Installation de Cryptopro sur rels. Installation de Cryptopro ON rels Modification d'une liste de nœuds de confiance
Installation Rosa Enterprise Linux Server 6.7 Dans la configuration "Standard Rosa Server", accès aux référentiels (pour cela, vous devez utiliser la clé, à l'avance à partir du service d'assistance, exécutant la commande ECHO<ключ>»\u003e / Etc / rosa-support-id-serveur avec des droits d'administrateur).
Applicabilité
Les instructions décrivent l'installation de CSP 4.0 Cryptopro Cryptopro pour Rosa Enterprise Linux Server 6.7 pour travailler avec l'itinéraire. Un exemple est spécifié pour l'architecture AMD64 64 bits, pour une installation 32 bits, l'installation est similaire à l'attribution des packages d'installation et des dossiers.
Noter
Lorsqu'il ne mentionne pas la nécessité d'utiliser les droits de superutilisateur, il est entendu que tout est effectué avec les droits de l'utilisateur qui travaillera dans le navigateur Firefox. Cet utilisateur doit rester inchangé tout au long du processus décrit.
Obtention d'emballages d'installation
Pour installer SPI Cryptopro csp 4.0 Tout d'abord, vous devez vous inscrire sur le site https://www.cryptopro.ru/ et à partir de la page de téléchargement httTPS://www.cryptopro.ru/products/csp/downloads Télécharger la version 4.0 R2 pour Linux en format RPM
Nous téléchargerons également immédiatement Cryptopro eds Browser Plug-in version 2.0 | D'ici
Après cela, le navigateur doit être fermé.
Installation
Pour installer, vous devez décompresser l'archive résultante. Pour ce faire, ouvrez le terminal (l'onglet Terminal est situé à gauche au milieu du panneau de démarrage de l'application)
et exécuter les commandes suivantes:
cD ~ / Téléchargements / TAR -XVF Linux-AMD64.TGZ TAR -XVF CADES_LINUX_AMD64.TAR.GZIl devrait y avoir un dossier avec des fichiers d'installation Cryptopro, vous pouvez aller chez elle dans la console
cD Linux-AMD64 /Définition des composants de base de Cryptopro
su.et entrez le mot de passe, après ces commandes entrées pour l'installation:
yum Installez Redhat-LSB * CCID PANGOX-COMPAAT ./install.sh.Installation de composants supplémentaires de Cryptopro
rPM -IVH CProCsp-RDR-PCSC- * LSB-CPROCSP-PKCS11- * CPRACSP-RDR-GUI-GTK- *Il convient également de noter les paquets de support de périphérique (jetons / lecteurs / cartes d'extension). Ces paquets sont dans les archives Cryptopro csp, leurs noms commencent par cProC-RDR. Si vous devez utiliser un périphérique spécifique (par exemple, le RUWCEN EDS) doit être installé le package correspondant ( RPM -IVH CPROCSP-RDR-RUTOKEN *). Aussi dans l'archive, il y a des paquets avec des conducteurs ( ifd- *) Ils doivent également être installés en utilisant le périphérique approprié (Rucocen S -\u003e rPM -IVH IFD-RUTOKENS *).
Vous ne devez pas installer le package CProC-RDR-GUI, car dans un paquet avec CProCsp-RDR-GUI-GTK, il perturbe le travail des composants graphiques.
Installation du plug-in du navigateur
cd .. RPM -VH LSB-CProCsp-Devel * Yum Installez CProCsp-PKI-2.0.0-AMD64-CADES.RPM Yum Installez CProCsp-PKI-2.0.0-AMD64-Plugin.RPMConnecter le jeton
Maintenant, vous pouvez connecter le routeur au port USB de l'ordinateur.
Nous courons dans une fenêtre de console séparée du programme PCSCD avec des droits d'administrateur (racine). À ce stade, l'option de démarrage déboginaire est utilisée.
su. Killall pcscd pcscd -adffffffAprès le démarrage, vous ne fermez pas cette console (on peut le voir car le système communique avec une carte à puce).
Pour les commandes ultérieures, nous utiliserons la console que nous avons ouverte le premier. Pour eux, les droits de superutilisateur ne sont pas nécessaires (vous pouvez composer dans le terminal de sortie pour annuler le mode racine).
L'utilitaire doit voir l'appareil:
Installation de certificats
Édition d'une liste de nœuds de confiance
Pour commencer, ajoutez le site cryptopro à la liste de confiance. Pour ce faire, fermez le navigateur s'il a été ouvert et entrez la commande dans la console (sans droits d'administrateur):
firefox /etc/opt/cprocsp/trusted_sites.html.Nous conduisons le nom du site dans la chaîne "Ajouter une nouvelle", cliquez sur "+" et "Enregistrer".
Installer des certificats de centre de certification
Pour travailler avec des certificats, vous devez installer le certificat du centre de certification (dans ce cas, le certificat racine est installé directement) et le certificat avec la route vers le stockage local. Pour ce faire, vous devez télécharger un fichier contenant une chaîne de certificat à partir du site de certificat (généralement avec une extension .cer ou.p7b) et une liste des certificats réconciliés. Ils sont disponibles au lien suivant (https://www.cryptopro.ru/certsrv/cercarc.ca). Vous devez cliquer sur "Chargement de la chaîne de certificats de CA" et "Chargement du dernier CRL de base". Dans la console, en utilisant le droit d'un utilisateur régulier, exécutez les commandes suivantes:
/ Opt / cprrocSp / bin / amd64 / certmgr -Store uroot -File ~ / Téléchargements / CertNew.p7b / Opt / cprrocsp / bin / amd64 / cermgr -Inst -crl -file ~ / Téléchargements / Certcrl.crlEn savoir plus sur le programme CERTMGR, vous pouvez maintenant apprendre à travailler avec des conteneurs situés sur Tokenet. S'il n'y a pas de conteneurs sur l'appareil, vous pouvez les créer. Pour ce faire, utilisez les instructions du paragraphe. Après avoir installé les paquets (clause 5.1. Et Clause 5.2.) Il devrait être possible de voir des conteneurs sur l'appareil. Pour connaître le chemin du conteneur, ainsi que sur le fait de sa disponibilité, vous pouvez entrer ce qui suit:
Installation d'un certificat d'un conteneur sur Tokenet
Maintenant, définissez le certificat avec l'itinéraire en stockage personnel (UMY):
/ Opt / cprrocsp / bin / amd64 / cermgr -inst -cont "<путь к контейнеру, начинающийся на \\.\>"-Store Umy.Si tout était accompli sans erreurs, vous pouvez passer à l'article
Noter
La plus souvent extension. Le procureur est conforme au certificat, AP7B - Conteneur dans lequel un ou plusieurs certificats peuvent contenir (par exemple, leur chaîne)
Création d'un certificat de test
Création d'un conteneur sur un disque rigide
S'il n'y a pas de conteneurs sur l'appareil, vous pouvez les créer. Nous allons au centre de certification de test Cryptopro (UC) Cryptopro (http://www.cryptopro.ru/certsrv/certrtrqma.asp) et remplissez les champs obligatoires (assurez-vous de remplir le champ "Nom:"). Il est nécessaire de marquer la clé aussi exportée. Il convient de noter que pour vérifier le service de vérification du plug-in du navigateur, vous devez utiliser la norme 2001.
Appuyez sur le bouton "Soumettre\u003e"
Maintenant, vous pouvez copier le conteneur vers le jeton, mais vous devez d'abord connaître son nom. Pour ce faire, ouvrez la console et exécutez la commande suivante:
/ Opt / cprrocsp / bin / amd64 / list_pcscVous devez également trouver le nom complet du conteneur obtenu lors de la génération du certificat:
/ Opt / cprrocsp / bin / amd64 / csptest -keyset -enum_cont -verifyc -fqcnCopier conteneur sur jeton
Utilisez ensuite ces noms dans la commande suivante:
/ Opt / cprrocsp / bin / amd64 / cspest -keycopy -contsrc "<полное название контейнера>"-ContDest" \\\\. \\ \\<название токена>\<желаемое название контейнера>"Maintenant, le jeton contient un conteneur. Vous pouvez revenir à "Installation d'un certificat d'un conteneur sur un jeton (clause 7.3)", pré-supprimez le certificat installé à partir du conteneur de disque dur (généré par le centre de certification de test).
Noter
Définissez le certificat du conteneur sur le jeton, il est nécessaire pour que le système lie un certificat à l'appareil.
Vous pouvez supprimer ce certificat en utilisant la commande suivante:
/ Opt / cprrocsp / bin / amd64 / cermgr -delEt, si nécessaire, sélectionnez le numéro de certificat que vous souhaitez supprimer.
Vérification de la signature électronique à l'aide du plug-in du navigateur
Pour vérifier le travail du plug-in du navigateur, vous pouvez utiliser la ressource suivante: https://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html vaut également la peine de vérifier si des certificats inutiles Ne sont pas installés, la ressource fonctionne correctement uniquement si un seul certificat est installé (vous pouvez utiliser la commande / opt / cprroCSP / bin / amd64 / cermgr -del). En cas de bon fonctionnement, la page sera approximativement comme suit.
Généralisation
En général, le schéma d'algorithme d'installation est le suivant.
Recommandations pour utiliser Cryptopro Command Line Utilities
Installation de variables d'environnement
Pour plus de commodité, vous devez d'abord le faire pour que vous puissiez exécuter des programmes sans prescrire le chemin à chaque fois. Cela peut être fait à bien des égards. Dans ce cas, il est proposé de s'inscrire comme suit:
Dans la console, nous obtenons les droits superutilisateurs (type SU et entrez le mot de passe) Entrez la commande suivante (pour spécifier le chemin d'accès à tous les utilisateurs, à l'exception du superutilisateur):
echo "chemin d'exportation \u003d $ PATH: / opt / cprrocsp / bin / amd64: / opt / cprrocsp / sbin / amd64" \u003e\u003e / etc / profilSi vous avez besoin de faire de même pour le superutilisateur, nous utilisons la commande
echo "Piste d'exportation \u003d $ Chemin: / opt / cprrocsp / bin / amd64: / opt / cprrocsp / sbin / amd64" \u003e\u003e /root/.bash_profileRedémarrer
Pour vérifier, vous pouvez signer et vérifier le fichier et vérifier la signature:
Utilisation de pseudonymes
Pour les commandes fréquemment utilisées (par exemple, une commande d'énumérer des conteneurs) vaut la peine d'utiliser des pseudonymes simples et recrutés rapidement. Pour les alias de destination, vous devez utiliser la commande alias. Par exemple, attribuez un pseudonyme de la commande
/ Opt / cprrocsp / bin / amd64 / csptest -keyset -enum_cont -verifyc -fqcnDans la console, nous obtenons les droits de superutilisateur (type SU et entrez le mot de passe) Entrez la commande suivante:
echo "alias crs \u003d" / opt / cprrocsp / bin / amd64 / csptest -keyset -enum_cont -verifyc -fqcn "" \u003e\u003e / etc / bischrcRedémarrez l'exemple du travail peut être vu ci-dessous.
Littérature sur l'utilisation des utilitaires de ligne de commande
Pour plus d'informations sur d'autres programmes, il est préférable d'utiliser la commande avec le drapeau «-Help» (par exemple, CSPTEST --Help).
Quelques équipes utiles
Élimination du conteneur:
cSPTEST -KEST -KEST -DELETEKEKEET -CONTAINER "<полное название контейнера>"Afficher les sites de confiance:
cpconfig -ini "\\ local \\ logiciel \\ crypto pro \\ cadesplugin \\ fiducies" -ViewCopier conteneur:
csptest -keycopy -Contsrc "<полное название исходного контейнера>"-ContDest"<полное название контейнера назначения>"Le changement de cryptoprodeur par défaut (types et noms disponibles peuvent être consultés par la commande cpconfig -defproV -View_Type):
cpconfig -defprov -Setdef -provType<тип провайдера> -Provname.<название провайдера>Découvrez la version cryptopro:
cSPTEST -KEST -CONT -VERYCONT.Voir les informations de la licence:
cpconfig -lCense -View.Entrer une licence (la clé est écrite sans citations):
cpconfig -license -Sette.<номер лицензии>Liste des conteneurs disponibles:
csptest -keyset -enum_cont -verifyc -fqcnLe petit disque d'aujourd'hui J'ai décidé de mettre en évidence le sujet de la création d'une signature numérique électronique par le cryptopro Cryptoproder. Il s'agira du fichier BAT qui peut être utilisé pour automatiser la signature des documents électroniques.
Afin d'automatiser le processus de signature de documents électroniques, nous aurons besoin:
1) crypto-pro csp;
2) une clé USB (par exemple, un routeur), insérée dans le port USB;
3) Notepad (Notepad.exe);
4) certificats installés pour votre clé;
La trottoir sur cette histoire est le fichier CSPTest.exe dans le répertoire Cryptopro (par défaut C: \\ Fichiers de programme \\ crypto pro \\ csp \\ cspest.exe).
Ouvrez l'invite de commande et exécutez la commande:
CD C: \\ Fichiers de programme \\ Crypto Pro \\ csp \\ and csptestes
Nous verrons tous les paramètres possibles de ce fichier EXE.
sélectionnez de: -Help Imprimer cette aide -NOERRORWAIT N'attendez aucune clé d'erreur -NOTIME N'ayez pas l'heure écoulée - Pause Attendez l'entrée du clavier Après avoir terminé, de sorte que vous puissiez vérifier la mémoire et d'autres ressourcesSProvider appelez les services de la Dernière de la sortie. (Cryptsrv *, hsm, etc.) non affecté -randinitAfin de voir les paramètres de cette option ou de cette option globale, il suffit d'appeler ce fichier avec cette option, par exemple
Csptest -sfsign.
Ainsi, pour signer le fichier via CMD Tools CSPTest.exe, vous devez appeler la commande:
Csptest -sfsign -Sign -in dogovor.doc -OUut dogovor.doc.sig -My Ltd. LLC Ivanov Ivan Ivanovich
où:
-Mon - indique le titulaire de la clé;
-dans - Indique quel fichier vous devez signer. Si le fichier n'est pas dans le dossier avec CSPTEST, vous devez spécifier le chemin complet.;
-en dehors. - indique le nom du fichier de signature;
Vous pouvez vérifier la signature sur le site Web du service d'état pour ce lien.
Le plus probable. Si vous téléchargez ce fichier sur le service State, ce sera une erreur. Causé par le fait que des informations sur le centre de certification sont nécessaires. Il n'y aura pas non plus de dates supplémentaires et de temps de la signature des documents. Pour ce faire, ajoutez deux paramètres à notre équipe:
Csptest -sfsign -Sign -in dogovor.doc -OUut dogovor.doc.sig -My Ltd. LLC Ivanov Ivan Ivanovich -Addsigtime -Ajouter.
Si nous avons besoin d'une signature de format connecté, ajoutez un autre paramètre:
Csptest -sfsign -Sign -in dogovor.doc -out Dogovor.doc.sig -My Ltd. Programmes de mines Ivanov Ivan Ivanovich -Addsigtime -Ajouter -Détaché
Noter:
Si la signature du document est exécutée avec une erreur
Impossible d'ouvrir le fichier
Une erreur s'est produite lors de l'exécution du programme.
. \\ Signtsf.c: 321: impossible d'ouvrir le fichier d'entrée.
Numéro d'erreur 0x2 (2).
Impossible de trouver le fichier spécifié.
Lorsque vous appelez, comme dans le dernier exemple et que vous êtes confiant dans l'exactitude des chemins dans le paramètre -In et le paramètre -out, essayez de créer une signature pour le premier exemple, puis exécutez la commande avec un ensemble complet de paramètres !! !
Nous avons eu la commande principale pour la signature. Maintenant, un peu simplifie la procédure. Nous allons effectuer un fichier BAT, lors de la démarrage qui signera le fichier secret.txt, situé dans le dossier Tyuza en tant que fichier BAT. Ouvre un bloc-notes et écris le code d'écoute:
CHCP 1251 SET CUPPATH \u003d% CD% CD C: \\ Fichiers de programme \\ Crypto Pro \\ csp Call CSPTO -SIGN -SIGN -Sign -In% CuPath% \\ Secret.txt -out% CuPath% \\ Secret.txt.sig-Secret Programmes de mines Ivanov Ivan Ivanovich -AddsigTime -Ajouter -Déched CD% Cupath%
Cliquez sur "Fichier" -\u003e "Enregistrer sous" -\u003e Spécificationd s.bat -\u003e "Enregistrer"
À la fois tout le monde. Pour référence:
cHCP 1251. - Spécifie le codage pour la CMD. Il est nécessaire pour le traitement valide des lettres russes dans le code;
sET CUPPATH \u003d% CD% - enregistre le chemin du répertoire CMD actuel dans la variable CuPath;
cD - Spécifie le chemin CMD actuel;
appel - lance le programme;