Installation de Cryptopro sur rels. Installation de Cryptopro ON rels Modification d'une liste de nœuds de confiance

Installation Rosa Enterprise Linux Server 6.7 Dans la configuration "Standard Rosa Server", accès aux référentiels (pour cela, vous devez utiliser la clé, à l'avance à partir du service d'assistance, exécutant la commande ECHO<ключ>»\u003e / Etc / rosa-support-id-serveur avec des droits d'administrateur).

Applicabilité

Les instructions décrivent l'installation de CSP 4.0 Cryptopro Cryptopro pour Rosa Enterprise Linux Server 6.7 pour travailler avec l'itinéraire. Un exemple est spécifié pour l'architecture AMD64 64 bits, pour une installation 32 bits, l'installation est similaire à l'attribution des packages d'installation et des dossiers.

Noter
Lorsqu'il ne mentionne pas la nécessité d'utiliser les droits de superutilisateur, il est entendu que tout est effectué avec les droits de l'utilisateur qui travaillera dans le navigateur Firefox. Cet utilisateur doit rester inchangé tout au long du processus décrit.

Obtention d'emballages d'installation

Pour installer SPI Cryptopro csp 4.0 Tout d'abord, vous devez vous inscrire sur le site https://www.cryptopro.ru/ et à partir de la page de téléchargement httTPS://www.cryptopro.ru/products/csp/downloads Télécharger la version 4.0 R2 pour Linux en format RPM

Nous téléchargerons également immédiatement Cryptopro eds Browser Plug-in version 2.0 | D'ici

Après cela, le navigateur doit être fermé.

Installation

Pour installer, vous devez décompresser l'archive résultante. Pour ce faire, ouvrez le terminal (l'onglet Terminal est situé à gauche au milieu du panneau de démarrage de l'application)

et exécuter les commandes suivantes:

cD ~ / Téléchargements / TAR -XVF Linux-AMD64.TGZ TAR -XVF CADES_LINUX_AMD64.TAR.GZ

Il devrait y avoir un dossier avec des fichiers d'installation Cryptopro, vous pouvez aller chez elle dans la console

cD Linux-AMD64 /

Définition des composants de base de Cryptopro

su.

et entrez le mot de passe, après ces commandes entrées pour l'installation:

yum Installez Redhat-LSB * CCID PANGOX-COMPAAT ./install.sh.

Installation de composants supplémentaires de Cryptopro

rPM -IVH CProCsp-RDR-PCSC- * LSB-CPROCSP-PKCS11- * CPRACSP-RDR-GUI-GTK- *

Il convient également de noter les paquets de support de périphérique (jetons / lecteurs / cartes d'extension). Ces paquets sont dans les archives Cryptopro csp, leurs noms commencent par cProC-RDR. Si vous devez utiliser un périphérique spécifique (par exemple, le RUWCEN EDS) doit être installé le package correspondant ( RPM -IVH CPROCSP-RDR-RUTOKEN *). Aussi dans l'archive, il y a des paquets avec des conducteurs ( ifd- *) Ils doivent également être installés en utilisant le périphérique approprié (Rucocen S -\u003e rPM -IVH IFD-RUTOKENS *).

Vous ne devez pas installer le package CProC-RDR-GUI, car dans un paquet avec CProCsp-RDR-GUI-GTK, il perturbe le travail des composants graphiques.

Installation du plug-in du navigateur

cd .. RPM -VH LSB-CProCsp-Devel * Yum Installez CProCsp-PKI-2.0.0-AMD64-CADES.RPM Yum Installez CProCsp-PKI-2.0.0-AMD64-Plugin.RPM

Connecter le jeton

Maintenant, vous pouvez connecter le routeur au port USB de l'ordinateur.

Nous courons dans une fenêtre de console séparée du programme PCSCD avec des droits d'administrateur (racine). À ce stade, l'option de démarrage déboginaire est utilisée.

su. Killall pcscd pcscd -adffffff

Après le démarrage, vous ne fermez pas cette console (on peut le voir car le système communique avec une carte à puce).

Pour les commandes ultérieures, nous utiliserons la console que nous avons ouverte le premier. Pour eux, les droits de superutilisateur ne sont pas nécessaires (vous pouvez composer dans le terminal de sortie pour annuler le mode racine).

L'utilitaire doit voir l'appareil:

Installation de certificats

Édition d'une liste de nœuds de confiance

Pour commencer, ajoutez le site cryptopro à la liste de confiance. Pour ce faire, fermez le navigateur s'il a été ouvert et entrez la commande dans la console (sans droits d'administrateur):

firefox /etc/opt/cprocsp/trusted_sites.html.

Nous conduisons le nom du site dans la chaîne "Ajouter une nouvelle", cliquez sur "+" et "Enregistrer".

Installer des certificats de centre de certification

Pour travailler avec des certificats, vous devez installer le certificat du centre de certification (dans ce cas, le certificat racine est installé directement) et le certificat avec la route vers le stockage local. Pour ce faire, vous devez télécharger un fichier contenant une chaîne de certificat à partir du site de certificat (généralement avec une extension .cer ou.p7b) et une liste des certificats réconciliés. Ils sont disponibles au lien suivant (https://www.cryptopro.ru/certsrv/cercarc.ca). Vous devez cliquer sur "Chargement de la chaîne de certificats de CA" et "Chargement du dernier CRL de base". Dans la console, en utilisant le droit d'un utilisateur régulier, exécutez les commandes suivantes:

/ Opt / cprrocSp / bin / amd64 / certmgr -Store uroot -File ~ / Téléchargements / CertNew.p7b / Opt / cprrocsp / bin / amd64 / cermgr -Inst -crl -file ~ / Téléchargements / Certcrl.crl

En savoir plus sur le programme CERTMGR, vous pouvez maintenant apprendre à travailler avec des conteneurs situés sur Tokenet. S'il n'y a pas de conteneurs sur l'appareil, vous pouvez les créer. Pour ce faire, utilisez les instructions du paragraphe. Après avoir installé les paquets (clause 5.1. Et Clause 5.2.) Il devrait être possible de voir des conteneurs sur l'appareil. Pour connaître le chemin du conteneur, ainsi que sur le fait de sa disponibilité, vous pouvez entrer ce qui suit:

Installation d'un certificat d'un conteneur sur Tokenet

Maintenant, définissez le certificat avec l'itinéraire en stockage personnel (UMY):

/ Opt / cprrocsp / bin / amd64 / cermgr -inst -cont "<путь к контейнеру, начинающийся на \\.\>"-Store Umy.

Si tout était accompli sans erreurs, vous pouvez passer à l'article

Noter
La plus souvent extension. Le procureur est conforme au certificat, AP7B - Conteneur dans lequel un ou plusieurs certificats peuvent contenir (par exemple, leur chaîne)

Création d'un certificat de test

Création d'un conteneur sur un disque rigide

S'il n'y a pas de conteneurs sur l'appareil, vous pouvez les créer. Nous allons au centre de certification de test Cryptopro (UC) Cryptopro (http://www.cryptopro.ru/certsrv/certrtrqma.asp) et remplissez les champs obligatoires (assurez-vous de remplir le champ "Nom:"). Il est nécessaire de marquer la clé aussi exportée. Il convient de noter que pour vérifier le service de vérification du plug-in du navigateur, vous devez utiliser la norme 2001.

Appuyez sur le bouton "Soumettre\u003e"

Maintenant, vous pouvez copier le conteneur vers le jeton, mais vous devez d'abord connaître son nom. Pour ce faire, ouvrez la console et exécutez la commande suivante:

/ Opt / cprrocsp / bin / amd64 / list_pcsc

Vous devez également trouver le nom complet du conteneur obtenu lors de la génération du certificat:

/ Opt / cprrocsp / bin / amd64 / csptest -keyset -enum_cont -verifyc -fqcn

Copier conteneur sur jeton

Utilisez ensuite ces noms dans la commande suivante:

/ Opt / cprrocsp / bin / amd64 / cspest -keycopy -contsrc "<полное название контейнера>"-ContDest" \\\\. \\ \\<название токена>\<желаемое название контейнера>"

Maintenant, le jeton contient un conteneur. Vous pouvez revenir à "Installation d'un certificat d'un conteneur sur un jeton (clause 7.3)", pré-supprimez le certificat installé à partir du conteneur de disque dur (généré par le centre de certification de test).

Noter
Définissez le certificat du conteneur sur le jeton, il est nécessaire pour que le système lie un certificat à l'appareil.

Vous pouvez supprimer ce certificat en utilisant la commande suivante:

/ Opt / cprrocsp / bin / amd64 / cermgr -del

Et, si nécessaire, sélectionnez le numéro de certificat que vous souhaitez supprimer.

Vérification de la signature électronique à l'aide du plug-in du navigateur

Pour vérifier le travail du plug-in du navigateur, vous pouvez utiliser la ressource suivante: https://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html vaut également la peine de vérifier si des certificats inutiles Ne sont pas installés, la ressource fonctionne correctement uniquement si un seul certificat est installé (vous pouvez utiliser la commande / opt / cprroCSP / bin / amd64 / cermgr -del). En cas de bon fonctionnement, la page sera approximativement comme suit.

Généralisation

En général, le schéma d'algorithme d'installation est le suivant.

Recommandations pour utiliser Cryptopro Command Line Utilities

Installation de variables d'environnement

Pour plus de commodité, vous devez d'abord le faire pour que vous puissiez exécuter des programmes sans prescrire le chemin à chaque fois. Cela peut être fait à bien des égards. Dans ce cas, il est proposé de s'inscrire comme suit:

Dans la console, nous obtenons les droits superutilisateurs (type SU et entrez le mot de passe) Entrez la commande suivante (pour spécifier le chemin d'accès à tous les utilisateurs, à l'exception du superutilisateur):

echo "chemin d'exportation \u003d $ PATH: / opt / cprrocsp / bin / amd64: / opt / cprrocsp / sbin / amd64" \u003e\u003e / etc / profil

Si vous avez besoin de faire de même pour le superutilisateur, nous utilisons la commande

echo "Piste d'exportation \u003d $ Chemin: / opt / cprrocsp / bin / amd64: / opt / cprrocsp / sbin / amd64" \u003e\u003e /root/.bash_profile

Redémarrer

Pour vérifier, vous pouvez signer et vérifier le fichier et vérifier la signature:

Utilisation de pseudonymes

Pour les commandes fréquemment utilisées (par exemple, une commande d'énumérer des conteneurs) vaut la peine d'utiliser des pseudonymes simples et recrutés rapidement. Pour les alias de destination, vous devez utiliser la commande alias. Par exemple, attribuez un pseudonyme de la commande

/ Opt / cprrocsp / bin / amd64 / csptest -keyset -enum_cont -verifyc -fqcn

Dans la console, nous obtenons les droits de superutilisateur (type SU et entrez le mot de passe) Entrez la commande suivante:

echo "alias crs \u003d" / opt / cprrocsp / bin / amd64 / csptest -keyset -enum_cont -verifyc -fqcn "" \u003e\u003e / etc / bischrc

Redémarrez l'exemple du travail peut être vu ci-dessous.

Littérature sur l'utilisation des utilitaires de ligne de commande

Pour plus d'informations sur d'autres programmes, il est préférable d'utiliser la commande avec le drapeau «-Help» (par exemple, CSPTEST --Help).

Quelques équipes utiles

Élimination du conteneur:

cSPTEST -KEST -KEST -DELETEKEKEET -CONTAINER "<полное название контейнера>"

Afficher les sites de confiance:

cpconfig -ini "\\ local \\ logiciel \\ crypto pro \\ cadesplugin \\ fiducies" -View

Copier conteneur:

csptest -keycopy -Contsrc "<полное название исходного контейнера>"-ContDest"<полное название контейнера назначения>"

Le changement de cryptoprodeur par défaut (types et noms disponibles peuvent être consultés par la commande cpconfig -defproV -View_Type):

cpconfig -defprov -Setdef -provType<тип провайдера> -Provname.<название провайдера>

Découvrez la version cryptopro:

cSPTEST -KEST -CONT -VERYCONT.

Voir les informations de la licence:

cpconfig -lCense -View.

Entrer une licence (la clé est écrite sans citations):

cpconfig -license -Sette.<номер лицензии>

Liste des conteneurs disponibles:

csptest -keyset -enum_cont -verifyc -fqcn

Le petit disque d'aujourd'hui J'ai décidé de mettre en évidence le sujet de la création d'une signature numérique électronique par le cryptopro Cryptoproder. Il s'agira du fichier BAT qui peut être utilisé pour automatiser la signature des documents électroniques.

Afin d'automatiser le processus de signature de documents électroniques, nous aurons besoin:
1) crypto-pro csp;
2) une clé USB (par exemple, un routeur), insérée dans le port USB;
3) Notepad (Notepad.exe);
4) certificats installés pour votre clé;

La trottoir sur cette histoire est le fichier CSPTest.exe dans le répertoire Cryptopro (par défaut C: \\ Fichiers de programme \\ crypto pro \\ csp \\ cspest.exe).

Ouvrez l'invite de commande et exécutez la commande:

CD C: \\ Fichiers de programme \\ Crypto Pro \\ csp \\ and csptestes

Nous verrons tous les paramètres possibles de ce fichier EXE.

sélectionnez de: -Help Imprimer cette aide -NOERRORWAIT N'attendez aucune clé d'erreur -NOTIME N'ayez pas l'heure écoulée - Pause Attendez l'entrée du clavier Après avoir terminé, de sorte que vous puissiez vérifier la mémoire et d'autres ressourcesSProvider appelez les services de la Dernière de la sortie. (Cryptsrv *, hsm, etc.) non affecté -randinit Initialiser le système rng avec srand (x) (par défaut: heure) -Showrandinit show SYSTEM Valeur d'initialisation RNG-Mesace Mesure Pile Utilisation sélectionnez de: -Lowenc Bas niveau de cryptage / de décryptage test -sfenc Simplified Niveau SIMPRYPRICTION / TEST DECRÉPTION -CMSLOWSIGN CMS Signature de message Signature de messages de faible niveau -CMSSFSIGN CMS Simplifié Niveau Signature / vérification du test -Lowsign Signature de message Signature de message - Test de signature de message à faible niveau avec Utilisation du cycle "-lowsign -Repeat nn" à la place! -sfsign SIMPLIFIÉ NIVEAU SIGNATION DE MESSAGE / VERIFICATION TEST -IFSEC IPSEC TESTS-FEFPROV Sans manipulations de fournisseur par défaut -TestPack Pack de plusieurs tests - Certificat de point de vue Obtenir / installer une propriété pour une connexion de clé secrète Nom du fournisseur de capteurs de certificats Clé Tests de contexte-CertetText Tests de contexte du fournisseur -ABSORB Absorbe tous les certs des conteneurs avec clé Secret Linking -drvtstst Test de pilote proxy -SignTool SDK SDK SDK SDK -IA Manage IIS -HSM Gérer IIS -HSM Gérer HSM-Client -RPCC sur SSL Client -RPCS RPC sur SSL Server-Server-Oid Info / Set / Get -passwd set / modifier le mot de passe -keyCopy Copy Copyner -keyset Créer (Ouvrir) Keyset -Tlss Start TLS Server -Tlsc Démarrer TLS Client -Tls TSS TESTS -TLS TESTS TESTS -TLS TESTS DE PRF -PRF Tests de hachage-MAKECERT TEST DE CERTIFICATION DE LA CERTIFICATION DE CERTIFICATS -CERTPROPROPRAPER Propriétés -RC Vérifiez PKCS # 10 / Certificat Signature -CMSENCLOW CMS CMS Niveau bas Niveau Cryptage / Cryptage Test -sfse Simplified Niveau Message Message SignéandEnvelopé Test-test Test de stress pour AC Quire / Releasecontext -ep Test d'exportation de clé publique -Enum Paramètres CSP Enumération -CPENCC CP / Crypto Niveau de cryptage (AVAPI32) Tests de cryptage - SetProvParam SetProvParam Tests-Tests de performancePED-Performage Tests de vitesse et paramètre de masque de fonction optimal -TestCont Installation / Désinstallation Test Conteneurs - Installez les informations d'installation CSP, effacement de la version CSP -Version CSP

Afin de voir les paramètres de cette option ou de cette option globale, il suffit d'appeler ce fichier avec cette option, par exemple

Csptest -sfsign. : -Sign signe les données du nom de fichier d'entrée -Verify Vérifiez la signature sur les données spécifiées par l'entrée FileName -Help Imprimer cette aide : -dans Nom de fichier d'entrée à être signé ou vérifié -OUT Sortie PKCS # 7 FileName -My Cert du magasin actuel_user pour traiter les données -My Cert de local_machine Store pour traiter les données -Datached Deal avec Signature détachée - Ajoutez un certificat d'expéditeur à PKCS # 7 -Signature Fichier de signature détaché -alg Algorithme de hachage: SHA1, MD5, MD2, GOST - Détail -ask -ask -ask -asculez par défaut Contexte de CSP à l'aide de My CERT (par défaut: NONE) -Base64 Entrée / sortie avec base64der Conversion Ajout Attribut de la signature -Cades_strict Strict SigningCertificateV2 Génération d'attributs -Cades_disable Désactiver la signature SigningCertificatev2 Generation

Ainsi, pour signer le fichier via CMD Tools CSPTest.exe, vous devez appeler la commande:

Csptest -sfsign -Sign -in dogovor.doc -OUut dogovor.doc.sig -My Ltd. LLC Ivanov Ivan Ivanovich

où:
-Mon - indique le titulaire de la clé;
-dans - Indique quel fichier vous devez signer. Si le fichier n'est pas dans le dossier avec CSPTEST, vous devez spécifier le chemin complet.;
-en dehors. - indique le nom du fichier de signature;

Vous pouvez vérifier la signature sur le site Web du service d'état pour ce lien.

Le plus probable. Si vous téléchargez ce fichier sur le service State, ce sera une erreur. Causé par le fait que des informations sur le centre de certification sont nécessaires. Il n'y aura pas non plus de dates supplémentaires et de temps de la signature des documents. Pour ce faire, ajoutez deux paramètres à notre équipe:

Csptest -sfsign -Sign -in dogovor.doc -OUut dogovor.doc.sig -My Ltd. LLC Ivanov Ivan Ivanovich -Addsigtime -Ajouter.

Si nous avons besoin d'une signature de format connecté, ajoutez un autre paramètre:

Csptest -sfsign -Sign -in dogovor.doc -out Dogovor.doc.sig -My Ltd. Programmes de mines Ivanov Ivan Ivanovich -Addsigtime -Ajouter -Détaché

Noter: Si la signature du document est exécutée avec une erreur
Impossible d'ouvrir le fichier
Une erreur s'est produite lors de l'exécution du programme.
. \\ Signtsf.c: 321: impossible d'ouvrir le fichier d'entrée.
Numéro d'erreur 0x2 (2).
Impossible de trouver le fichier spécifié.
Lorsque vous appelez, comme dans le dernier exemple et que vous êtes confiant dans l'exactitude des chemins dans le paramètre -In et le paramètre -out, essayez de créer une signature pour le premier exemple, puis exécutez la commande avec un ensemble complet de paramètres !! !

Nous avons eu la commande principale pour la signature. Maintenant, un peu simplifie la procédure. Nous allons effectuer un fichier BAT, lors de la démarrage qui signera le fichier secret.txt, situé dans le dossier Tyuza en tant que fichier BAT. Ouvre un bloc-notes et écris le code d'écoute:

CHCP 1251 SET CUPPATH \u003d% CD% CD C: \\ Fichiers de programme \\ Crypto Pro \\ csp Call CSPTO -SIGN -SIGN -Sign -In% CuPath% \\ Secret.txt -out% CuPath% \\ Secret.txt.sig-Secret Programmes de mines Ivanov Ivan Ivanovich -AddsigTime -Ajouter -Déched CD% Cupath%

Cliquez sur "Fichier" -\u003e "Enregistrer sous" -\u003e Spécificationd s.bat -\u003e "Enregistrer"
À la fois tout le monde. Pour référence:
cHCP 1251. - Spécifie le codage pour la CMD. Il est nécessaire pour le traitement valide des lettres russes dans le code;
sET CUPPATH \u003d% CD% - enregistre le chemin du répertoire CMD actuel dans la variable CuPath;
cD - Spécifie le chemin CMD actuel;
appel - lance le programme;