все доступные к установке компоненты клавишей Next и нажмите «Install».

По завершении процедуры в окне Терминала появится уведомление об успешной инсталляции.

Когда закончится демо-период, купите лицензию и введите ее номер в настройках с помощью команды:

Вместо Х укажите серийный номер из лицензионного соглашения.

Процедура инсталляции криптопровайдера для других версий ОС семейства Linux предполагает аналогичный порядок действий.

Отключение цифровой подписи в windows 10

Как правило, СЭЦП выдается на 12 месяцев. Просроченные сертификаты рекомендуется удалять из реестра, чтобы не занимать место в хранилище. Отключение (удаление) сертификата цифровой подписи в Windows 10 занимает не более 2 минут:

  • запустите криптопровайдер через меню «Пуск»;
  • в открывшемся каталоге выберите сертификат для удаления;
  • подтвердите действие кнопкой «Готово» и нажмите «Ок».

Ранее удаленный из системы сертификат восстановить нельзя. Он не попадает в корзину и не резервируется, а навсегда исчезает из реестра.

Установка на apple mac os

Загрузите архив с Browser plugin по ссылке, разархивируйте его и установите модуль, следуя инструкции:

  • в распакованной папке нажмите на документ cprocsp-pki-2.0.0 — запустится Мастер установки;
  • дайте согласие с условиями лицензионного договора;
  • подтвердите операцию кнопкой «Установить».

По окончании процедуры закройте окно и проверьте работу модуля на странице.

Добавление сертификатов через криптопро

Для корректной реализации КЭЦП персональные сертификаты квалифицированной электронно-цифровой подписи (СКЭЦП, СЭЦП), полученные в УЦ и записанные на ключевой носитель (токен), необходимо добавить в хранилище на своем компьютере.

На одном ПК может находиться несколько ваших личных сертификатов. Всякий раз, когда нужно поставить ЭП, система будет открывать каталог со списком, откуда пользователь сам выбирает нужный СКЭЦП.

Последние релизы CryptoPro наделены функцией автоматической установки персональных сертификатов на жесткий диск компьютера:

Далее открывается Мастер импорта сертификатов. Подтвердите согласие на операцию кнопкой «Далее». В следующей форме установите в настройках автоматический выбор хранилища для записи сертификата. Личные СКЭЦП сохраняются в папку «Личное», корневые сертификаты от УЦ — в «Доверенные».

Для завершения процедуры нажмите «Готово» и закройте окно кнопкой «Ок».

Криптопро для linux

Судя по многочисленным отзывам пользователей Linux, версия КриптоПро для этой ОС — неоднозначное решение. С одной стороны, это самое функциональное средство криптозащиты для работы с ЭП. Но если в Windows с использованием СКЗИ не возникает существенных проблем, то с Linux обычному пользователю справиться очень сложно.

CryptoPro CSP для Линукс — это консольный продукт с текстовым интерфейсом, лишенный графических средств управления.

Инсталляцию и настройку программы на ПК рекомендуется доверить системному администратору.

Идентификация токена

Для просмотра списка настроенных считывателей можно воспользоваться командой:

/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view

Установка КриптоПро 4.0 под Linux и другие операционные системы

Чтобы узнать модель подключенного токена, следует ввести команду:

/opt/cprocsp/bin/amd64/csptest -card -enum -v -v

После чего система выдаст информацию о подключенном устройстве:

Установка КриптоПро 4.0 под Linux и другие операционные системы

Проверить наличие носителей с контейнерами  можно с помощью команды:

/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum -unique

в формате FQCN, отображается имя носителя:

В этом случае будет выведен список носителей с контейнерами в следующем формате:

Установка КриптоПро 4.0 под Linux и другие операционные системы

Где \. HDIMAGE – локальный носитель, \. HDIMAGETestCont123 – название контейнера, \. Aktiv Rutoken ECP 00 00 – название носителя (токена).

Подробная информация про “Имена контейнеров”

Информация о контейнерах

Для просмотра подробной информации о контейнерах воспользуйтесь командой:

/opt/cprocsp/bin/amd64/csptestf -keyset -container ‘ИМЯ’ -info

Пример работы команды:

/opt/cprocsp/bin/amd64/csptestf -keyset -container ‘Shuhrat’ -infoCSP (Type:80) v5. 10001 KC1 Release Ver:5. 11233 OS:Linux CPU:AMD64 FastCode:READY:AVX.

AcquireContext: OK. HCRYPTPROV: 8981043GetProvParam(PP_NAME): Crypto-Pro GOST R 34. 10-2012 KC1 CSPContainer name: “Shuhrat”Signature key is available. HCRYPTKEY: 0x8f3b03Exchange key is available. HCRYPTKEY: 0x8f9883Symmetric key is not available. UEC key is not available.

Читайте также:  Как подписать документ электронной подписью самостоятельно | Такском

CSP algorithms info:  Type:Encrypt    Name:’GOST 28147-89′(14) Long:’GOST 28147-89′(14)  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026142

Type:Hash       Name:’GR 34. 11-2012 256′(18) Long:’GOST R 34. 11-2012 256′(22)  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032801

Type:Signature  Name:’GR 34. 10-2012 256′(18) Long:’GOST R 34. 10-2012 256′(22)  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00011849

Type:Exchange   Name:’DH 34. 10-2012 256′(18) Long:’GOST R 34. 10-2012 256 DH'(25)  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043590

Type:Exchange   Name:’DH 34. 10-2012 256′(18) Long:’GOST R 34. 10-2012 256 DH'(25)  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043591

Type:Hash       Name:’GOST 28147-89 MAC'(18) Long:’GOST 28147-89 MAC'(18)  DefaultLen:32   MinLen:8    MaxLen:32    Prot:0   Algid:00032799

Type:Encrypt    Name:’GR 34. 12 64 M'(14) Long:’GOST R 34. 12-2015 64 Magma'(27)  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026160

Type:Encrypt    Name:’GR 34. 12 128 K'(15) Long:’GOST R 34. 12-2015 128 Kuznyechik'(33)  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026161

Type:Hash       Name:’GR 34. 13 64 M MAC'(18) Long:’GOST R 34. 13-2015 64 Magma MAC'(31)  DefaultLen:64   MinLen:8    MaxLen:64    Prot:0   Algid:00032828

Type:Hash       Name:’GR 34. 13 128 K MAC'(19) Long:’GOST R 34. 13-2015 128 Kuznyechik MAC'(37)  DefaultLen:128  MinLen:8    MaxLen:128   Prot:0   Algid:00032829

Type:Hash       Name:’GR34. 11-12 256 HMAC'(20) Long:’GOST R 34. 11-2012 256 HMAC'(27)  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032820

Status:  Provider handles used:        6  Provider handles max:         1048576  CPU Usage:                    6 %  CPU Usage by CSP:             0 %  Measurement interval:         119 ms

Virtual memory used:          15281652 KB  Virtual memory used by CSP:   116572 KB  Free virtual memory:          26053680 KB  Total virtual memory:         41335332 KB

Physical memory used:         14602360 KB  Physical memory used by CSP:  12576 KB  Free physical memory:         5857712 KB  Total physical memory:        20460072 KB

Key pair info:  HCRYPTKEY:  0x8f3b03  AlgID:      CALG_GR3410_12_256 = 0x00002e49 (00011849):    AlgClass: ALG_CLASS_SIGNATURE    AlgType:  ALG_TYPE_GR3410    AlgSID:   73  KP_HASHOID:    1. 643. 2 (ГОСТ Р 34. 11-2012 256 бит)  KP_DHOID:    1. 643. 1 (ГОСТ Р 34. 10 256 бит, параметры по умолчанию)  KP_SIGNATUREOID:    1. 643. 1 (ГОСТ Р 34. 10 256 бит, параметры по умолчанию)  Permissions:    CRYPT_READ    CRYPT_WRITE    CRYPT_IMPORT_KEY    0x800    0x2000    0x20000    0x100000KP_CERTIFICATE:  Not set.

Container version: 2Carrier flags:  This reader is removable. This reader supports unique carrier names. This carrier does not have embedded cryptography. Keys in container:  signature key  exchange keyExtensions (maxLength: 1435):  ParamLen: 46  OID: 1. 643. 9  Critical: FALSE  Size: 19  Decoded size: 24  PrivKey: Not specified – 18. 2020 07:31:07 (UTC)

При наличии кириллических символов в имени ключевого контейнера для дальнейшей работы с таким контейнером необходимо использовать его уникальный идентификатор. Чтобы получить уникальные идентификаторы ключевых контейнеров используйте команду:

/opt/cprocsp/bin/amd64/csptest -keys -enum -verifyc -fqcn -un

Следует учесть про PIN-коды в контейнерах:

  • если само устройство осуществляет аутентификацию (как, например, токен), то PIN при создании контейнера не создаётся, а предъявляется, так как он – свойство устройства. Как следствие: у всех контейнеров на токене одинаковый PIN.
  • если устройство аутентификацию не осуществляет (как HDIMAGE), то при создании контейнера создаётся и PIN-код. Следствие: у всех контейнеров, PIN-код на HDIAMGE может быть разным.

Проверка работы контейнера

Для того чтобы проверить работу контейнера (в том числе возможность выполнения разных операций при текущей лицензии), следует выполнить команду:

/opt/cprocsp/bin/amd64/csptestf -keyset -container ИМЯ -check

/opt/cprocsp/bin/amd64/csptestf -keyset -container Shuhrat -check

AcquireContext: OK. HCRYPTPROV: 28224051

Check header passed.

Signature key is available. HCRYPTKEY: 0x1b53883

Exchange key is available. HCRYPTKEY: 0x1b57e23

License: Cert without license

Check container passed.

Check sign passed.

Check verify signature on private key passed.

Check verify signature on public key passed.

Check import passed (import restricted).

Check import passed.

Certificate in container matches AT_KEYEXCHANGE key.

PrivKey: Not specified – 18. 2020 07:31:12 (UTC)

Total: SYS: 0,030 sec USR: 0,140 sec UTC: 2,430 sec

Удаление контейнера

Для удаления контейнера следует воспользоваться командой:

/opt/cprocsp/bin/amd64/csptestf -passwd -cont ‘\. Aktiv Rutoken ECP 00 00TestCont’ -deletek

Копирование контейнера

Для примера скопируем контейнер из локального хранилища в хранилище Рутокена ЕЦП:

csptestf -keycopy -contsrc ‘\. HDIMAGEКонтейнер_оригинал’ -contdest ‘\. Aktiv Rutoken ECP 00 00Контейнер_копия’

Смена пароля на контейнер (снятие паролей с контейнера)

/opt/cprocsp/bin/amd64/csptestf -passwd -cont ‘\. Aktiv Rutoken ECP 00 00TestContainer’ -change ‘новый_пароль’ -passwd ‘старый_пароль

В случае, если контейнеру с ключом не был задан PIN, следует воспользоваться командой:

/opt/cprocsp/bin/amd64/csptestf -passwd -cont ‘\. Aktiv Rutoken ECP 00 00TestContainer’ -change ‘Ваш_новый_пароль’

Диагностический архив для обращения в тех. поддержку

По всем вопросам установки СКЗИ в операционную систему, их настройки и обеспечения доступа к электронным ресурсам в сети Интернет можно обращаться в техническую поддержку Astra Linux и КриптоПро.

Для создания диагностического архива, можно воспользоваться следующей командой:

В результате должен получится cprodiag_день_месяц_год. tar. gz архив, который следует прислать в техническую поддержку Astra Linux и КриптоПро.

Установка КриптоПро Fox

КриптоПро Fox — версия браузера Firefox, умеющая работать с КриптоПро.

  • Разархивируйте полученный пакет.
  • Запустите программу cpfox.

Для удобства работы с КриптоПро Fox можно создать ярлык для его запуска на рабочем столе:

  • Кликните по столу правой кнопкой мыши.
  • В открывшемся окне на вкладке Приложение укажите команду запуска и название ярлыка.

Установка КриптоПро 4.0 под Linux и другие операционные системы

Обычный же Firefox этот адрес открыть не сможет:

Установка КриптоПро 4.0 под Linux и другие операционные системы

Альтернативный метод получения тестового сертификата

1) Перейдите на сайт Тестового Удостоверяющего центра ООО “КРИПТО-ПРО”

2) Для получение сертификата, перейдите в раздел Сформировать ключи и отправить запрос на сертификат

3) Заполните идентифицирующие сведения:

Установка КриптоПро 4.0 под Linux и другие операционные системы

4) Нажмите “Выдать”, после чего выйдет GTK-окно для создания случайных последовательностей:

Установка КриптоПро 4.0 под Linux и другие операционные системы

5) После чего, CryptoPro CSP потребует вести новый пароль для контейнера

6) Тестовый УЦ КриптоПро уведомит нас о том, что сертификат выдан

Установка КриптоПро 4.0 под Linux и другие операционные системы

7) Пройти по ссылке и установить сертификат, введя пароль контейнера.

8) После успешной установки сертификата, следует перейти на страницу проверки создания электронной подписи CAdES-BES

Установка КриптоПро 4.0 под Linux и другие операционные системы

Для отображения информации о сертификате, Вам необходимо установить сертификат из ридера в локальное хранилище uMy, как указано в 5 главе.

Получение тестового сертификата с помощью cli

Для запроса, получения и установки сертификата с тестового УЦ “КриптоПро”  – можно, воспользоваться одной командой:

Запрос на получение сертификата для созданного контейнера ключей

Для создания запроса на получение сертификата для контейнера ‘имя_контейнера’ , воспользуемся командой:

В параметре -dn указываются данные, которые будут хранится в поле Subject сертификата.

В параметре -hashalg указывается алгоритм хэширования. В случае примера использовался  OID 1. 643. 2 – ГОСТ Р 34. 11-12 с длиной 256

-nokeygen – использовать существующие ключи из указанного контейнера;

-both* – создать/использовать оба типа ключей;

Более подробная информация про опции утилиты cryptcp: Инструкция_cryptcp. pdf

Созданный запрос будет сохранен в файле cert. req. Эти данные нужны для получения сертификата в удостоверяющем центре.

Для примера можно воспользоваться тестовым  удостоверяющим центром КриптоПро. Нам нужен пункт ” Отправить готовый запрос PKCS#10 или PKCS#7 в кодировке Base64 “. На следующей странице в поле «Сохраненный запрос» вставляем содержимое файла cert. req и нажимаем кнопку «Выдать».

Для просмотра содержимого cert. req, воспользуйтесь командой: $ cat  cert. req

После чего следует загрузить сертификат и цепочку сертификатов:

Установка КриптоПро 4.0 под Linux и другие операционные системы

  • Установить сертификат УЦ:/opt/cprocsp/bin/*/certmgr -inst -crl -file <имя_файла_с_сертификатом_УЦ>l -store CA
  • Добавить цепочку сертификатов:/opt/cprocsp/bin/*/certmgr -inst -file <имя_файла_с_цепочкой_сертификатов> -store uRoot
  • Установить сам сертификат:/opt/cprocsp/bin/amd64/certmgr -inst -file <имя_файла_с_полученным_сертификатом> -cont <имя_контейнера>

Для записи полученного сертификата в контейнер следует воспользоваться командой:

/opt/cprocsp/bin/amd64/csptest -keys -cont <имя_контейнера> -keyt exchange -impcert <имя_файла_с_полученным_сертификатом>

Установка КриптоПро 4.0 под Linux и другие операционные системы

С помощью опции -certusage можно указать OID назначение сертификата

Назначение сертификата представляется в сертификате объектным идентификатором, присвоенным этой политике, – OID. Если в сертификате указано несколько политик, то это означает, что сертификат соответствует всем этим политикам списка.

1может использоваться как сертификат серверной аутентификации1. 2может использоваться как сертификат клиентской аутентификации1. 3может использоваться для электронной подписи кода1. 4может использоваться для защиты электронной почты (электронная подпись, шифрование, key agreement)1. 8может использоваться для включения значения хэш-функции при создании штампа времени на документы в Службе штампов времени1. 9может использоваться для формирования электронной подписи OCSP-запросов

* Объектные идентификаторы (OID) определяют отношения, при осуществлении которых электронный документ, подписанный ЭЦП, будет иметь юридическое значение. OID, зарегистрированные в Удостоверяющем центре, включаются состав следующих расширений сертификата ключа подписи: Key Usage (использование ключа), Extended Key Usage (расширенное использование ключа), Application Policy (политики применения сертификата).

Установка КриптоПРО CSP в Linux

Описание процесса установки приведено на примере дистрибутива семейства Debian (x64). Некоторые команды могут потребовать запуска с sudo. Названия файлов и директорий могут отличаться из-за различий в версиях.

Загрузите КриптоПро CSP версии 4. 0 для Вашей платформы и распакуйте архив:

tar -xzvf linux-amd64_deb. tgz

Для установки выполните команды:

sudo chmod 777 -R linux-amd64_deb/ sudo linux-amd64_deb/install

Проверьте отсутствие cprocsp-rdr-gui:

Установите дополнительно cprocsp-rdr-gui-gtk:

sudo dpkg -i linux-amd64_deb/cprocsp-rdr-gui-gtk-64_4. 0-4_amd64. deb

Установите лицензионный ключ командой:

sudo /opt/cprocsp/sbin/amd64/cpconfig -license -set XXXXX-XXXXX-XXXXX-XXXXX-XXXXX

Дополнительная информация по установке

Подключение и установка КриптоПро

sudo pcscd -adfffff

После запуска не закрывайте эту консоль — в ней можно будет видеть, как система взаимодействует со смарт-картой.

Утилита также должна «видеть» устройство:

Установка КриптоПро 4.0 под Linux и другие операционные системы

Данная статья является рекомендацией по установке. Это означает, что корректная работа программы после выполнения действий, описанных ниже, не гарантируется. Так же стоит отметить, что не смотря на то, что статья написана для 64-битной системы, на 32-битной всё делается точно так же, за исключением названий (вместо amd64 ia32, вместо x86_64 i486). Функционал программы можно посмотреть на странице продукта.

Читайте также:  Как подается декларация ип в электронном виде? - Мое ИП

Настройка

Для корректной работы с требуемыми сайтами нужно чтобы они были внесены в список доверенных:

Вариант 1

Набрать в адресной строке firefox

и добавить сайт.

Вариант 2

Также для внесения сайтов в доверенные можно воспользоваться средствами командной строки:

чтобы указать доверенные сайты (указать свои) и

/opt/cprocsp/sbin/amd64/cpconfig -ini “localSoftwareCrypto ProCAdESpluginTrustedSites” -view

чтобы посмотреть, какие из сайтов на данный момент являются доверенными.

Отдельно следует обратить внимание на первую команду. После «-add multistring» можно указать несколько сайтов, но каждый раз при вводе команды придётся указывать все доверенные сайты.

Криптопро для windows 10

Программа CryptoPro CSP от российского разработчика ПО «КРИПТО-ПРО» признана лидером в сегменте криптографического ПО (наряду с ViPNet).

СКЗИ обеспечивает выполнение процессов криптошифрования, которые и лежат в основе генерации КЭП. Без этой вспомогательной программы невозможно создать ЭЦ, зашифровать файл, защитить от последующих корректив посторонними лицами, обеспечить целостность и предотвратить компрометацию важных сведений.

Бесплатный дистрибутив с утилитой можно получить на официальном ресурсе:

В течение 90 дней с момента инсталляции программы доступен бесплатный пробный период, чтобы пользователь смог оценить возможности ПО. По окончании демо-периода необходимо купить лицензию (на 12 месяцев или бессрочную). Заказать ее можно непосредственно у разработчика или дистрибьютора в своем регионе.

Одну лицензию можно использовать только на одном АРМ.

Резюме

На основании анализа трех самых популярных систем можно сделать вывод, что самой удобной ОС для реализации ЦП в Крипто Про считается Windows. Для загрузки криптопровайдера не требуется особых знаний и навыков, достаточно следовать инструкции от разработчика.

Инсталляция и настройка КриптоПро для Linux и MacOS предполагает более сложный порядок действий и осуществляется через консоль Терминала с помощью текстовых команд.

Выбор программных решений для заверки документов весьма ограничен — через ту же консоль или через лицензионное приложение Trusted eSign. Бесплатных веб-сервисов для создания КЭП в Линукс и Мак ОС пока не разработали.

Руководство по настройке

После установки токена JaCarta PKI в USB порт сервера и запуска системы проверяем, что новое устройство обнаружено и появилось в списке:

Установка КриптоПро 4.0 под Linux и другие операционные системы

В нашем случае это Bus 004 Device 003: ID 24dc:0101

Для диагностики считывателей можно воспользоваться утилитой pcsc-tools из проекта security:chipcard (software. opensuse. org).

Установка КриптоПро 4.0 под Linux и другие операционные системы

Пока не установлены все необходимые пакеты, информация о токене не отобразится.

Установка драйверов и ПО для работы с JaCarta PKI

На странице Поддержки сайта «Аладдин Р. » загружаем Документацию и программное обеспечение для работы только с JaCarta PKI

Согласно Руководству по внедрению «JaCarta для Linux» пункт 4. , первым делом требуется установить пакеты pcsc-lite, ccid и libusb.

Для работы утилиты управления JaCarta необходимо установить следующие компоненты:

  • PC/SC Lite — промежуточный слой для обеспечения доступа к смарт-картам по стандарту PC/SC, пакет pcsc-lite.
  • Библиотеки ccid и libusb для работы с USB-ключами, смарт-картами и считывателями смарт-карт.

Выполняем проверку наличия этих пакетов и установку:

zypper search pcsc-lite

Установка КриптоПро 4.0 под Linux и другие операционные системы

zypper search libusb

Установка КриптоПро 4.0 под Linux и другие операционные системы

zypper install pcsc-lite

Установка КриптоПро 4.0 под Linux и другие операционные системы

Установка КриптоПро 4.0 под Linux и другие операционные системы

zypper search CCID

Установка КриптоПро 4.0 под Linux и другие операционные системы

zypper install pcsc-ccid

Установка КриптоПро 4.0 под Linux и другие операционные системы

Установка КриптоПро 4.0 под Linux и другие операционные системы

zypper install libusb

Установка КриптоПро 4.0 под Linux и другие операционные системы

В итоге пакет pcsc-lite был обновлен, CCID установлен, libusb никаких действия не требовалось.

Следующими двумя командами выполняем установку пакета с драйверами и программным обеспечением непосредственно для работы с JaCarta PKI:

zypper install idprotectclientlib-637. 03-0. x86_64. rpm

Установка КриптоПро 4.0 под Linux и другие операционные системы

zypper install idprotectclient-637. 03-0. x86_64. rpm

Установка КриптоПро 4.0 под Linux и другие операционные системы

Проверяем, что драйверы и ПО для JaCarta PKI установились:

zypper search idprotectclient

Установка КриптоПро 4.0 под Linux и другие операционные системы

При попытках заставить работать SafeNet eToken PRO я нашел информацию, что предустановленный в SLES пакет openct — Library for Smart Card Readers может конфликтовать с pcsc-lite — PCSC Smart Cards Library, установку которого требует руководство Аладдин Р.

zypper search openct

Установка КриптоПро 4.0 под Linux и другие операционные системы

Поэтому пакет openct удаляем:

rpm -e openct

Теперь все необходимые драйверы и ПО для работы с токеном установлены.

Выполняем диагностику с помощью утилиты pcsc-tools и убеждаемся, что JaCarta определяется в операционной системе:

Установка КриптоПро 4.0 под Linux и другие операционные системы

Установка пакетов КриптоПро CSP

При установке КриптоПро CSP по умолчанию нужные пакеты для работы с токенами и смарт-картами отсутствуют.

zypper search cprocsp

Установка КриптоПро 4.0 под Linux и другие операционные системы

Выполняем установку в CSP компонента поддержки JaCarta components for CryptoPro CSP

zypper install cprocsp-rdr-jacarta-64-3. 408. 683-4. x86_64. rpm

Установка КриптоПро 4.0 под Linux и другие операционные системы

Некоторые компоненты имеют зависимости. Так, например, если попытаться выполнить установку пакета поддержки SafeNet eToken PRO cprocsp-rdr-emv-64-4. 9944-5. x86_64. rpm — EMV/Gemalto support module, то получим сообщение о необходимости сначала установить базовый компонент CSP поддержки считывателей cprocsp-rdr-pcsc-64-4. 9944-5. x86_64. rpm — PC/SC components for CryptoPro CSP readers:

Устанавливаем базовые пакеты поддержки считывателей и ключевых носителей:

zypper install cprocsp-rdr-pcsc-64-4. 9944-5. x86_64. rpm

Установка КриптоПро 4.0 под Linux и другие операционные системы

zypper install lsb-cprocsp-pkcs11-64-4. 9944-5. x86_64. rpm

Теперь можно установить модули для работы с остальными видами носителей и компонент GUI:

zypper install cprocsp-rdr-emv-64-4. 9944-5. x86_64. rpm

Установка КриптоПро 4.0 под Linux и другие операционные системы

zypper install cprocsp-rdr-novacard-64-4. 9944-5. x86_64. rpm
zypper install cprocsp-rdr-mskey-64-4. 9944-5. x86_64. rpm
zypper install cprocsp-rdr-gui-gtk-64-4. 9944-5. x86_64. rpm

Установка КриптоПро 4.0 под Linux и другие операционные системы

Проверяем итоговую конфигурацию КриптоПро CSP:

zypper search cprocsp
Loading repository data. Reading installed packages.

Установка КриптоПро 4.0 под Linux и другие операционные системы

Чтобы применить изменения, выполняем перезапуск службы криптографического провайдера и проверяем ее статус:

/etc/init. d/cprocsp restart
/etc/init. d/cprocsp status

Установка КриптоПро 4.0 под Linux и другие операционные системы

Настройка и диагностика КриптоПро CSP

Проверим, видит ли криптографический провайдер наш токен и другие доступные типы носителей следующими командами:

/opt/cprocsp/bin/amd64/csptest -card -enum -v –v

Установка КриптоПро 4.0 под Linux и другие операционные системы

Установка КриптоПро 4.0 под Linux и другие операционные системы

/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view -f cp1251

Установка КриптоПро 4.0 под Linux и другие операционные системы

Следуя инструкции КриптоПро CSP для Linux. Настройка, выполняем его регистрацию в криптографическом провайдере:

Установка КриптоПро 4.0 под Linux и другие операционные системы

Чтобы выполнить требования Формуляра, Правил пользования и Руководства администратора безопасности КриптоПро CSP:

Использование СКЗИ «КриптоПро CSP» версии 4. 0 с выключенным режимом усиленного контроля использования ключей не допускается. Включение данного режима описано в документах ЖТЯИ. 00087-01 91 02. Руководство администратора безопасности.

Необходимо включить режим усиленного контроля использования ключей:

/opt/cprocsp/sbin/amd64/cpconfig -ini ‘configparameters’ -add long StrengthenedKeyUsageControl 1

Проверяем, что режим включен:

Установка КриптоПро 4.0 под Linux и другие операционные системы

Выполняем перезапуск службы криптографического провайдера:

После перезапуска проверяем, что ошибок в работе провайдера с ключевыми носителями нет:

/opt/cprocsp/bin/amd64/csptest -keyset –verifycontext

Установка КриптоПро 4.0 под Linux и другие операционные системы

/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum –unique

Работа с токеном JaCarta PKI

Запустим программу Xming (X11 forwarding) на своей станции, чтобы по SSH иметь возможность открывать и работать с графическими интерфейсами нужных утилит.

Установка КриптоПро 4.0 под Linux и другие операционные системы

Athena-IDProtectClient. desktop
Athena-IDProtectManager. desktop

Это ярлыки, в которых можно посмотреть параметры запуска утилит Exec=/usr/bin/SACTools

Запустим утилиту IDProtectPINTool.

С помощью нее задаются и меняются PIN-коды доступа к токену.

Установка КриптоПро 4.0 под Linux и другие операционные системы

При первой инициализации токена будет полезна ссылка, содержащая PIN-коды (пароли) ключевых носителей по умолчанию

Программа IDProtect_Manager позволяет просматривать информацию о токене и контейнере с ключами и сертификатом:

Установка КриптоПро 4.0 под Linux и другие операционные системы

Для доступа к контейнеру с ключами нужно ввести пароль:

Установка КриптоПро 4.0 под Linux и другие операционные системы

Установка КриптоПро 4.0 под Linux и другие операционные системы

Для работы с SafeNet Authentication Client eToken PRO существуют аналогичные программы — SafeNet Authentication Client Monitor и SafeNet Authentication Client Tools, которые запускаются так:

Установка КриптоПро 4.0 под Linux и другие операционные системы

Выполнять операции непосредственно с ключевыми контейнерами удобнее в интерфейсе криптографического провайдера КриптоПро JavaCSP:

/jdk1. 0_181/jre/bin/java ru. CryptoPro. JCP. ControlPane. MainControlPane

Установка КриптоПро 4.0 под Linux и другие операционные системы

Для отображения информации о содержимом контейнера с ключами можно выполнить команду:

Для диагностики контейнера используется эта же команда с ключом –check

Потребуется ввести пароль от контейнера:

Установка КриптоПро 4.0 под Linux и другие операционные системы

Установка КриптоПро 4.0 под Linux и другие операционные системы

Программное извлечение ключей

В общем виде пример извлечения закрытого ключа и сертификата открытого ключа из контейнера на токене с помощью КриптоПро Java CSP следующий:

Если действовать так:

Key key = keyStore. getKey(keyAlias, pwd);

то криптографический провайдер будет пытаться в системе отобразить через консоль или GUI окно запрос на ввод пароля к контейнеру.

Результаты

Отторгаемый ключевой носитель-токен установлен во внутренний USB-порт сервера.

Само серверное оборудование опломбировано и размещается в помещении с ограниченным доступом.

Такие меры позволяют повысить уровень защиты наших информационных систем от кражи и компрометации ключей электронной подписи или шифрования, как удаленно по сети, так и физически.

  • Документация Aladdin-RD JaCarta
  • wiki.astralinux.ru — Работа с КриптоПро CSP
  • Перечень кодов ошибок объектной модели компонентов Microsoft COM Error Codes (Security and Setup)
  • СКЗИ КриптоПро CSP 4.0 ФКН (Gemalto)
  • Утилита диагностики считывателей pcsc-tools из проекта security:chipcard (software.opensuse.org)
  • КриптоПро CSP для Linux. Настройка.
  • Aladdin-RD PIN-коды (пароли) ключевых носителей по умолчанию

Установка графических компонентов

Если планируется использование Криптопро ЭЦП Browser Plugin (данный этап включён в инструкцию в ссылке), rosa-crypto-tool или других программ и компонентов с графическим интерфейсом, необходимо установить ещё два пакета:

urpmi pangox-compat && rpm -ivh cprocsp-rdr-gui-gtk*

Не следует устанавливать пакет cprocsp-rdr-gui, т. в связке с cprocsp-rdr-gui-gtk он нарушает работу графических компонентов.

Ключ для работы в режиме замкнутой программной среды Astra Linux SE.

  • Перед импортом ключа, следует предварительно установить пакет
  • Ключ для работы в режиме замкнутой программной среды Astra Linux SE следует загрузить и поместить в предварительно созданную директорию:/etc/digsig/keys/legacy/cryptopro
  • После чего выполнить команду:sudo update-initramfs -uk all
  • и перезагрузить АРМ

Проверить срок истечения лицензии можно командой:

Установка КриптоПро 4.0 под Linux и другие операционные системы

Установка дополнительных пакетов с модулем поддержки для токена

Для корректной работы с токеном/смарт-картой обязательно требуется установить:

библиотека libccid, libgost-astra , пакеты pcscd

sudo apt install libccid pcscd libgost-astra

Пакеты с модулем поддержки:

После установки пакетов с модулем поддержки токена следует перезагрузить службу pcscd:

sudo service pcscd restart

Начиная с версии КриптоПро 4. 0 R4 и выше, модули поддержки смарт-карт входят в состав пакета.

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector