A CRYPTOPRO ON RELS telepítése. A Cryptopro behelyezése a megbízható csomópontok listájának szerkesztése
Telepített Rosa Enterprise Linux Server 6.7 A "Standard Rosa Server" konfigurációban, a tárolókhoz való hozzáférés (ehhez a kulcsot előre kell használni, előre a támogatási szolgáltatástól, végrehajtja az ECHO parancsot<ключ>»\u003e / Etc / Rosa-Support-ID-kiszolgáló rendszergazdai jogokkal).
Alkalmazhatóság
Az utasítások leírják a CSP 4.0 Cryptopro Cryptopro telepítését a Rosa Enterprise Linux Server 6.7-re, hogy működjenek az útvonalon. Példa a 64 bites AMD64 architektúrára, egy 32 bites telepítésre, a telepítés hasonló a telepítési csomagok és mappák hozzáállásához.
jegyzet
Ha nem említi a Superuser jogainak használatának szükségességét, akkor érthető, hogy mindent a Firefox böngészőben dolgozik a felhasználó jogaival. Ez a felhasználónak változatlan marad a leírt folyamat során.
Telepítési csomagok beszerzése
Telepítéséhez SPI Cryptopro CSP 4.0 Először meg kell regisztrálni az oldalon https://www.cryptopro.ru/ és a letöltési oldalról https://www.cryptopro.ru/products/csp/downloads letölthető verzió 4.0 R2 for Linux RPM formátumban
Mi is azonnal letöltjük a Cryptopro EDS böngésző plug-in 2.0 verzióját | Innen
Ezt követően a böngészőt le kell zárni.
Telepítés
A telepítéshez ki kell csomagolnia a kapott archívumot. Ehhez nyissa meg a csatlakozót (a terminál fül az Alkalmazás indítópanelének közepén található bal oldalon található)
és hajtsa végre a következő parancsokat:
cD ~ / Letöltések / tar -xvf linux-amd64.tgz tar -xvf cades_linux_amd64.tar.gzA Cryptopro telepítési fájlokkal rendelkező mappának kell lennie, akkor a konzolba mehetsz
cD Linux-AMD64 /A Cryptopro alapvető összetevőinek beállítása
su.És adja meg a jelszót, majd adja meg a telepítés parancsát:
yum telepítése redhat-lsb * CCID PANGOX-Compat ./install.sh.A Cryptopro további összetevőinek telepítése
rPM -IVH CPROCSP-RDR-PCSC- * LSB-CPROCSP-PKCS11- * CPROCSP-RDR-GUI-GTK- *Érdemes megjegyezni az eszköztámogató csomagokat (tokenek / olvasó / bővítő kártyák). Ezek a csomagok a CSP Cryptopro Archívumban vannak, a nevük kezdődik cPROCSP-RDR. Ha egy adott eszközt kell használnia (például a RUWCEN EDS-t) kell telepíteni a megfelelő csomagot ( RPM -IVH CPROCSP-RDR-RUTSOKEN *). Az archívumban is vannak csomagok illesztőprogramokkal ( iFD- *) A megfelelő eszközzel is telepíteni kell (Rucocen S -\u003e rpm -ivh ifd-rutokens *).
Nem kell telepítenie a CPROCSP-RDR-GUI csomagot, hiszen a CPROCSP-RDR-GUI-GTK-vel való kötegben megzavarja a grafikus komponensek munkáját.
A böngésző plug behelyezése
.. RPM -IVH LSB-CPROCSP-DEDEL * YUM TELEPÍTÉS CPROCSP-PKI-2.0.0-AMD64-CADES.RPM YUM TELEPÍTÉS CPROCSP-PKI-2.0.0-AMD64-pluginCsatlakozó token
Most csatlakoztathatja az útválasztót a számítógép USB portjához
Egy külön konzol ablakban futunk a PCSCD program rendszergazdai jogokkal (gyökér). Ebben a szakaszban a Debuginary Startup opciót használják.
su. Killall pcscd pcscd -AdffffffA kezdet után nem zárja be ezt a konzolt (a rendszer intelligens kártyával kommunikál).
A későbbi parancsok esetében a konzolt használjuk, hogy kinyittuk az elsőt. Számukra a Superuser-jogok nem szükségesek (a kimeneti terminálon tárcsázhat a root mód törléséhez).
A segédprogramnak meg kell néznie az eszközt:
Tanúsítványok telepítése
A megbízható csomópontok listájának szerkesztése
Kezdje, adja hozzá a Cryptopro webhelyet a megbízható listához. Ehhez zárja be a böngészőt, ha megnyílt, és írja be a konzol parancsát (adminisztrátori jogok nélkül):
firefox /etc/oph/cprocsp/trusted_sites.html.A webhely nevét az "Új" karakterláncban vezetjük, kattintson a "+" és a "Mentés" gombra.
Telepítse a tanúsítási központ tanúsítványait
A tanúsítványokkal való munkához telepítenie kell a tanúsítási központ tanúsítványát (ebben az esetben a root tanúsítvány közvetlenül telepítve van) és a tanúsítványt a helyi tárolás útján. Ehhez le kell töltenie a tanúsítványláncot tartalmazó fájlt, amely a tanúsítványtól (általában a kiterjesztésű vagy a kiterjesztésű vagy.p7b-vel), valamint az összeegyeztetett tanúsítványok listáját tartalmazza. Ezek a következő linken érhetők el (https://www.cryptopro.ru/certsrv/certcarc.asp). Be kell, hogy kattintson a „Loading CA tanúsítvány lánc” és „Az eredeti betöltése utolsó bázis CRL”. A konzolban a rendszeres felhasználó jobb oldalán hajtsa végre a következő parancsokat:
/ Opt / cprocsp / bin / amd64 / certmgr -inst-instore uroot -file ~ / Downloads / certnew.p7b / Opt / cprocsp / bin / amd64 / certmgr -inst -crl -file ~ / Downloads / certcrl.crlTovábbi információ a CERTMGR programról, most megtanulhatod a Tokeneten található konténerekkel dolgozni. Ha nincsenek konténerek az eszközön, létrehozhatják őket. Ehhez használja az utasításokat a bekezdésben. A csomagok telepítése után (5.1. Pont és 5.2. pont) Meg kell nézni a készülék tartályát. A tartály elérésének elérése, valamint a rendelkezésre állás tényéről, a következőkbe léphet:
Tanúsítvány telepítése egy tartályról a tokenetre
Most állítsa be a tanúsítványt az útvonalon a személyes tárolás (Umy):
/ Opt / cprrocsp / bin / amd64 / certmgr -inst -cont "<путь к контейнеру, начинающийся на \\.\>- - Gyorsan.Ha minden hibás lett volna, akkor az elemre költözhet
jegyzet
Leggyakrabban meghosszabbítás. The.cer megfelel a tanúsítványnak, az AP7B-tartálynak, amelyben egy vagy több tanúsítvány tartalmazhat (például a láncukat)
Vizsgálati tanúsítvány létrehozása
Tartály létrehozása merev lemezen
Ha nincsenek konténerek az eszközön, létrehozhatják őket. Elmegyünk a Test igazoló központba (UC) Cryptopro (http://www.cryptopro.ru/certsrv/cerTRQMA.ASP), és töltse ki a szükséges mezőket (feltétlenül töltse ki a "Név:" mezőt). A kulcsot az exportáláshoz kell jelölni. Érdemes megjegyezni, hogy a böngésző plug-in ellenőrzési szolgáltatásainak ellenőrzéséhez a 2001 szabványt kell használnia.
Nyomja meg a "Küldés\u003e" gombot
Most átmásolhatja a tartályt a tokenbe, de először ismernie kell a nevét. Ehhez nyissa meg a konzolt és hajtsa végre a következő parancsot:
/ Opt / cprocsp / bin / amd64 / lista_pcscMeg kell találnia a tanúsítvány létrehozása során kapott tartály teljes nevét is:
/ Opt / cprrocsp / bin / amd64 / csptest -keyset -Enum_cont -verifyc -fqcnA konténer másolása a tokenen
Ezután használja ezeket a neveket a következő parancsban:
/ Opt / cprrocsp / bin / amd64 / csptest -keycopy -contsrc "<полное название контейнера>"-Contdest" \\ t<название токена>\<желаемое название контейнера>"Most a token tartalmaz egy tartályt. Visszatérhet a "tanúsítvány telepítéséhez egy tartályból egy tokenre (7.3. Pont)", a merevlemez-tartályból telepített tanúsítvány előzetes törlése (a Test igazoló központ által generálva).
jegyzet
Állítsa be a tanúsítványt a tartályról a tokenre, annak érdekében, hogy a rendszer egy tanúsítványt köthessen az eszközre
Ezt a tanúsítványt a következő parancs segítségével törölheti:
/ Opt / cprocsp / bin / amd64 / certmgr -delÉs ha szükséges, válassza ki a törölni kívánt tanúsítványszámot.
Az elektronikus aláírás ellenőrzése a böngésző plug-in használatával
A böngésző bővítményének munkájának ellenőrzéséhez a következő erőforrást használhatja: https://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html is érdemes ellenőrizni, hogy szükségtelen tanúsítványok legyenek nincs telepítve, az erőforrás csak akkor működik megfelelően, ha egyetlen tanúsítványt telepítenek (használhatja a / opt / cprrocsp / bin / amd64 / certmgr -del parancsot). A megfelelő működés esetén az oldal megközelíti a következőket.
Általánosítás
Általában a telepítési algoritmusrendszer a következő.
Ajánlások a Cryptopro parancssori segédprogramok használatához
A környezeti változók telepítése
A kényelem érdekében először meg kell tennie, hogy futtathasson programokat anélkül, hogy minden alkalommal megírná az útvonalat. Ez sokféleképpen történhet. Ebben az esetben javasoljuk, hogy a következőképpen regisztráljon:
A konzolban megkapjuk a Superuser jogokat (SU típus, és írja be a jelszót) Adja meg a következő parancsot (hogy megadja az összes felhasználó elérését a Superuser kivételével):
echo "Export Path \u003d $ Path: / opt / CProCSP / BIN / AMD64: / opt / CPROCSP / SBIN / AMD64" \u003e\u003e / etc / profilHa ugyanezt kell tenned a superuser számára, használjuk a parancsot
echo "Export Path \u003d $ Path: / opt / CProCSP / BIN / AMD64: / opt / CProCSP / SBIN / AMD64" \u003e\u003e /root/.bash_profileÚjraindít
Ellenőrizze, hogy aláírhatja és ellenőrizze a fájlt, és ellenőrizze az aláírást:
Pszeudonimák használata
A gyakran használt parancsok (például a tartályok felsorolására szolgáló parancs) érdemes egyszerű, gyorsan felvett pszeudonimokat használni. A rendeltetési álnévekhez az Alias \u200b\u200bparancsot kell használnia. Például hozzárendeljen egy pszeudonimot a parancs számára
/ Opt / cprrocsp / bin / amd64 / csptest -keyset -Enum_cont -verifyc -fqcnA konzolban megkapjuk a Superuser jogokat (SU típus, és írja be a jelszót) Adja meg a következő parancsot:
echo "alias conts \u003d" / opt / cprrocsp / bin / amd64 / csptest -keyset -ineum_cont -verifyc -fqcn "" \u003e\u003e / etc / bashrcIndítsa újra a munka példáját az alábbiakban látható.
Irodalom a parancssori segédprogramok használatával kapcsolatban
Más programokra vonatkozó információkért jobb, ha a parancsot használja a "--help" zászlóval (például a CSPTEST -HELP).
Néhány hasznos csapat
Konténer eltávolítása:
cstest -keyset -deleteKeyset -container "<полное название контейнера>"Megbízható webhelyek megjelenítése:
cpconfig -ini "\\ local \\ Software \\ Crypto Pro \\ Cadesplugin \\ TrustedSites" -ViewMásolás konténer:
cstest -keycopy -contsrc "<полное название исходного контейнера>"-Contdest"<полное название контейнера назначения>"Az alapértelmezett kriptoproder változás (rendelkezésre álló típusok és nevek megtekinthetők a CPCONFIG -DEFPROV -VIEW_TYPE parancs):
cpconfig -defprov -sretdef -provtype<тип провайдера> -Provname.<название провайдера>Ismerje meg a Cryptopro verziót:
cSPTEST -KeySet -verifycont.Licenc információk megtekintése:
cpconfig -lcense -view.Licenc beírása (kulcsa írott idézőjelek nélkül):
cpconfig -license -set.<номер лицензии>Lista Elérhető konténerek:
cstest -keyset -ineum_cont -verifyc -fqcnA mai kis rekordot úgy döntöttem, hogy kiemelik a Cryptopro CryptOproder elektronikus digitális aláírásának létrehozásának témáját. Ez lesz az elektronikus dokumentumok aláírásának automatizálására szolgáló BAT fájlról.
Az elektronikus dokumentumok aláírásának folyamatának automatizálása érdekében szükségünk lesz:
1) Crypto-Pro CSP;
2) USB kulcs (például egy útválasztó), behelyezve az USB portba;
3) notepad (notepad.exe);
4) A kulcshoz telepített tanúsítványok;
A stumbling blokk ezen a történetben a CSPTEST.EXE fájl, amely a Cryptopro könyvtárban van (alapértelmezett C: Programfájlok \\ crypto pro \\ csp \\ csptest.exe).
Nyissa meg a parancsot, és hajtsa végre a parancsot:
CD C: Programfájlok \\ Crypto Pro \\ CSP \\ és CSPTESTES
Az EXE fájl összes lehetséges paraméterét fogjuk látni.
vÁLASSZON: -Segítség Nyomtatás Súgó -Noerrorwait ne várja meg semmilyen gombot a Hiba -Notime ne jelenjen meg Eltelt idő -pause Várjon Billentyűzet bemenet befejeződése után, így lehet be- memória és egyéb ResourcesProvider Hívás DestroycSprovider () az utoljára használt CSP AT EXIT SZOLGÁLTATÁS (Cryptsrv *, hsm stb.) Nem befolyásolta -RandinitAnnak érdekében, hogy lássanak ezt a paramétereit, vagy hogy a globális opció, elég ahhoz, hogy ezt a fájlt használjon ezzel az opcióval, például
CSPTEST -SFSIGN.
Így, hogy aláírja a fájlt CMD Tools CSPTEST.EXE segítségével, meg kell hívnia a parancsot:
CSPTEST -SFSIGN -SIGN -IN DOGOVOR.DOC -OUT DOGOVOR.DOC.SIG -MY LTD. LLC Ivanov Ivanovich Ivanovich
hol:
-Az én. - jelzi a kulcs tulajdonosát;
-ban ben - jelzi, hogy melyik fájlt kell aláírnia. Ha a fájl nem szerepel a CSPTEST mappában, akkor meg kell adnia a teljes útvonalat;
-ki. - jelzi az aláírási fájl nevét;
Ellenőrizheti az aláírás az állami szolgáltatás honlapján erre a hivatkozásra.
Legnagyobb valószínűséggel. Ha letölti ezt a fájlt az állami szolgáltatáson, hiba lesz. Az igazoló központra vonatkozó információ szükséges. A dokumentumok aláírásának extra dátuma és időpontja sem lesz. Ehhez adjunk hozzá két paramétert csapatunknak:
CSPTEST -SFSIGN -SIGN -IN DOGOVOR.DOC -OUT DOGOVOR.DOC.SIG -MY LTD. LLC Ivanov Ivanovich Ivanovich -Adddsigtime -add.
Ha szükségünk van egy csatlakoztatott formátum aláírásra, akkor adjunk hozzá egy másik paramétert:
CSPTEST -SFSIGN -SIGN -IN dogovor.doc -out dogovor.doc.sig -my Kft. Mine programok Ivanov Ivan Ivanovich -Adddsigtime -add -Különálló
Jegyzet:
Ha a dokumentum aláírása hibával történik
Fájl megnyitása nem lehetséges
Hiba történt a program futtatásában.
. \\ SIGNTSF.C: 321: Nem lehet megnyitni a bemeneti fájlt.
Hiba száma 0x2 (2).
Nem sikerült megtalálni a megadott fájlt.
Amikor az utolsó példában hívja, és magabiztos az útvonalak helyességében a -in és -out paraméterben, próbálja meg létrehozni egy aláírást az első példa, majd hajtsa végre a parancsot teljes paraméterekkel! !
Megvan az aláírás fő parancsnoksága. Most egy kicsit egyszerűsíti az eljárást. Bat fájlt készítünk, amikor elkezdjük, amely aláírja a titkos fájlt, amely a Tyuza mappában található, mint a BAT fájl. Nyissuk meg a jegyzettömböt, és írjunk a hallgatási kódot:
CHCP 1251 SET CUPATH \u003d% CD% CD C: \\ Programfájlok \\ Crypto Pro \\ C hívás CSPTEST -SFSIGN -SIGN -IN -IN% Curpath% \\ secret.txt -Out% curpath% \\ secret.txt.sig -my bánya programok Ivanov Ivan Ivanovich -Addsigtime -add -Detached CD% Curpath%
Kattintson a "Fájl" -\u003e "Mentés" -\u003e S.BAT meghatározása -\u003e "Mentés"
Mindkettő. Referencia:
chCP 1251. - Megadja a CMD kódolását. Szükséges az orosz betűk érvényes feldolgozásához a kódban;
Állítsa be a curpath \u003d% cd% -ot - megmenti az aktuális CMD könyvtár útját a curpath változóba;
cD - meghatározza az aktuális CMD útvonalat;
hívás - elindítja a programot;