การติดตั้ง cryptopro บน resls การติดตั้ง cryptopro บนการแก้ไขรายการของโหนดที่เชื่อถือได้
ติดตั้ง Rosa Enterprise Linux Server 6.7 ในการกำหนดค่า "เซิร์ฟเวอร์ ROSA มาตรฐาน" การเข้าถึงที่เก็บ (สำหรับสิ่งนี้คุณต้องใช้คีย์ล่วงหน้าจากบริการสนับสนุนการดำเนินการคำสั่ง echo<ключ>» \u003e\u003e / etc / rosa-support-id-server พร้อมสิทธิ์ผู้ดูแลระบบ)
การบังคับใช้
คำแนะนำอธิบายการติดตั้ง CSP 4.0 Cryptopro Cryptopro สำหรับ Rosa Enterprise Linux Server 6.7 เพื่อทำงานกับเส้นทาง ตัวอย่างจะถูกระบุสำหรับสถาปัตยกรรม AMD64 64 บิตสำหรับการติดตั้งแบบ 32 บิตการติดตั้งจะคล้ายกับการระบุที่มาของแพ็คเกจการติดตั้งและโฟลเดอร์
บันทึก
เมื่อไม่ได้กล่าวถึงความจำเป็นในการใช้สิทธิ์ของ Superuser เป็นที่เข้าใจกันว่าทุกอย่างดำเนินการด้วยสิทธิของผู้ใช้ที่จะทำงานในเบราว์เซอร์ Firefox ผู้ใช้รายนี้จะต้องไม่เปลี่ยนแปลงตลอดกระบวนการที่อธิบายไว้
การได้รับแพ็คเกจการติดตั้ง
ในการติดตั้ง SPI Cryptopro CSP 4.0 ก่อนอื่นคุณต้องลงทะเบียนบนเว็บไซต์ https://www.cryptopro.ru/ และจากหน้าดาวน์โหลด https://www.cryptopro.ru/products/csp/downloads ดาวน์โหลดเวอร์ชัน 4.0 R2 สำหรับ Linux ในรูปแบบ RPM
นอกจากนี้เรายังดาวน์โหลด Cryptopro EDS Browser Plug-in เวอร์ชั่น 2.0 | จากที่นี่
หลังจากนั้นเบราว์เซอร์ควรจะปิด
การติดตั้ง
ในการติดตั้งคุณต้องแกะคลังเก็บผลลัพธ์ที่ได้ เมื่อต้องการทำเช่นนี้ให้เปิดเทอร์มินัล (แท็บเทอร์มินัลตั้งอยู่ทางซ้ายกลางของแผงเริ่มต้นแอปพลิเคชัน)
และดำเนินการคำสั่งต่อไปนี้:
ซีดี ~ / ดาวน์โหลด / tar -xvf linux-amd64.tgz tar -xvf cades_linux_amd64.tar.gzควรมีโฟลเดอร์ที่มีไฟล์ติดตั้ง Cryptopro คุณสามารถไปที่เธอในคอนโซล
ซีดี Linux-AMD64 /การตั้งค่าคอมโพเนนต์พื้นฐานของ Cryptopro
ซูและป้อนรหัสผ่านหลังจากป้อนคำสั่งสำหรับการติดตั้ง:
yum ติดตั้ง redhat-lsb * ccid pangox-compat ./install.shการติดตั้งส่วนประกอบเพิ่มเติมของ cryptopro
rPM -IVH CPROCSP-RDR-PCSC- * LSB-CPROCSP-PKCS11- * CProCSP-RDR-GUI-GTK- *นอกจากนี้ยังเป็นที่น่าสังเกตว่าอุปกรณ์สนับสนุนอุปกรณ์ (โทเค็น / บัตรอ่าน / นามสกุล) แพ็คเกจเหล่านี้อยู่ในคลังเก็บ Cryptopro CSP ชื่อของพวกเขาเริ่มต้นด้วย cprocsp-rdr. หากคุณต้องการใช้อุปกรณ์เฉพาะ (ตัวอย่างเช่น Ruwcen EDS) ควรติดตั้งแพ็คเกจที่เกี่ยวข้อง ( RPM -IVH CPROCSP-RDR-RUTOKEN *. นอกจากนี้ยังอยู่ในที่เก็บถาวรมีแพ็กเก็ตที่มีไดรเวอร์ ( ifd- *) พวกเขาควรติดตั้งโดยใช้อุปกรณ์ที่เหมาะสม (rucocen s -\u003e rPM -IVH IFD-Rutokens *).
คุณไม่ควรติดตั้งแพ็คเกจ CProcsp-RDR-GUI ตั้งแต่ในมัดที่มี CProcsp-RDR-GUI-GTK มันขัดขวางการทำงานของส่วนประกอบกราฟิก
การติดตั้งปลั๊กอินเบราว์เซอร์
ซีดี .. RPM -IVH LSB-CPROCSP-DEVL * YUM ติดตั้ง CPROCSP-PKI-2.0.0-AMD64-CADES.RPM YUM ติดตั้ง CProCSP-PKI-2.0.0-AMD64-Plugin.RPMเชื่อมต่อโทเค็น
ตอนนี้คุณสามารถเชื่อมต่อเราเตอร์กับพอร์ต USB ของคอมพิวเตอร์
เราทำงานในหน้าต่างคอนโซลแยกต่างหากโปรแกรม PCSCD พร้อมสิทธิ์ผู้ดูแลระบบ (รูท) ในขั้นตอนนี้ใช้ตัวเลือกการเริ่มต้นการดีปุ๋ย
ซู Killall PCSCD PCSCD -ADFFFFFFหลังจากเริ่มต้นแล้วคุณจะไม่ปิดคอนโซลนี้ (สามารถมองเห็นได้ว่าเป็นระบบสื่อสารกับสมาร์ทการ์ด)
สำหรับคำสั่งที่ตามมาเราจะใช้คอนโซลที่เราเปิดครั้งแรก สำหรับพวกเขาไม่จำเป็นต้องมีสิทธิ์ Superuser (คุณสามารถโทรออกในเทอร์มินัลทางออกเพื่อยกเลิกโหมดรูท)
ยูทิลิตี้ควรดูอุปกรณ์:
การติดตั้งใบรับรอง
การแก้ไขรายการโหนดที่เชื่อถือได้
ในการเริ่มต้นด้วยเพิ่มไซต์ Cryptopro ไปยังรายการที่เชื่อถือได้ เมื่อต้องการทำเช่นนี้ให้ปิดเบราว์เซอร์หากเปิดและป้อนคำสั่งในคอนโซล (ไม่มีสิทธิ์ผู้ดูแลระบบ):
firefox /etc/opt/cprocsp/trusted_sites.htmlเราขับชื่อของไซต์ในสตริง "เพิ่มใหม่" ให้คลิก "+" และ "บันทึก"
ติดตั้งใบรับรองศูนย์รับรอง
ในการทำงานกับใบรับรองคุณต้องติดตั้งใบรับรองของศูนย์รับรอง (ในกรณีนี้ใบรับรองรูทถูกติดตั้งโดยตรง) และใบรับรองที่มีเส้นทางไปยังที่เก็บข้อมูลในเครื่อง เมื่อต้องการทำเช่นนี้คุณต้องดาวน์โหลดไฟล์ที่มีห่วงโซ่ใบรับรองจากไซต์ใบรับรอง (โดยปกติจะมีไฟล์ที่มีส่วนขยาย. cer or.p7b) และรายการของใบรับรองที่กระทบยอด มีอยู่ที่ลิงค์ต่อไปนี้ (https://www.cryptopro.ru/certsrv/certcarc.asp) คุณต้องคลิก "โหลดโซ่ใบรับรอง CA" และ "การโหลดฐานสุดท้าย CRL" ในคอนโซลโดยใช้สิทธิ์ของผู้ใช้ปกติให้ดำเนินการคำสั่งต่อไปนี้:
/ opt / cprocsp / bin / amd64 / certmgr -inst -store uroot -file ~ / ดาวน์โหลด / certnew.p7b / opt / cprocsp / bin / amd64 / certmgr -inst -crl -file ~ / downloads / certcrl.crlอ่านเพิ่มเติมเกี่ยวกับโปรแกรม CertMgr คุณสามารถเรียนรู้การทำงานกับตู้คอนเทนเนอร์ที่ตั้งอยู่บน Tokenet หากไม่มีตู้คอนเทนเนอร์บนอุปกรณ์คุณสามารถสร้างได้ ในการทำเช่นนี้ใช้คำแนะนำในย่อหน้า หลังจากติดตั้งแพ็คเก็ต (ข้อ 5.1 และข้อ 5.2) มันควรจะเป็นไปได้ที่จะเห็นภาชนะบรรจุบนอุปกรณ์ ในการค้นหาเส้นทางไปยังคอนเทนเนอร์รวมถึงเกี่ยวกับความพร้อมของความพร้อมใช้งานคุณสามารถป้อนต่อไปนี้:
การติดตั้งใบรับรองจากคอนเทนเนอร์บน Tokenet
ตอนนี้ตั้งค่าใบรับรองพร้อมเส้นทางในที่เก็บข้อมูลส่วนบุคคล (UMY):
/ opt / cprocsp / bin / amd64 / certmgr -inst -cont "<путь к контейнеру, начинающийся на \\.\>"-Store Umyหากทุกอย่างสำเร็จโดยไม่มีข้อผิดพลาดคุณสามารถย้ายไปที่รายการ
บันทึก
ส่วนขยายส่วนใหญ่มักจะสอดคล้องกับใบรับรอง AP7B - คอนเทนเนอร์ที่มีใบรับรองหนึ่งใบหรือมากกว่านั้นอาจมี (ตัวอย่างเช่นโซ่ของพวกเขา)
การสร้างใบรับรองการทดสอบ
การสร้างคอนเทนเนอร์บนดิสก์ที่แข็ง
หากไม่มีตู้คอนเทนเนอร์บนอุปกรณ์คุณสามารถสร้างได้ เราไปที่ศูนย์รับรองการทดสอบ (UC) Cryptopro (http://www.cryptopro.ru/certsrv/erstrqma.asp) และกรอกฟิลด์ที่จำเป็น (ให้แน่ใจว่าได้กรอกข้อมูลในฟิลด์ "ชื่อ:") จำเป็นต้องทำเครื่องหมายกุญแจตามที่ส่งออก เป็นที่น่าสังเกตว่าเพื่อตรวจสอบบริการตรวจสอบปลั๊กอินเบราว์เซอร์คุณต้องใช้มาตรฐาน 2001
กดปุ่ม "ส่ง\u003e"
ตอนนี้คุณสามารถคัดลอกคอนเทนเนอร์ไปยังโทเค็น แต่ก่อนอื่นคุณต้องรู้ชื่อ เมื่อต้องการทำเช่นนี้ให้เปิดคอนโซลและดำเนินการคำสั่งต่อไปนี้:
/ opt / cprocsp / bin / amd64 / list_pcscคุณต้องค้นหาชื่อเต็มของคอนเทนเนอร์ที่ได้รับในระหว่างการสร้างใบรับรอง:
/ opt / cprocsp / bin / amd64 / csptest -keyset -enum_cont -verifyc -fqcnการคัดลอกคอนเทนเนอร์บนโทเค็น
จากนั้นใช้ชื่อเหล่านี้ในคำสั่งต่อไปนี้:
/ opt / cprocsp / bin / amd64 / csptest-kkeycopy -contsrc "<полное название контейнера>"-Contdest" \\\\. \\<название токена>\<желаемое название контейнера>"ตอนนี้โทเค็นมีภาชนะบรรจุ คุณสามารถกลับไปที่ "การติดตั้งใบรับรองจากคอนเทนเนอร์บนโทเค็น (ข้อ 7.3)", ลบใบรับรองที่ติดตั้งจากคอนเทนเนอร์ฮาร์ดดิสก์ (สร้างขึ้นโดยศูนย์ทดสอบการทดสอบ)
บันทึก
ตั้งค่าใบรับรองจากคอนเทนเนอร์บนโทเค็นมันเป็นสิ่งจำเป็นเพื่อให้ระบบผูกใบรับรองไปยังอุปกรณ์
คุณสามารถลบใบรับรองนี้ได้โดยใช้คำสั่งต่อไปนี้:
/ opt / cprocsp / bin / amd64 / certmgr -delและหากจำเป็นให้เลือกหมายเลขใบรับรองที่คุณต้องการลบ
การตรวจสอบลายเซ็นอิเล็กทรอนิกส์โดยใช้ปลั๊กอินเบราว์เซอร์
ในการตรวจสอบการทำงานของปลั๊กอินเบราว์เซอร์คุณสามารถใช้ทรัพยากรต่อไปนี้: https://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html ยังคุ้มค่าที่จะตรวจสอบหากใบรับรองที่ไม่จำเป็น ไม่ได้ติดตั้งทรัพยากรทำงานได้อย่างถูกต้องเฉพาะในกรณีที่ติดตั้งใบรับรองเดียว (คุณสามารถใช้คำสั่ง / opt / cprocsp / bin / amd64 / certmgr -del) ในกรณีของการทำงานที่เหมาะสมหน้าจะมีลักษณะประมาณดังต่อไปนี้
ลักษณะทั่วไป
โดยทั่วไปโครงการอัลกอริทึมการติดตั้งมีดังนี้
คำแนะนำสำหรับการใช้ยูทิลิตี้บรรทัดคำสั่ง cryptopro
การติดตั้งตัวแปรสภาพแวดล้อม
เพื่อความสะดวกคุณควรทำเพื่อให้คุณสามารถเรียกใช้โปรแกรมโดยไม่ต้องกำหนดพา ธ ให้กับพวกเขาทุกครั้ง สิ่งนี้สามารถทำได้หลายวิธี ในกรณีนี้มีการเสนอให้ลงทะเบียนดังนี้:
ในคอนโซลเราได้รับสิทธิ์ Superuser (พิมพ์ SU และป้อนรหัสผ่าน) ป้อนคำสั่งต่อไปนี้ (เพื่อระบุพา ธ ไปยังผู้ใช้ทั้งหมดยกเว้น Superuser):
echo "พา ธ การส่งออก \u003d $ path: / opt / cprocsp / bin / amd64: / opt / cprocsp / sbin / amd64" \u003e\u003e / etc / profileหากคุณต้องการทำเช่นเดียวกันสำหรับ Superuser เราใช้คำสั่ง
echo "พา ธ การส่งออก \u003d $ path: / opt / cprocsp / bin / amd64: / opt / cprocsp / sbin / amd64" \u003e\u003e / รูต/.bash_profileการรีบูต
วิธีตรวจสอบคุณสามารถลงชื่อและตรวจสอบไฟล์และตรวจสอบลายเซ็น:
การใช้นามแฝง
สำหรับคำสั่งที่ใช้บ่อย (ตัวอย่างเช่นคำสั่งในการระบุภาชนะบรรจุ) มีค่าโดยใช้นามแฝงที่ได้รับการคัดเลือกอย่างรวดเร็วอย่างรวดเร็ว ไปยังนามแฝงปลายทางคุณต้องใช้คำสั่ง alias ตัวอย่างเช่นกำหนดนามแฝงสำหรับคำสั่ง
/ opt / cprocsp / bin / amd64 / csptest -keyset -enum_cont -verifyc -fqcnในคอนโซลเราได้รับสิทธิ์ Superuser (พิมพ์ su และป้อนรหัสผ่าน) ป้อนคำสั่งต่อไปนี้:
echo "นามแฝงต่อ \u003d" / opt / cprocsp / bin / amd64 / csptest -keyset -enum_cont -verifyc -fqcn "" \u003e\u003e / etc / bashrcรีบูตตัวอย่างการทำงานสามารถดูได้ด้านล่าง
วรรณกรรมเกี่ยวกับการใช้งานของยูทิลิตี้บรรทัดคำสั่ง
สำหรับข้อมูลเกี่ยวกับโปรแกรมอื่น ๆ มันจะดีกว่าที่จะใช้คำสั่งด้วยการตั้งค่าสถานะ "--Help" (ตัวอย่างเช่น CSptest - Help)
บางทีมที่มีประโยชน์
การกำจัดภาชนะ:
csptest -keyset -deletekeyset -container "<полное название контейнера>"แสดงเว็บไซต์ที่เชื่อถือได้:
cpconfig -ini "\\ local \\ software \\ crypto pro \\ cadesplugin \\ trustedsites" - ดูการคัดลอกคอนเทนเนอร์:
csptest -kycopy -contsrc "<полное название исходного контейнера>"-Contdest"<полное название контейнера назначения>"การเปลี่ยนแปลง cryptoproder เริ่มต้น (ประเภทและชื่อที่มีอยู่สามารถดูได้โดย cpconfig -defprov-view_type คำสั่ง):
cPCONFIG -DEFPROV -SETDEF -PROVTYPE<тип провайдера> -ProvName<название провайдера>ค้นหาเวอร์ชั่น Cryptopro:
csptest -keyset -VerifyContดูข้อมูลใบอนุญาต:
cpconfig -lcense -viewการป้อนใบอนุญาต (คีย์เขียนโดยไม่มีเครื่องหมายคำพูด):
cPConfig -License -Set<номер лицензии>รายการคอนเทนเนอร์ที่มีอยู่:
csptest -keyset -enum_cont -verifyc -fqcnบันทึกขนาดเล็กของวันนี้ฉันตัดสินใจที่จะเน้นหัวข้อการสร้างลายเซ็นดิจิทัลอิเล็กทรอนิกส์โดย Cryptopro Cryptoproder มันจะเกี่ยวกับไฟล์ค้างคาวที่สามารถใช้เพื่อทำให้ลายเซ็นของเอกสารอิเล็กทรอนิกส์โดยอัตโนมัติ
เพื่อที่จะทำให้กระบวนการลงชื่อในเอกสารอิเล็กทรอนิกส์โดยอัตโนมัติเราจะต้อง:
1) Crypto-Pro CSP;
2) คีย์ USB (ตัวอย่างเช่นเราเตอร์) ใส่ลงในพอร์ต USB;
3) Notepad (Notepad.exe);
4) ใบรับรองที่ติดตั้งสำหรับกุญแจของคุณ;
บล็อกสะดุดตลอดเรื่องราวนี้คือไฟล์ csptest.exe ที่อยู่ในไดเรกทอรี cryptopro (ค่าเริ่มต้น C: \\ Program Files \\ Crypto Pro \\ CSP \\ CSptest.exe).
เปิดพรอมต์คำสั่งและดำเนินการคำสั่ง:
CD C: \\ Program Files \\ Crypto Pro \\ CSP \\ และ CSptestes
เราจะเห็นพารามิเตอร์ที่เป็นไปได้ทั้งหมดของไฟล์ exe นี้
เลือกจาก: -Help พิมพ์นี้ช่วย -noerrorwait ไม่ต้องรอคีย์ใด ๆ ในข้อผิดพลาด - เสียงไม่แสดงเวลาที่ผ่านไป - ลงรอการป้อนคีย์บอร์ดหลังจากเสร็จสิ้นเพื่อให้คุณสามารถตรวจสอบหน่วยความจำและทรัพยากรอื่น ๆ การเรียก DestroyCSProvider () ของ CSP ที่ใช้ล่าสุดที่ Exit Services (cryptsrv *, hsm, ฯลฯ ) ไม่ได้รับผลกระทบ -randinitเพื่อที่จะเห็นพารามิเตอร์ของตัวเลือกนี้หรือสากลนั้นก็เพียงพอที่จะเรียกไฟล์นี้ด้วยตัวเลือกนี้
csptest -sfsign
ดังนั้นในการลงชื่อในไฟล์ผ่านเครื่องมือ cmd csptest.exe คุณต้องโทรไปที่คำสั่ง:
csptest -sfsign -sign -in dogovor.doc -ouut dogovor.doc.sig -my Ltd. LTC Ivanov Ivan Ivanovich
ที่ไหน:
- ฉัน - หมายถึงผู้ถือกุญแจ;
-ใน - บ่งชี้ว่าไฟล์ใดที่คุณต้องการลงชื่อ หากไฟล์ไม่อยู่ในโฟลเดอร์ที่มี CSptest คุณต้องระบุเส้นทางแบบเต็ม;
-ออก. - ระบุชื่อของไฟล์ลายเซ็น;
คุณสามารถตรวจสอบลายเซ็นบนเว็บไซต์ของบริการของรัฐสำหรับลิงค์นี้
ส่วนใหญ่อาจ. หากคุณดาวน์โหลดไฟล์นี้ในบริการของรัฐมันจะเป็นข้อผิดพลาด เกิดจากความจริงที่ว่าข้อมูลเกี่ยวกับศูนย์รับรองเป็นสิ่งที่จำเป็น นอกจากนี้ยังไม่มีวันที่พิเศษและเวลาของลายเซ็นของเอกสาร เมื่อต้องการทำเช่นนี้เพิ่มพารามิเตอร์สองตัวให้กับทีมงานของเรา:
csptest -sfsign -sign -in dogovor.doc -ouut dogovor.doc.sig -my Ltd. LTC Ivanov Ivan Ivanovich -addsigtime -add
หากเราต้องการลายเซ็นรูปแบบที่เชื่อมต่อแล้วเพิ่มพารามิเตอร์อื่น:
csptest -sfsign -Sign - Dogovor.doc-Out Dogovor.doc.sig -my Ltd. โปรแกรมของฉัน Ivanov Ivan Ivanovich -addsigtime -add -detached
บันทึก:
หากลายเซ็นของเอกสารถูกเรียกใช้งานด้วยข้อผิดพลาด
ไม่สามารถเปิดไฟล์
เกิดข้อผิดพลาดในการรันโปรแกรม
. \\ signtsf.c: 321: ไม่สามารถเปิดไฟล์อินพุตได้
หมายเลขข้อผิดพลาด 0x2 (2)
ไม่พบไฟล์ที่ระบุ
เมื่อเรียกเช่นเดียวกับในตัวอย่างสุดท้ายและคุณมั่นใจในความถูกต้องของเส้นทางในพารามิเตอร์ - ในและ - นอกลองสร้างลายเซ็นสำหรับตัวอย่างแรกแล้วเรียกใช้คำสั่งด้วยพารามิเตอร์เต็มชุด !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !
เราได้รับคำสั่งหลักสำหรับลายเซ็น ตอนนี้ทำให้ขั้นตอนง่ายขึ้นเล็กน้อย เราจะสร้างไฟล์ค้างคาวเมื่อเริ่มต้นที่จะเซ็นชื่อไฟล์ Secret.txt ซึ่งอยู่ในโฟลเดอร์ Tyuza เป็นไฟล์ค้างคาว ลองเปิดสมุดบันทึกและเขียนรหัสการฟัง:
CHCP 1251 SET Curpath \u003d% CD% CD% CD C: \\ Program Files \\ Crypto Pro \\ CSP โทร CSptest -sfsign -Sign - ใน% Curpath% \\ Secret.txt -out% Curpath% \\ Secret.txt.sig -my โปรแกรมเหมือง Ivanov Ivan Ivanovich -Addsigtime -add -detached CD% Curpath%
คลิก "ไฟล์" -\u003e "บันทึกเป็น" -\u003e การระบุ S.bat -\u003e "บันทึก"
ทั้งทุกคน สำหรับการอ้างอิง:
cHCP 1251 - ระบุการเข้ารหัสสำหรับ cmd เป็นสิ่งจำเป็นสำหรับการประมวลผลที่ถูกต้องของตัวอักษรรัสเซียในรหัส
set Curpath \u003d% CD% - บันทึกเส้นทางของไดเร็กทอรี cmd ปัจจุบันลงในตัวแปร curpath;
ซีดี - ระบุพา ธ CMD ปัจจุบัน
โทร - เปิดตัวโปรแกรม