- 1 Нажать кнопку выдать и необходимо чтобы Рутокен был подключен к устройству на которое выдается ключ и сертификат.
- Проверка работы плагина в браузере
- 2 Выйдет уведомление о успешном подписании: Выполнено! Отчет успешно подписан.
- Загрузка
- Запуск контрольной панели
- Извлечение подписанного файла
- Импорт персонального сертификата
- Криптопро для windows 10
- О криптопро
- Подключение и установка криптопро
- Подключение токена к компьютеру
- Подпись
- Получение сертификата в уц и его установка
- Примечания
- Проверка лицензии
- Проверка подписи
- Проверка цепочки сертификатов
- Прописывание путей к исполняемым файлам
- Просмотр доступных контейнеров
- Просмотр сертификатов
- Работа с сертификатами в token-manager
- Резюме
- Совместимость
- Создание запроса
- Создание контейнера
- Удаление
- Управление ридерами
- Установка «криптопро эцп browser plug-in» в ос linux (ubuntu)
- Установка базовых компонентов криптопро
- Установка графических компонентов
- Установка криптопро fox
- Установка пакетов
- Установка пакетов поддержки устройств
- Установка сертификатов
1 Нажать кнопку выдать и необходимо чтобы Рутокен был подключен к устройству на которое выдается ключ и сертификат.
Выбрать устройство Рутокен:
Проверка работы плагина в браузере
Google Chrome
Версия 61.0.3163.79 (Официальная сборка), (64 бит)
2 Выйдет уведомление о успешном подписании: Выполнено!
Отчет успешно подписан.
Где возможно через кнопку Загрузить, загрузить выбранный подписанный документ.
Загружается файл
Установка и настройка подписи ЭЦП через КриптоПро CSP на Linux(Ubuntu)
, который необходимо разархивировать.
Файл протокола, который подписан возможно проверить через средства приложения VipNet CryptoFile (Windows)
, нажать в приложении Открыть выбрать открыть подписанный файл в формате .pdf
и выбрать протокол в формате .sig
пример:
6.3 Сформировать отчет: Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider
Отчет о проверке ЭП
Время создания отчета:
01.03.17 22:54
(КЭЦП, КЭП). СКЗИ сертифицировано ФСБ и соответствует обновленному стандарту формирования и проверки ЭЦП – ГОСТ Р 34.10-2022.
В настоящее время есть три актуальных версии этого софта – 3.8, 4.0 и 5.0. Срок действия сертификата v.3.8 заканчивается в сентябре текущего года. Релиз 5.0 с расширенным набором опций на конец июля 2022 г. еще не сертифицирован и используется в тестовом режиме. Версия 4.0 регулярно обновляется и на текущий момент представлена уже 4-я сертифицированная сборка этого релиза (R4).
Криптографическая утилита функционирует в широком спектре операционных систем, и для каждой из них есть свои специфические нюансы. В этой статье подробно рассмотрим особенности использования Крипто Про для Линукс, Windows и Mac OS.
Поможем получить ЭЦП. Установим и настроим за 1 час.
Оставьте заявку и получите консультацию в течение 5 минут.
Загрузка
Архив с программным обеспечением (КриптоПро CSP 4.0) можно загрузить после предварительной регистрации:
- linux-ia32.zip (18 МБ, для i586)
- linux-amd64.zip (18 МБ, для x86_64)
Внимание! По умолчанию при скачивании с сайта КриптоПро выдаётся лицензия на три месяца
Запуск контрольной панели
(требует графического дисплея)
Извлечение подписанного файла
Для извлечения файла необходимо указать его имя в конце команды проверки подписи.
Импорт персонального сертификата
Вы можете импортировать собственный сертификат в локальный считыватель HDIMAGE.
Если у вас нет сертификата, самое время его создать:
Допустим, мы пошли по первому пути и создали сертификат web-server (делать это строго под правами root):
Сертификат по умолчанию будет лежать в /var/lib/ssl/certs/web-server.cert, а ключ — в /var/lib/ssl/private/web-server.key
Для импорта потребуется файл сертификата и закрытый ключ в контейнере PKCS#12.
Создадим для нашего ключа и сертификата необходимый контейнер:
Примечание:
При создании контейнера будет дважды запрошен пароль для экспорта. По соображениям безопасности вводимые символы не показываются. После ввода каждого пароля нажимайте Enter.
Проверка созданного контейнера (при запросе введите пароль, введённый в предыдущей команде):
И сертификат и ключ попали в контейнер.
После генерации сертификата проверим наличие считывателя:
Для импорта сертификата в КриптоПро используйте программу certmgr. В нашем случае:
Если Вам необходимо импортировать сертификат с токена:
Если контейнер защищен паролем используйте ключ -pin <пароль>
Криптопро для windows 10
СКЗИ для Windows применима для большинства сфер электронного документооборота, где требуется юридически значимая информация, заверенная (КЭЦП):
О криптопро
КриптоПро — линейка криптографических утилит (вспомогательных программ) — так называемых криптопровайдеров. Они используются во многих программах российских разработчиков для генерации ЭЦП, работы с сертификатами, организации структуры PKI и т.д.
Подключение и установка криптопро
sudo pcscd -adfffff
После запуска не закрывайте эту консоль – в ней можно будет видеть, как система взаимодействует со смарт-картой.
/opt/cprocsp/bin/amd64/list_pcsc
Утилита также должна «видеть» устройство:
Подключение токена к компьютеру
Теперь можно подключить Рутокен к USB-порту компьютера.
Для контроля правильности подключения выполните команду lsusb .
Пример правильного вывода:
Подпись
Для электронной подписи файла необходимо указать сертификат и имя подписываемого файла:
Примечание:
Проще всего для указания сертификата использовать адрес e-mail.
где
На выходе появляется файл zayavlenie.pdf.sig, содержащий как сам подписываемый файл, так и электронную подпись.
Получение сертификата в уц и его установка
Показать содержимое запроса:
Просмотреть полученный сертификат:
$ certmgr -list -file certnew.p7bCertmgr 1.0 (c) "CryptoPro", 2007-2022. program for managing certificates, CRLs and stores ============================================================================= 1------- Issuer : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2 Subject : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2 Serial : 0x2B6E3351FD6EB2AD48200203CB5BA141 SHA1 Hash : 0x046255290b0eb1cdd1797d9ab8c81f699e3687f3 SubjKeyID : 15317cb08d1ade66d7159c4952971724b9017a83 Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 05/08/2022 13:44:24 UTC Not valid after : 05/08/2022 13:54:03 UTC PrivateKey Link : No 2------- Issuer : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2 Subject : CN=Test User5, [email protected] Serial : 0x120012447FA7E652B76808CD7900000012447F SHA1 Hash : 0xcb8e7ca68bea0ffbbd84c326d565de68cd8a15f5 SubjKeyID : 6f7507353601d6d943f1406aae60c21ab65190e0 Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 28/06/2022 10:22:36 UTC Not valid after : 28/09/2022 10:32:36 UTC PrivateKey Link : No Extended Key Usage : 1.3.6.1.5.5.7.3.4 1.3.6.1.5.5.7.3.2 ============================================================================= [ErrorCode: 0x00000000]
Установите сертификат удостоверяющего центра:
(нажмите 1)
Установите сертификат клиента (введите пароль на контейнер \.HDIMAGEtest при запросе):
(нажмите 2)
Примечания
Для работы с другими носителями нужно установить модули поддержки соответствующих устройств. Названия модулей: cprocsp-rdr-. К таким модулям относятся (cprocsp-rdr-
) emv
, esmart
, inpaspot
, mskey
, jacarta
, novacard
, rutoken
.
Скачанные пакеты необходимо разархивировать:
После при помощи команды установить пакеты:
sudo sh install_gui.sh
При котором откроется терминал с возможностью установки через GUI.
Лучше поставить пакеты вручную:
sudo dpkg -i lsb-cprocsp-devel_4.0.0-5_all.deb
sudo dpkg -i cprocsp-curl-64_4.0.0-4_amd64.deb
sudo apt-get install libpangox-1.0-dev
sudo dpkg -i cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb
sudo dpkg -i cprocsp-rdr-rutoken-64_4.0.0-4_amd64.deb
sudo dpkg -i ifd-rutokens_1.0.1_amd64.deb
sudo dpkg -i lsb-cprocsp-base_4.0.0-4_all.deb
sudo dpkg -i lsb-cprocsp-capilite-64_4.0.0-4_amd64.deb
Проверка лицензии
Проверить срок истечения лицензии можно командой (обратите внимание на строки Expires:):
Примечание:
Для версии КриптоПро CSP под Linux все лицензии считаются серверными, поэтому не смущайтесь строкой «License type: Server».
Для установки другой лицензии выполните (под root):
Примечание:
Серийный номер следует вводить с соблюдением регистра символов.
Проверка подписи
Для проверки подписи выполните:
Показано, кто подписывал и что подпись проверена.
Проверка цепочки сертификатов
Внимание! В кэше сертификатов для выпущенного сертификата должны присутствовать корневые сертификаты удостоверяющих центров. В противном случае он будет недоступен в плагине для браузера!
Таблица 3. Сертификаты популярных удостоверяющих центров.
Для проверки можно скопировать персональный сертификат в файл:
(нажмите C и Enter, чтобы выйти).
Запуск с отладкой цепочки:
То есть нам надо установить сертификат УЦ с CN=uc skb kontur (root):
После этого:
Всё в порядке и сертификат виден в плагине Cades.
Прописывание путей к исполняемым файлам
Чтобы каждый раз не вводить полный путь к утилитам КриптоПро:
- установите пакет cryptopro-preinstall и начните новый сеанс в консоли
или
Внимание! Если установлен пакет mono или mono4-devel, может быть конфликт по имени утилиты certmgr
Просмотр доступных контейнеров
Локальный контейнер создан.
Просмотр сертификатов
$ certmgr -list Certmgr 1.0 (c) "CryptoPro", 2007-2022. program for managing certificates, CRLs and stores ============================================================================= 1------- Issuer : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2 Subject : CN=Test User5, [email protected] Serial : 0x120012447FA7E652B76808CD7900000012447F SHA1 Hash : 0xcb8e7ca68bea0ffbbd84c326d565de68cd8a15f5 SubjKeyID : 6f7507353601d6d943f1406aae60c21ab65190e0 Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 28/06/2022 10:22:36 UTC Not valid after : 28/09/2022 10:32:36 UTC PrivateKey Link : Yes Container : HDIMAGE\test.0002EF8 Provider Name : Crypto-Pro GOST R 34.10-2001 KC1 CSP Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0 Extended Key Usage : 1.3.6.1.5.5.7.3.4 1.3.6.1.5.5.7.3.2 ============================================================================= [ErrorCode: 0x00000000]
Работа с сертификатами в token-manager
token-manager предоставляет графический интерфейс управления ключевыми носителями и сертификатами. С помощью этой программы можно:
- просматривать подключенные ключевые носители (токены);
- изменять PIN-код ключевого носителя;
- устанавливать, просматривать и удалять сертификаты;
- просматривать и устанавливать лицензию КриптоПро.
Установка пакета token-manager
Запустить token-manager можно из командной строки:
- в рабочей среде Mate: Меню Система>>Администрирование>>Ключевые носители и сертификаты
- в рабочей среде KDE5: Меню запуска приложений>>Настройки>>Ключевые носители и сертификаты
Резюме
На основании анализа трех самых популярных систем можно сделать вывод, что самой удобной ОС для реализации ЦП в Крипто Про считается Windows. Для загрузки криптопровайдера не требуется особых знаний и навыков, достаточно следовать инструкции от разработчика.
Совместимость
По информации разработчика, с ALT Linux совместимы следующие продукты КриптоПро:
- КриптоПро CSP
- КриптоПро JCP
- КриптоПро HSM
- КриптоПро TSP
- КриптоПро OCSP
- КриптоПро ЭЦП Browser plug-in
- КриптоПро SSF
- КриптоПро Stunnel
- Браузер КриптоПро Fox
Примечание:
В репозитории доступен пакет firefox-gost, аналогичный КриптоПро Fox, с патчем от КриптоПро.
Создание запроса
Для создания запроса потребуется:
Создание контейнера
Примечание:
Для того, чтобы сертификат из контейнера можно было использовать через модуль pkcs11 (из пакета lsb-cprocsp-pkcs11) в браузере firefox-gost, необходимо создать его с -provtype 75 (поддержка ГОСТ-2001. Просмотреть доступные типы провайдеров можно командой cpconfig -defprov -view_type)
Создадим контейнер с именем «test» в локальном ридере HDIMAGE.
При установленном пакете cprocsp-rdr-gui-gtk будет показано графическое окно, где предложат двигать курсором мыши:
Примечание:
Если такой пакет не установлен, будет предложено ввести любые символы с клавиатуры
После показа окна будет предложено указать пароль на контейнер (можно указать пустой, тогда пароль запрашиваться не будет) и снова предложат двигать курсором мыши.
Удаление
Удалить сертификат под номером 1:
Удалить все сертификаты:
Управление ридерами
Ридеры (readers) — устройства размещения контейнеров (аппаратные токены, каталог для размещения файлов).
Просмотр доступных ридеров:
Ридер HDIMAGE размещается на /var/opt/cprocsp/keys/<имя пользователя>/
Инициализация ридера HDIMAGE (под правами root):
Установка «криптопро эцп browser plug-in» в ос linux (ubuntu)
Перед установкой/переустановкой плагина выполните:
- Скачайте «КриптоПро CSP» (4.0/5.0) https://www.cryptopro.ru/products/csp/downloads#latest_csp50 – для Linux deb дистрибутива x64.
Прим.: Если
у Вас нет учетной записи, зарегистрируйтесь на сайте, введя свои данные во вкладке
«Регистрация». - Скачайте файл установки https://www.cryptopro.ru/products/cades/plugin/get_2_0.
- Установите пакеты pcscd и opensc для работы с ключевыми
носителями, а также утилиты alien для работы с пакетами *.rpm:
Для установки СКЗИ «КриптоПро CSP» выполните:
- Откройте папку, куда были скачаны дистрибутивы «CSP» и «ЭЦП Browser plug-in». Кликните правой
кнопкой мыши для вызова Тераминала. - Выполните команду tar -xvf linux-amd64_deb.tgz для распаковки архива.
- Перейдите в только что распакованную папку командой cd linux-amd64_deb.
- Запустите от sudo установочный скрипт install.sh командой sudo
./install.sh. - Введите пароль своей учётной записи в системе и дождитесь окончания установки.
- Произведите установку пакета cprocsp-rdr-pcsc-64_4.0.0-4_amd64.deb, затем модулей
поддержки Рутокен cprocsp-rdr-rutoken-64_4.0.0-4_amd64.deb и
ifd-rutokens_1.0.1_amd64.deb.С помощью утилиты alien, произведите
установку модуля поддержки для JaCarta
cprocsp-rdr-jacarta-3.6.1-3.6.407-1.x86_64.rpm.Также установите пакет
cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb.Для этого выполните ряд
команд (вместо многоточий нажмите на клавишу TAB): - Перезапустите службу pcscd, введя в терминал команды:
- Подключите оба токена к ПК. Проверить видимость считывателей можно командой
/opt/cprocsp/bin/amd64/csptest –card –enum –v –v.
Ввод серийного номера лицензии и установка сертификатов:
- Для просмотра информации о лицензии выполните команду
cpconfig -license -view. - Для ввода лицензии выполните команду cpconfig -license -set [серийный_номер].
Внимание: Серийный номер следует вводить с соблюдением регистра
символов. - Для установки сертификатов из всех доступных контейнеров выполните
/opt/cprocsp/bin/amd64/csptestf –absorb –certs.
Распаковка и установка «КриптоПро ЭЦП Browser plug-in».
- Перейдите в папку загрузок командой – cd ..
- Распакуйте ранее скачанный архив «ЭЦП Browser plug-in», введя команду tar -xvf
cades_linux_…. - Произведите установку пакетов посредством утилиты alien (сначала пакет
*cades*, а после *plugin*) cd cades_linux_… - Перезапустить браузер.
Проверить правильность настройки можно на тестовой странице проверки плагина.
Если установка «КриптоПро ЭЦП Browser plug-in» прошла успешно, появится окно с надписью
“Плагин загружен”
.
Установка базовых компонентов криптопро
cd ~/Загрузки/
tar -xvf linux-amd64.tgz
Должна появиться папка с установочными файлами КриптоПро.
cd linux-amd64/
Дальнейшую установку нужно выполнять с правами администратора (root).
urpmi -a lsb-core ccid
./install.sh
rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*
Если пароль администратора неизвестен, можно использовать команду sudo ./install.sh , а затем – sudo rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-* , введя при этом пароль текущего пользователя (если у него есть на это права).
Для установки в графическом интерфейсе запустите файловый менеджерDolphin
с правами администратора, выполнив следующую команду:
Kdesu dolphin
В открывшемся окне щёлкните по файлу install.sh.
Установка графических компонентов
Если планируется использование (данный этап включён в инструкцию в ссылке), rosa-crypto-tool
или других программ и компонентов с графическим интерфейсом, необходимо установить ещё два пакета:
Urpmi pangox-compat && rpm -ivh cprocsp-rdr-gui-gtk*
Не следует устанавливать пакет cprocsp-rdr-gui
, т. к. в связке с cprocsp-rdr-gui-gtk
он нарушает работу графических компонентов.
Установка криптопро fox
КриптоПро Fox
– версия браузера Firefox, умеющая работать с КриптоПро.
Для удобства работы с КриптоПро Fox можно создать ярлык для его запуска на рабочем столе:
Установка пакетов
1. Распакуйте архив и перейдите в распакованную папку
2. Установите пакет cryptopro-preinstall:
Этот пакет установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП).
Примечание:
Пакет cryptopro-preinstall вытягивает зависимости libpangox-compat, opensc, pcsc-lite, pcsc-lite-rutokens, pcsc-lite-ccid.
Таблица 1. Описание необходимых пакетов КриптоПро.
Пакет | Описание |
---|---|
Базовые пакеты: | |
cprocsp-curl | Библиотека libcurl с реализацией шифрования по ГОСТ |
lsb-cprocsp-base | Основной пакет КриптоПро CSP |
lsb-cprocsp-capilite | Интерфейс CAPILite и утилиты |
lsb-cprocsp-kc1 | Провайдер криптографической службы KC1 |
lsb-cprocsp-rdr | Поддержка ридеров и RNG |
Дополнительные пакеты: | |
cprocsp-rdr-gui-gtk | Графический интерфейс для диалоговых операций |
cprocsp-rdr-rutoken | Поддержка карт Рутокен |
cprocsp-rdr-pcsc | Компоненты PC/SC для ридеров КриптоПро CSP |
lsb-cprocsp-pkcs11 | Поддержка PKCS11 |
ifd-rutokens | Конфигурация Рутокеновских карт (или можно взять pcsc-lite-rutokens из репозитория) |
3. Установите пакеты КриптоПро:
Под правами пользователя root установите базовые пакеты:
для поддержки токенов (Рутокен S и Рутокен ЭЦП):
Примечания:
Установка пакетов поддержки устройств
Пакеты поддержки токенов/ридеров/плат расширения находятся в архиве КриптоПро CSP; их названия начинаются с cprocsp-rdr-
. Если необходимо использовать определённое устройство (например, Рутокен ЭЦП), установите соответствующий пакет:
Sudo rpm -ivh cprocsp-rdr-rutoken*
Ещё в архиве есть пакеты с драйверами (ifd-*
). Их также следует установить при использовании соответствующих устройств. Например, для Рутокен S:
Sudo rpm -ivh ifd-rutokens*
Установка сертификатов
После установки пакетов появится возможность просматривать контейнеры на устройстве Рутокен. Например, чтобы узнать путь к требуемому контейнеру, выполните:
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq
Для работы с сертификатами нужно установить сертификат удостоверяющего центра (в данном случае устанавливается непосредственно корневой сертификат) и сертификат Рутокен на локальное хранилище.
Установка корневого сертификата удостоверяющего центра:
.cer -store uRoot
Установка списка отозванных сертификатов:
/opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Загрузки/.crl
Установка цепочки промежуточных сертификатов:
/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/.p7b -store CA
Установка сертификата с рутокена:
/opt/cprocsp/bin/amd64/certmgr -inst -cont “” -store uMy
Подробнее о программе certmgr можно узнать .
Примечание
. Чаще всего расширение.cer соответствует сертификату, а.p7b – контейнеру, в котором может содержаться один или больше сертификатов (например, их цепочка).