Instalowanie kryptopro na rels. Instalowanie Cryptopro na rels edycja listy zaufanych węzłów
Zainstalowano Rosa Enterprise Linux Server 6.7 W konfiguracji "Standard Rosa Server", dostęp do repozytoriów (dla tego należy użyć klucza, z góry z usługi wsparcia, wykonując polecenie Echo<ключ>»\u003e / Etc / Rosa-Support-Server z prawami administratora).
Stosowalność
Instrukcje opisują instalację CSP 4.0 CryptoPro Cryptopro dla Rosa Enterprise Linux Server 6.7 do pracy z trasą. Przykład jest określony dla 64-bitowej architektury AMD64, dla instalacji 32-bitowej instalacja jest podobna do przypisania pakietów instalacyjnych i folderów.
Uwaga
Kiedy nie wspomina o potrzebie korzystania z praw Superusera, należy rozumieć, że wszystko jest wykonywane z prawami użytkownika, który będzie pracował w przeglądarce Firefoksa. Ten użytkownik musi pozostać niezmieniony przez cały proces opisany.
Uzyskanie pakietów instalacyjnych.
Aby zainstalować SPI Cryptopro CSP 4.0, musisz najpierw zarejestrować się na stronie https://www.cryptopro.ru/ i z strony pobierania https://www.cryptopro.ru/products/csp/downloads Pobierz w wersji 4.0 R2 dla Linuksa W formacie RPM.
Natychmiastowe pobieramy również wtyczkę CryptoPro EDS w wersji 2.0 | Stąd
Następnie przeglądarka powinna być zamknięta.
Instalacja
Aby zainstalować, musisz rozpakować wynikowe archiwum. Aby to zrobić, otwórz terminal (karta terminala znajduje się po lewej stronie w środku panelu startowego aplikacji)
i wykonaj następujące polecenia:
cD ~ / Downloads / TAR -XVF Linux-AMD64.TGZ TAR -XVF CADES_LINUX_AMD64.TAR.GZPowinien być folder z plikami instalacyjnymi Cryptopro, możesz iść do niej w konsoli
cD Linux-AMD64 /Ustawianie podstawowych elementów CryptoPro
su.i wprowadź hasło, po tym, jak wprowadź polecenia do instalacji:
mniam Zainstaluj RedHat-LSB * CCID PANGOX-COMPAT ./install.sh.Instalacja dodatkowych elementów CryptoPro
rPM -Ivh CPROCSP-RDR-PCSC- * LSB-CPROCSP-PKCS11- * CPROCSP-RDR-GUI-GTK- *Warto również zauważyć pakiety wsparcia urządzenia (żetony / czytniki / karty przedłużające). Pakiety te znajdują się w archiwum CSP Cryptopro, zaczynają się ich nazwy cPROCSP-RDR.. Jeśli chcesz użyć określonego urządzenia (na przykład, RUWCEN EDS) należy zainstalować odpowiedni pakiet ( RPM -Ivh CPROCSP-RDR-RTOKEN *). Również w archiwum znajdują się pakiety z kierowcami ( iFD- *) Należy również zainstalować przy użyciu odpowiedniego urządzenia (Rucoceen S -\u003e rpm -vh ifd-rutokens *).
Nie należy instalować pakietu CPROCSP-RDR-GUI, ponieważ w pakiecie z CPROCSP-RDR-GUI-GTK, zakłóca pracę komponentów graficznych.
Instalowanie wtyczki przeglądarki
pŁYTA CD .. RPM -VH LSB-CPROCSP-Devel * Yum Zainstaluj CPROCSP-PKI-2.0.0-AMD64-CADES.RPM Yum Zainstaluj CPROCSP-PKI-2.0.0-AMD64-Plugin.rpmToken łączący
Teraz możesz podłączyć router do portu USB komputera
Uruchomimy w oddzielnym oknie konsoli Program PCSCD z prawami administratora (root). Na tym etapie używany jest opcja startowania debugująca.
Po uruchomieniu nie zamkniesz tej konsoli (można go zobaczyć, ponieważ system komunikuje się z kartą inteligentną).
W przypadku kolejnych poleceń użyjemy konsoli, którą otworzyliśmy pierwszy. Dla nich prawa superużytkownika nie są wymagane (można wybrać w terminalu wyjściowym, aby anulować tryb root).
Narzędzie powinno zobaczyć urządzenie:
Instalowanie certyfikatów.
Edycja listy zaufanych węzłów
Zacznij od, dodaj stronę kryptopro do listy zaufanych. Aby to zrobić, zamknij przeglądarkę, jeśli został otwarty i wprowadź polecenie w konsoli (bez praw administratora):
firefox /etc/opt/cprocsp/trusted_sites.html.Prowadzimy nazwę witryny w ciągu "Dodaj nowy" ciąg, kliknij "+" i "Zapisz".
Zainstaluj certyfikaty Centrum certyfikacji
Aby pracować z certyfikatami, musisz zainstalować certyfikat Centrum certyfikacji (w tym przypadku, certyfikat główny jest zainstalowany bezpośrednio) i certyfikat ze drogą do lokalnej pamięci masowej. Aby to zrobić, musisz pobrać plik zawierający łańcuch certyfikatów z witryny certyfikatów (zwykle plik z rozszerzeniem. Nev..P7B) oraz listę uzgodnionych certyfikatów. Są one dostępne pod następującym linkiem (https://www.cryptopro.ru/certsrv/certcarc.asp). Musisz kliknąć "Ładowanie łańcucha certyfikatu CA" i "Ładowanie ostatniej bazy CRL". W konsoli, używając prawa zwykłego użytkownika, wykonaj następujące polecenia:
/ Opt / CPROCSP / BIN / AMD64 / CERTMGR -Inst -store Uroot -File ~ / Downloads / CertNew.p7b / Opt / CPROCSP / BIN / AMD64 / CERTMGR -Inst -Cl -File ~ / Downloads / Certcrl.clPrzeczytaj więcej o programie CERTMGR, możesz teraz nauczyć się pracować z kontenerami znajdującymi się na tokenet. Jeśli na urządzeniu nie ma żadnych kontenerów, możesz je utworzyć. Aby to zrobić, użyj instrukcji w akapicie. Po zainstalowaniu pakietów (klauzula 5.1. I klauzula 5.2.) Powinno być możliwe, aby zobaczyć pojemniki na urządzeniu. Aby dowiedzieć się o ścieżce do kontenera, a także o fakcie jego dostępności, możesz wprowadzić następujące elementy:
Instalowanie certyfikatu z pojemnika na tokenecie
Teraz ustaw certyfikat na trasie w pamięci masowej (UMY):
/ Opt / CPROCSP / BIN / AMD64 / CERTMGR -INST -CONT "<путь к контейнеру, начинающийся на \\.\>"-Store umy.Jeśli wszystko zostało spełnione bez błędów, możesz przejść do przedmiotu
Uwaga
Najczęściej przedłużenie. The.cer jest zgodny z certyfikatem, AP7B - pojemnik, w którym jeden lub więcej certyfikatów może zawierać (na przykład ich łańcuch)
Tworzenie certyfikatu testowego
Tworzenie kontenera na sztywnym dysku
Jeśli na urządzeniu nie ma żadnych kontenerów, możesz je utworzyć. Idziemy do Cryptopro Certification Center (http://www.crypro.ru/certsrv/certrqma.rup) i wypełnij wymagane pola (należy wypełnić pole "Nazwa:"). Konieczne jest zaznaczenie klucza jako eksportowane. Warto zauważyć, że sprawdzenie usługi sprawdzania wtyczki przeglądarki należy użyć standardu 2001.
Naciśnij przycisk "Prześlij\u003e"
Teraz możesz skopiować pojemnik do tokena, ale najpierw musisz znać jego nazwę. Aby to zrobić, otwórz konsolę i wykonaj następujące polecenie:
/ Opt / CPROCSP / BIN / AMD64 / List_PCSCMusisz także znaleźć pełną nazwę pojemnika uzyskanego podczas generowania certyfikatu:
/ OPT / CPROCSP / BIN / AMD64 / CSPTEST -Eyset -ENUM_Cont -verefyc -fqcn
Kopiowanie pojemnika na token
Następnie użyj tych nazw w następującej poleceniu:
/ Opt / CPROCSP / BIN / AMD64 / CSPTEST -KeyCopy -Contsrc "<полное название контейнера>"-Contdest".<название токена>\<желаемое название контейнера>"
Teraz token zawiera pojemnik. Możesz powrócić do "Instalowanie certyfikatu z kontenera na token (klauzula 7.3)", wstępnie usunąć certyfikat zainstalowany z kontenera dysku twardego (generowany przez Centrum Certyfikacji Test).
Uwaga
Ustaw certyfikat z pojemnika na token, konieczne jest, aby system wiązał certyfikat do urządzenia
Możesz usunąć ten certyfikat, używając następującego polecenia:
/ Opt / CPROCSP / BIN / AMD64 / CERTMGR -DELW razie potrzeby, wybierając numer certyfikatu, który chcesz usunąć.
Weryfikacja podpisu elektronicznego za pomocą wtyczki przeglądarki
Aby zweryfikować pracę wtyczki przeglądarki, można korzystać z następujących zasobów: https://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html jest również warto sprawdzić, czy niepotrzebne certyfikaty Nie są zainstalowane, zasób działa poprawnie tylko wtedy, gdy zainstalowany jest pojedynczy certyfikat (możesz użyć komendy / opt / cprocsp / bin / amd64 / certmgr -del). W przypadku prawidłowego działania strona będzie wyglądać w przybliżeniu w następujący sposób.
Uogólnienie
Ogólnie rzecz biorąc, schemat algorytmu instalacji jest następujący.
Zalecenia dotyczące korzystania z narzędzi wiersza poleceń Cryptopro
Instalacja zmiennych środowiskowych
Dla wygody należy najpierw zrobić, abyś mógł uruchomić programy bez przepisywania ich ścieżki za każdym razem. Można to zrobić na wiele sposobów. W takim przypadku proponuje się zapisać się w następujący sposób:
W konsoli otrzymujemy prawa superużytkownika (typ SU i wprowadź hasło) Wprowadź następujące polecenie (aby określić ścieżkę wszystkim użytkownikom z wyjątkiem Superuser):
echo "Ścieżka eksportu \u003d $ PATH: / Opt / CPROCSP / BIN / AMD64: / Opt / CPROCSP / SBIN / AMD64" \u003e\u003e / etc / profilJeśli musisz zrobić to samo dla superużytkownika, używamy polecenia
echo "Export Path \u003d $ Path: / Opt / CPROCSP / BIN / AMD64: / Opt / CPROCSP / SBIN / AMD64" \u003e\u003e /root/.bash_profileRestart
Aby sprawdzić, możesz podpisać i sprawdzić plik i sprawdzić podpis:
Wykorzystanie pseudonimów.
Dla często używanych poleceń (na przykład, polecenie do wyłączania pojemników) warto używać prostego, szybko rekrutowanego pseudonimów. Do aliasów docelowych, musisz użyć polecenia aliasu. Na przykład przypisz pseudonim dla polecenia
/ OPT / CPROCSP / BIN / AMD64 / CSPTEST -Eyset -ENUM_Cont -verefyc -fqcnW konsoli otrzymujemy prawa superużytkownika (typ SU i wprowadź hasło) Wprowadź następujące polecenie:
echo "alias conts \u003d" / opt / cprocsp / bin / amd64 / cptstest -eyset -enum_cont -verefyc -fqcn "" \u003e\u003e / etc / bashrcPonowne uruchomienie przykładu pracy można zobaczyć poniżej.
Literatura na temat korzystania z narzędzi wiersza poleceń
Aby uzyskać informacje na temat innych programów, lepiej korzystać z polecenia z flagą "--Help" (na przykład Cspostest --help).
Kilka przydatnych zespołów.
Usuwanie kontenerów:
cspest -eyset -deleteyset -container "<полное название контейнера>"Pokaż zaufane strony:
cPConfig -ini "Local Software Crypto Pro \\ Cadesplugin \\ trustedites" -ViewKopiowanie pojemnika:
cspest -keycopy -contsrc "<полное название исходного контейнера>"-Contdest"<полное название контейнера назначения>"Domyślna zmiana kryptoprodera (dostępne typy i nazwy można oglądać przez polecenie CPConfig -DefProv -View_type):
cpconfig -defprov -setdef -provtype<тип провайдера> -Poradka.<название провайдера>Dowiedz się w wersji Cryptopro:
cspest -eyset -Veyscont.Wyświetl informacje o licencji:
cPConfig -Lcese -Wiew.Wprowadzanie licencji (klucz jest napisany bez cytatów):
cpconfig -license -set.<номер лицензии>Lista dostępnych pojemników:
cspest -eyset -ENUM_CONT -VERIFC -FQCNDzisiejszy mały rekord postanowiłem podkreślić temat utworzenia elektronicznego podpisu cyfrowego przez kryptoproder kryptopro. Chodzi o plik BAT, który może być wykorzystany do automatyzacji podpisu dokumentów elektronicznych.
Aby zautomatyzować proces podpisywania dokumentów elektronicznych, będziemy potrzebować:
1) Crypto-Pro CSP;
2) klucz USB (na przykład router), włożony do portu USB;
3) Notatnik (notepad.exe);
4) Certyfikaty zainstalowane dla klucza;
Dotykający blok w całej tej historii jest plik Cspetstexe, który znajduje się w katalogu Cryptopro (domyślnie C: Pliki programów CRYPTO PRO CSP Cspeptest.exe).
Otwórz wiersz polecenia i wykonaj polecenie:
CD C: Pliki programów Crypto Pro CSP i Cspetestes
Zobaczymy wszystkie możliwe parametry tego pliku EXE.
wYBIERZ SPOŚRÓD: -Help Wydrukuj tę pomoc -Nerrororwait Nie czekaj na dowolny klawisz na błędy -Notime nie pokazuj czasu upłynął - wpadł na wejście na klawiaturę po zakończeniu, dzięki czemu możesz sprawdzić pamięć i inne zasobyProvider Call DestroyCsProvider () ostatniego korzystania z CSP w Usługi wyjściowe (Cryptsrv *, HSM itp.) Nie wpływa na --RandinitAby zobaczyć parametry tego lub tej globalnej opcji, wystarczy zadzwonić do tego pliku za pomocą tej opcji, na przykład
Cspest -sfsign.
W ten sposób podpisanie pliku przez CMD Tools Cspepst.exe, musisz zadzwonić do polecenia:
Cspest -Sfsign -Sign -in Dogovor.doc -uut Dogovor.doc.sig -my Ltd. LLC Ivanov Ivan Ivanovich
gdzie:
-Mój - Wskazuje posiadacz klucza;
-w - Wskazuje, który plik musisz podpisać. Jeśli plik nie znajduje się w folderze z Cspeptest, musisz określić pełną ścieżkę;
-na zewnątrz. - Wskazuje nazwę pliku podpisu;
Możesz sprawdzić podpis na stronie internetowej usługi państwowej dla tego linku.
Najprawdopodobniej. Jeśli pobierasz ten plik w serwisie stanu, będzie to błąd. Spowodowane faktem, że konieczne są informacje o centrum certyfikującemu. Nie będzie też dodatkowych dat i czasu podpisu dokumentów. Aby to zrobić, dodaj dwa parametry do naszego zespołu:
Cspest -Sfsign -Sign -in Dogovor.doc -uut Dogovor.doc.sig -my Ltd. LLC Ivanov Ivan Ivanovich -Addsigtime -Add.
Jeśli potrzebujemy podłączonego formatu podpisu, a następnie dodaj inny parametr:
Cspest -Sfsign -Sign -in Dogovor.doc -out Dogovor.doc.Sig -my Ltd. Programy kopalniane Ivanov Ivan Ivanovich -DdsigTime -Dod -Oderwany
Uwaga:
Jeśli podpis dokumentu jest wykonywany z błędem
Nie można otworzyć pliku
Wystąpił błąd podczas uruchamiania programu.
. Signtsf.c: 321: Nie można otworzyć pliku wejściowego.
Numer błędu 0x2 (2).
Nie mógł znaleźć określonego pliku.
Podczas dzwonienia, jak w ostatnim przykładzie i jesteś przekonany o poprawności ścieżek w parametrze -in i -out, spróbuj utworzyć podpis dla pierwszego przykładu, a następnie wykonaj polecenie za pomocą pełnego zestawu parametrów !! !
Dostaliśmy główne polecenie dla podpisu. Teraz trochę upraszcza procedurę. Zrobimy plik batowy, gdy rozpoczynamy, który podpisze plik Secret.txt, znajdujący się w folderze Tyuza jako plik BAT. Otwórzmy notatnik i wpiszmy kod słuchu:
CHCP 1251 SET Curpath \u003d% CD% CD C: Program Pliki Crypto Pro CSP Call CSPTEST -SFSign -Sign -in% Curpath% Secret.txt -Out% Curpath% Secret.txt.Sig -My Programy kopalni Ivanov Ivan Ivanovich -DddsigTime -DDD -Tetached CD% Curpath%
Kliknij "Plik" -\u003e "Zapisz jako" -\u003e Określanie s.bat -\u003e "Zapisz"
Obaj wszyscy. Na przykład:
cHCP 1251. - Określa kodowanie dla CMD. Konieczne jest ważne przetwarzanie rosyjskich liter w Kodeksie;
ustaw Curpath \u003d% CD% - Zapisuje ścieżkę bieżącego katalogu CMD do zmiennej Curpath;
płyta CD - Określa bieżącą ścieżkę CMD;
połączenie - uruchamia program;
