Установка и настройка КриптоПро CSP в Porteus Linux

[Blaze]

Установка и настройка КриптоПро CSP в Porteus Linux

КриптоПро — линейка криптографических утилит для генерации ЭЦП, работы с сертификатами, организации структуры PKI. Незаменимый продукт для работы в ЕИС (zakupki.gov.ru), Официальный сайт ГМУ (bus.gov.ru), Электронный бюджет (budget.gov.ru), Портал государственных услуг РФ + Единая система идентификации и аутентификации ЕСИА (esia.gosuslugi.ru), Федеральная налоговая служба (lkfl.nalog.ru) и т.д. Авторизация в личных кабинетах ГИС-ов возможна только по ГОСТ-у. Для этого можно использовать браузер Chromium с поддержкой ГОСТ - скачать для x86_64 (репозиторий на github.com). Начиная с Porteus 5.01 - Chromium-Gost можно скачать через меню пуск - см. категорию Интернет - Загрузка и обновление web-браузеров (Browser Selection and Update Tool)

Chromium-Gost — веб-браузер с открытым исходным кодом на основе Chromium с поддержкой криптографических алгоритмов ГОСТ при установке защищённых соединений через интерфейс msspi
Для работы криптографических алгоритмов ГОСТ у вас должен быть установлен КриптоПро CSP (или другой криптопровайдер поддерживающий работу алгоритмов ГОСТ в интерфейсе SSPI)

Заметка. Все команды описанные в данной статье выполняем под root пользователем.
Для авторизации в качестве root пользователя выполните в терминале:

Code: Select all

su
toor

• Загрузка и обновление КриптоПро CSP для Porteus

  Code: Select all

  # выполнить от root пользователя:
  update csp

• Загрузка и обновление КриптоПро ЭЦП Browser plug-in для Porteus

  Code: Select all

  # выполнить от root пользователя:
  update csp-plugin

• Автоматизированная настройка КриптоПро CSP в Porteus

  Code: Select all

  # выполнить от root пользователя:
  update csp-qset

Готовые xzm модули с КриптоПро CSP и КриптоПро ЭЦП Browser plug-in для архитектур i586 и x86_64

Заметка. Требования к уровню защиты информации КС2 содержат требования к уровню КС1 плюс дополнительные требования. Уровень защиты информации определяется потенциальными возможностями нарушителя, в соответствии с базовой моделью нарушителя, разработанной ФАПСИ. Вкратце - для уровня КС1 предполагается, что имеем случайного внешнего нарушителя который может перехватывать информацию в каналах связи - следовательно достаточные требования - математическая стойкость, корректности реализации и качество ключей. Уровень КС2 - не авторизованный внутренний нарушитель - следовательно достаточные дополнительные требования - разграничение доступа к СКЗИ, ну там есть еще кое-чего. Это влечет за собой наличие в системе сертифицированного фапси/фсб электронного замка, его основная задача - идентификация и аутентификация пользователя, проверка целостности, доверенная загрузка. дополнительно - качественный аппаратный датчик случайных чисел и интерфейс к носителю ключевой информации.

Ручная установка переменных окружения.

Чтобы каждый раз не вводить полный путь к утилитам КриптоПро CSP выполните команды от root пользователя:

Code: Select all

sed -i "s|ENV_SUPATH     PATH=|ENV_SUPATH     PATH="$(/bin/ls -d /opt/cprocsp/{s,}bin/*|tr '\n' ':')"|g" /etc/login.defs
sed -i "s|/usr/games|/usr/games:"$(/bin/ls -d /opt/cprocsp/{s,}bin/*|tr '\n' ':'| rev | cut -d: -f2- | rev)"|g" /etc/profile

Создание необходимых привязок и кэша для необходимых динамических библиотек.

Подключаем библиотеки КриптоПро CSP. Для этого в терминале выполните команды от root пользователя:

Code: Select all

# Для архитектуры x86_64
PATH=$PATH:/opt/cprocsp/bin/amd64:/opt/cprocsp/sbin/amd64
echo '/opt/cprocsp/lib/amd64' >> /etc/ld.so.conf
echo '/sbin/ldconfig' >> /etc/rc.d/rc.local
/sbin/ldconfig

#в новой версии CSP - cp-openssl не требуется
#echo '/opt/cprocsp/cp-openssl/lib/amd64' >> /etc/ld.so.conf

# для GostEngy (обеспечивает поддержку ключей и алгоритмов ГОСТ через вызовы КриптоПро CSP) 
# ссылка https://update.cryptopro.ru/support/nginx-gost/bin/
#echo '/opt/cprocsp/cp-openssl-1.1.0/lib/amd64' >> /etc/ld.so.conf

Code: Select all

# Для архитектуры i586
PATH=$PATH:/opt/cprocsp/bin/ia32:/opt/cprocsp/sbin/ia32
echo '/opt/cprocsp/lib/ia32' >> /etc/ld.so.conf
echo '/sbin/ldconfig' >> /etc/rc.d/rc.local
/sbin/ldconfig

#в новой версии CSP - cp-openssl не требуется
#echo '/opt/cprocsp/cp-openssl/lib/ia32' >> /etc/ld.so.conf

# GostEngy под i586 не нашел

Code: Select all

# От root пользователя в терминале введите лицензию:
cpconfig -license -set здесь-серийный-номер
# если лицензии нет, введите временную лицензию на 3 месяца:
cpconfig -license -set 5050N-40030-01BT7-2MA83-QF3T0

Установка корневых и промежуточных CA сертификатов.

Что бы в ГОСТ браузерах не было ошибки

Code: Select all

NET::ERR_CERT_AUTHORITY_INVALID

в которой будет указано, что ваше сетевое подключение не является защищенным,
обязательно произведите установку корневых и промежуточных CA сертификатов от root пользователя:

Code: Select all

# !!! ВАЖНО !!!
# добавление сертификатов в соответствующие хранилища. путь к файлу определяет, в какое хранилище его следует установить
# чтобы не выводить на экран информацию из устанавливаемых сертификатов, перенаправляем стандарный вывод в /dev/null
certmgr=`ls /opt/cprocsp/bin/*/certmgr 2>/dev/null | awk '{ print $1 }'`
ls -d /var/opt/cprocsp/tmpcerts/root/* | xargs -n 1 $certmgr -install -store mroot -file 1>/dev/null || printf "Failed to install root certificates! \n"
ls -d /var/opt/cprocsp/tmpcerts/ca/* | xargs -n 1 $certmgr -install -store mca -file 1>/dev/null || printf "Failed to install intermediate certificates! \n"

а так же сертификаты Минцифры России:

Code: Select all

# !!! ВАЖНО !!! Все установленные браузеры должны быть запущены хотя бы один раз
# подробнее - https://www.gosuslugi.ru/crt
mkdir -p /usr/local/share/ca-certificates && wget -q --show-progress -P /usr/local/share/ca-certificates https://gu-st.ru/content/lending/{russian_trusted_root_ca_pem,russian_trusted_sub_ca_pem}.crt && update-ca-certificates --fresh
# Chromium
certutil -d sql:/home/guest/.pki/nssdb -A -t "CT,c,c" -n "Russian Trusted Root CA" -i /usr/local/share/ca-certificates/russian_trusted_root_ca_pem.crt
certutil -d sql:/home/guest/.pki/nssdb -A -t "CT,c,c" -n "Russian Trusted Sub CA" -i /usr/local/share/ca-certificates/russian_trusted_sub_ca_pem.crt
# Mozilla Firefox
certutil -d sql:`find /home/guest/.mozilla -name "cert9.db" | sed "s|/cert9.db||"` -A -t "CT,c,c" -n "Russian Trusted Root CA" -i /usr/local/share/ca-certificates/russian_trusted_root_ca_pem.crt
certutil -d sql:`find /home/guest/.mozilla -name "cert9.db" | sed "s|/cert9.db||"` -A -t "CT,c,c" -n "Russian Trusted Sub CA" -i /usr/local/share/ca-certificates/russian_trusted_sub_ca_pem.crt
# если установлен почтовый клиент Mozilla Thunderbird (должен быть запущен хотя бы один раз)
certutil -d sql:`find /home/guest/.thunderbird -name "cert9.db" | sed "s|/cert9.db||"` -A -t "CT,c,c" -n "Russian Trusted Root CA" -i /usr/local/share/ca-certificates/russian_trusted_root_ca_pem.crt
certutil -d sql:`find /home/guest/.thunderbird -name "cert9.db" | sed "s|/cert9.db||"` -A -t "CT,c,c" -n "Russian Trusted Sub CA" -i /usr/local/share/ca-certificates/russian_trusted_sub_ca_pem.crt

Проверка версии и лицензии КриптоПро CSP.

Для проверки версии КриптоПро CSP выполните:

Code: Select all

csptest -keyset -verifycont

Code: Select all

CSP (Type:80) v4.0.9016 KC1 Release Ver:4.0.9914 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 33356179
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x00000000]

Для установки лицензии КриптоПро CSP выполните:

Code: Select all

cpconfig -license -set здесь-серийный-номер

например:

Code: Select all

cpconfig -license -set 50500-10037-ELQF5-H28KM-8E6BA

Проверить срок истечения лицензии можно командой:

Code: Select all

cpconfig -license -view

• временная лицензия:

  Code: Select all

  License validity:
  XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
  Expires: 2 month(s) 10 day(s)
  License type: Client.

• постоянная лицензия:

  Code: Select all

  License validity:
  XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
  license  - permanent
  License type: Client.

Управление ридерами.

Ридеры (readers) — устройства размещения контейнеров (аппаратные токены, каталог для размещения файлов).

Для просмотра доступных ридеров (в зависимости от кодировки):

Code: Select all

csptest -enum -info -type PP_ENUMREADERS | iconv -f utf8

или

Code: Select all

csptest -enum -info -type PP_ENUMREADERS | iconv -f cp1251

Code: Select all

CSP (Type:80) v5.0.10001 KC1 Release Ver:5.0.11319 OS:Linux CPU:AMD64 FastCode:READY:AVX.
CryptAcquireContext succeeded.HCRYPTPROV: 39497555
GetProvParam(...PP_ENUMREADERS...) until it returns false
  Len    Byte  NickName/Name
_____________________________
 0x012a  0x01  FLASH
               FLASH
 0x012a  0x03  Aktiv Rutoken lite 00 00
               Rutoken lite 0
 0x012a  0x00  CLOUD
               Облачный токен
 0x012a  0x00  HDIMAGE
               HDD key storage
 0x012a  0x01  FAT12_0
               Disk #0
Cycle exit when getting data. 5 items found. Level completed without problems.
Total: SYS: 0.010 sec USR: 0.040 sec UTC: 0.050 sec
[ErrorCode: 0x00000000]

Ридер HDIMAGE размещается в /var/opt/cprocsp/keys/имя_пользователя (guest или root)

Заметка. В /var/opt/cprocsp/keys/имя_пользователя хранятся ключевые контейнеры пользователей guest или root
В директории /var/opt/cprocsp/users находится хранилище сертификатов пользователей guest или root

Инициализация ридера HDIMAGE:

Code: Select all

cpconfig -hardware reader -add HDIMAGE store

Code: Select all

Adding new reader:
Nick name: HDIMAGE
Succeeded, code:0x0

Современные аппаратные и программно-аппаратные хранилища ключей, такие как Рутокен ЭЦП или eSmart ГОСТ, поддерживаются через интерфейс PCSC. За реализацию этого интерфейса отвечает служба pcscd, которую необходимо запустить перед началом работы с соответствующими устройствами:

Code: Select all

su
toor
chmod +x /etc/rc.d/rc.pcscd
/etc/rc.d/rc.pcscd start

Заметка. Предварительно скачайте и активируйте модули

Code: Select all

getmod ccid opensc pcsc-lite

затем подключите токен к компьютеру и выполните скрипт:

Code: Select all

#!/bin/bash
    not_solaris=1
    if test ! -z "$not_solaris"; then
        search_dirs=''
        for d in `echo /usr/lib*/pcsc /usr/local/lib*/pcsc /usr/libexec/SmartCardServices/*`; do
            if echo $d|grep -v '*'; then
                search_dirs="$d $search_dirs";
            fi;
        done
        if test ! -z "$search_dirs"; then
            folder=`find -L $search_dirs -name "*ccid.bundle"`
            if test ! -z "$folder"; then
                pList_files=`find -L $folder -name "Info.plist"`
                if test ! -z "$pList_files"; then
                    for pList in $pList_files; do
                        ccid_reg.sh -add $pList 0x072F 0x90CC "ACS ACR 38U-CCID - CP"
                        ccid_reg.sh -add $pList 0x072F 0x1204 "ACS ACR101 ICC Reader - CP"
                        ccid_reg.sh -add $pList 0x072F 0x8201 "ACS APG8201 PINhandy 1 - CP"
                        ccid_reg.sh -add $pList 0x072F 0x8202 "ACS APG8201 USB Reader - CP"
                        ccid_reg.sh -add $pList 0x072F 0x90DB "ACS CryptoMate64 - CP"
                        ccid_reg.sh -add $pList 0x0483 0xACD1 "Ancud Crypton SCR/RNG - CP"
                        ccid_reg.sh -add $pList 0x0A89 0x0025 "Aktiv Rutoken lite - CP"
                        ccid_reg.sh -add $pList 0x0A89 0x0030 "Aktiv Rutoken ECP - CP"
                        ccid_reg.sh -add $pList 0x0A89 0x0080 "Aktiv PINPad Ex - CP"
                        ccid_reg.sh -add $pList 0x0A89 0x0081 "Aktiv PINPad In - CP"
                        ccid_reg.sh -add $pList 0x0A89 0x0060 "Aktiv Co., ProgramPark Rutoken Magistra - CP"
                        ccid_reg.sh -add $pList 0x072f 0x90de "ACS Token - CP"
                        ccid_reg.sh -add $pList 0x24dc 0x0102 "ARDS ZAO JaCarta LT - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x0002 "Infocrypt Token++ - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x0004 "Infocrypt Token++ - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x0006 "Infocrypt Token++ lite - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x0008 "Infocrypt Token++ lite - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x003a "Infocrypt Token++ - CP"
                        ccid_reg.sh -add $pList 0x2022 0x078a "Infocrypt HWDSSL DEVICE - CP"
                        ccid_reg.sh -add $pList 0x2022 0x016c "Infocrypt HWDSSL DEVICE - CP"
                        ccid_reg.sh -add $pList 0x2022 0x0172 "Infocrypt HWDSSL DEVICE - CP"
                        ccid_reg.sh -add $pList 0x2022 0x0226 "Infocrypt HWDSSL DEVICE - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x078a "Infocrypt HWDSSL DEVICE - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x016c "Infocrypt HWDSSL DEVICE - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x0172 "Infocrypt HWDSSL DEVICE - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x0226 "Infocrypt HWDSSL DEVICE - CP"
                        ccid_reg.sh -add $pList 0x2a0c 0x0001 "MultiSoft ltd. SCR2 - CP"
                        ccid_reg.sh -add $pList 0x2a0c 0x0002 "SKZI ANGARA - CP"
                        ccid_reg.sh -add $pList 0x23a0 0x0008 "BIFIT ANGARA - CP"
                        ccid_reg.sh -add $pList 0x1fc9 0x7479 "ISBC ESMART reader - CP"
                        ccid_reg.sh -add $pList 0x2ce4 0x7479 "ESMART Token - CP"
                        ccid_reg.sh -add $pList 0x24DC 0x0101 "Aladdin R.D. JaCarta - CP"
                        ccid_reg.sh -add $pList 0x24DC 0x0402 "Aladdin R.D. JaCarta - CP"
                        ccid_reg.sh -add $pList 0x24DC 0x0406 "Aladdin JaCarta SF GOST - CP"
                        ccid_reg.sh -add $pList 0x24DC 0x0409 "Aladdin JaCarta-2 SF - CP"
                        ccid_reg.sh -add $pList 0x24DC 0x040D "Aladdin JaCarta SF - CP"
                        ccid_reg.sh -add $pList 0x24DC 0x04FF "Aladdin JaCarta SF GOST - CP"
                        ccid_reg.sh -add $pList 0x24DC 0x100F "Aladdin R.D. JaCarta Flash - CP"
                        ccid_reg.sh -add $pList 0x0529 0x0620 "eToken PRO Java 72K OS755 - CP"
                        ccid_reg.sh -add $pList 0x2BB1 0xF8CF "MOPNIEI RUSToken-L1 - CP"
                    done
                fi
            fi
        fi
    fi
cpconfig -hardware reader -add "Aktiv Rutoken ECP 00 00" -name 'Rutoken ECP 0'
cpconfig -hardware reader -add "Aktiv Rutoken ECP 01 00" -name 'Rutoken ECP 1'
cpconfig -hardware reader -add "Aktiv Rutoken lite 00 00" -name 'Rutoken lite 0'
cpconfig -hardware reader -add "Aktiv Rutoken lite 01 00" -name 'Rutoken lite 1'
cpconfig -hardware reader -add "Aktiv Co. Rutoken S 00 00" -name 'Rutoken S 0'
cpconfig -hardware reader -add "Aktiv Co. Rutoken S 01 00" -name 'Rutoken S 1'
cpconfig -hardware reader -add "Aktiv Rutoken Magistra 00 00" -name 'Rutoken Magistra 0'
cpconfig -hardware reader -add "Aktiv Rutoken Magistra 01 00" -name 'Rutoken Magistra 1'

Управление контейнерами.

Создание контейнера. Создадим контейнер с именем test в локальном ридере HDIMAGE.

Code: Select all

csptest -keyset -provtype 75 -newkeyset -cont '\\.\HDIMAGE\test'

При установленном пакете cprocsp-rdr-gui-gtk будет показано графическое окно, где предложат двигать курсором мыши

После показа окна будет предложено указать пароль на контейнер (можно указать пустой, тогда пароль запрашиваться не будет) и снова предложат двигать курсором мыши.
Примечание: Если такой пакет не установлен, будет предложено ввести любые символы с клавиатуры

Code: Select all

CSP (Type:75) v4.0.9016 KC1 Release Ver:4.0.9914 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 15363555
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KC1 CSP
Container name: "test"
Signature key is not available.
Attempting to create a signature key...
CPCSP: Signing with the use of GOST R 34.10-2001 keys is not allowed from January 1st, 2019. We highly recommend to move to the use of GOST R 34.10-2012 keys in advance. Continue with the GOST R 34.10-2001 key generation?
(o) OK, (c) Cancel

соглашаемся - нажимаем клавишу o и Enter
Вводим любые символы с клавиатуры, после чего будет предложено указать пароль на контейнер (можно указать пустой, тогда пароль запрашиваться не будет) и снова вводим любые символы с клавиатуры.

Code: Select all

Press keys...
[..........................................................................................................................]

CryptoPro CSP: Set password on produced container "test".
Password:
Retype password:
a signature key created.
Exchange key is not available.
Attempting to create an exchange key...
Press keys...
[..........................................................................]

an exchange key created.
Keys in container:
  signature key
  exchange key
Extensions:
  OID: 1.2.643.2.2.37.3.9

  OID: 1.2.643.2.2.37.3.10
Total: SYS: 0,040 sec USR: 0,050 sec UTC: 435,140 sec
[ErrorCode: 0x00000000]

В КриптоПро 5 появилась возможность интерактивно выбирать ридер и тип создаваемого контейнера.
Теперь можно создавать неизвлекаемые контейнеры. Для этого необходимо выполнить команду:

Code: Select all

csptest -keyset -provtype 75 -newkeyset -cont  'имя_контейнера'

Откроется окно выбора ридера и способа создания неизвлекаемого контейнера или обычного контейнера.
Для неизвлекаемого контейнера, в GTK-окне следует выбрать "Вид приложения" → "Active token without secure channel".

Для добавления контейнера в носитель токена следует воспользоваться командой:

Code: Select all

csptest -keyset -newkeyset -cont '\\.\Aktiv Rutoken ECP 00 00\TestCont'

Название токена может отличаться. Для идентификации токена воспользуйтесь командой:

Code: Select all

csptest -card -enum -v -v
# или
list_pcsc
# или можно просмотреть доступные ридеры
csptest -enum -info -type PP_ENUMREADERS | iconv -f utf8

Для удаления контейнера:

Code: Select all

csptest -keyset -deletekeyset -cont '\\.\HDIMAGE\test'

Code: Select all

CSP (Type:80) v4.0.9016 KC1 Release Ver:4.0.9914 OS:Linux CPU:AMD64 FastCode:READY:AVX.
Container \\.\HDIMAGE\test deleted.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,010 sec
[ErrorCode: 0x00000000]

или:

Code: Select all

csptestf -passwd -cont '\\.\Aktiv Rutoken ECP 00 00\TestCont' -deletek

Копирование контейнера. Для примера скопируем контейнер из локального хранилища в хранилище Рутокена ЕЦП:

Code: Select all

csptestf -keycopy -contsrc '\\.\HDIMAGE\Контейнер_оригинал' -contdest '\\.\Aktiv Rutoken ECP 00 00\Контейнер_копия'

или

Code: Select all

csptest -keycopy -contsrc '<полное название контейнера>' -contdest '\\.\<название токена>\<желаемое название контейнера>'

Заметка. Полное название контейнера см. с помощью команды

Code: Select all

csptest -keyset -enum_cont -fqcn -verifyc -uniq | iconv -f cp1251

Для просмотра подробной информации о контейнерах воспользуйтесь командой:

Code: Select all

csptestf -keyset -container 'ИМЯ' -info

Для того чтобы проверить работу контейнера, следует выполнить команду:

Code: Select all

csptestf -keyset -container 'ИМЯ' -check

Для просмотра доступных контейнеров используйте команду:

Code: Select all

csptest -keyset -enum_cont -fqcn -verifyc -uniq | iconv -f cp1251

Code: Select all

CSP (Type:80) v4.0.9016 KC1 Release Ver:4.0.9914 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 38387171
\\.\HDIMAGE\test                                |\\.\HDIMAGE\HDIMAGE\\test.000\2EF8
OK.
Total: SYS: 0,010 sec USR: 0,020 sec UTC: 0,060 sec
[ErrorCode: 0x00000000]

Работа с сертификатами.

4 категории сертификатов:

1. личные сертификаты (ставятся в хранилище umy, где u = User, my - имя хранилища) - как правило для них есть закрытый ключ (и они требуют особой установки, чтобы в хранилище появилась ссылка на этот закрытый ключ). В результате с их использованием можно, например, подписать файл.
2. корневые сертификаты - краеугольнй камень безопасности, так как цепочки доверия строятся от них, то их надо добавлять в хранилища осознанно и внимательно (ставятся в uroot, также администратор может поставить их в mroot, где m = Machine, такие сертификаты будут видны в read only в root-хранилищах всех пользователей)
3. промежуточные сертификаты - появляются, когда есть промежуточные УЦ (головной -> промежуточный -> пользовательский). Прямое доверие к ним не требуется (ставятся в uca, также администратор может поставить их в mca). В это же хранилище ставятся CRL-и. Обычно точки получения промежуточных сертификатов и CRL-ей правильно указаны в пользовательских сертификатах, поэтому они автоматом выкачиваются и попадают в хранилище ucache. В общем про них можно ничего особо не знать и ничего не делать.
   Из под учетной записи пользователя guest промежуточные сертификаты устанавливать в uca, из под учетной записи администратора root ставить в mca.
4. сертификаты партнёров по общению, чтобы проверять их подписи и зашифровывать для них сообщения. Ставятся либо в umy (это беспорядок, но популярный), либо в uAddressBook

Заметка. При установке в хранилище m* - все установленное доступно Всем пользователям системы.
При установке в хранилище u* - все установленное доступно только пользователю, от которого производилась установка.

Code: Select all

u - User
m - Machine

Имена хранилищ указаны в формате certmgr, у cryptcp похожий формат: -mroot и -uAddressBook

• Подробная инструкция по утилите сertmgr.
• Руководство по использованию cryptcp

Установка сертификата с токена:

Code: Select all

certmgr -inst -cont '<путь к контейнеру, начинающийся на \\.\>' -store uMy

Например:

Code: Select all

certmgr -inst -cont '\\.\Aktiv Rutoken ECP 00 00\Ivanov' -store uMy

Установка всех личных сертификатов с Рутокена в uMy:

Code: Select all

csptestf -absorb -cert -pattern 'rutoken'

Заметка. В опции -pattern 'rutoken' может быть другим в зависимости от подключенного токена.
В опции -pattern так же можно указать пустые ' ' чтобы установить все сертификаты в uMy. Пример:

Code: Select all

csptestf -absorb -cert -pattern ''

Установка личного сертификата в контейнер ридера HDIMAGE:

Code: Select all

certmgr -inst -file '/путь-до-сертификата/имя-сертификата.cer' -cont '<путь к контейнеру, начинающийся на \\.\>' -store uMy

Пример установки личного сертификата с пин-кодом 12345 по ГОСТ 2012 в контейнер ридера HDIMAGE

Code: Select all

certmgr -inst -provtype 80 -provname "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -cont '<путь к контейнеру, начинающийся на \\.\>' -pin 12345 -file '/путь-до-сертификата/имя-сертификата.cer'

Заметка. Готовый контейнер и сам сертификат можно скопировать в /var/opt/cprocsp/keys/guest/
Например, контейнер akmwxhej.000 и сертификат mycert.cer
Далее смотрим путь до контейнера командой:

Code: Select all

csptest -keyset -enum_cont -fqcn -verifyc -uniq
CSP (Type:80) v4.0.9016 KC1 Release Ver:4.0.9914 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 30625251
\\.\HDIMAGE\test                                |\\.\HDIMAGE\HDIMAGE\\test.000\2EF8
\\.\HDIMAGE\��������� ��������� ���������� 1223103047|\\.\HDIMAGE\HDIMAGE\\akmwxhej.000\BC56
OK.
Total: SYS: 0,060 sec USR: 0,000 sec UTC: 0,110 sec
[ErrorCode: 0x00000000]

отсюда получаем путь до контейнера \\.\HDIMAGE\HDIMAGE\\akmwxhej.000\BC56
Обратите внимание, что путь к контейнеру обязательно должен быть заключен в апострофы 'здесь имя контейнера'

Code: Select all

certmgr -inst -file '/var/opt/cprocsp/keys/root/mycert.cer' -cont '\\.\HDIMAGE\HDIMAGE\\akmwxhej.000\BC56' -store uMy
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

Install:
=============================================================================
1-------
Issuer              : UnstructuredName=Server CA, E=***, S=*** г. Москва, INN=***, OGRN=***, STREET="улица ***, дом *", L=Москва, C=RU, O=***, CN=***
Subject             : INN=***, SNILS=***, E=***, C=RU, S=Липецкая область, L=Данков, O=***, G=***, SN=***, CN=***
Serial              : 0x1E15CE
SHA1 Hash           : b964506a573d54c435487c4e0a30739e91cbeff6
SubjKeyID           : eaec8ccf004c24be115af56d8b798e771e2ac386
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 26/12/2016  07:59:15 UTC
Not valid after     : 26/03/2018  07:59:15 UTC
PrivateKey Link     : No                  
CDP                 : http://***.crl
CDP                 : http://***.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.2
                      1.2.643.3.61.502710.1.6.3.4.17.1
                      1.2.643.3.61.502710.1.6.3.4.17.2
                      1.2.643.3.251.5.18.1
                      1.2.643.3.251.5.18.2
=============================================================================

[ErrorCode: 0x00000000]

По тому же принципу можно установить личный сертификат сертификат в контейнер ридера FLASH (USB накопитель)
В данном примере контейнер akmwxhej.000 и сертификат mysert.cer предварительно были скопированы на USB флешку:

Code: Select all

root@porteus:~# csptest -keyset -enum_cont -fqcn -verifyc -uniq
CSP (Type:80) v4.0.9016 KC1 Release Ver:4.0.9914 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 30026131
\\.\FLASH\��������� ��������� ���������� 1223103047|\\.\FLASH\FLASH\\akmwxhej.000\BC56
\\.\HDIMAGE\��������� ��������� ���������� 1223103047|\\.\HDIMAGE\HDIMAGE\\akmwxhej.000\BC56
OK.
Total: SYS: 0,010 sec USR: 0,000 sec UTC: 0,040 sec
[ErrorCode: 0x00000000]
root@porteus:~# certmgr -inst -file /mnt/sdc1/mysert.cer -cont '\\.\FLASH\FLASH\\akmwxhej.000\BC56' -store uMy
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

Install:
=============================================================================
1-------
Issuer              : UnstructuredName=Server CA, E=***, S=** г. Москва, INN=***, OGRN=***, STREET="улица ***, дом *", L=Москва, C=RU, O=***, CN=***
Subject             : INN=***, SNILS=***, E=***, C=RU, S=Липецкая область, L=Данков, O=***, G=***, SN=***, CN=***
Serial              : 0x1E15CE
SHA1 Hash           : b964506a573d54c435487c4e0a30739e91cbeff6
SubjKeyID           : eaec8ccf004c24be115af56d8b798e771e2ac386
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 26/12/2016  07:59:15 UTC
Not valid after     : 26/03/2018  07:59:15 UTC
PrivateKey Link     : No                  
CDP                 : http://***.crl
CDP                 : http://***.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.2
                      1.2.643.3.61.502710.1.6.3.4.17.1
                      1.2.643.3.61.502710.1.6.3.4.17.2
                      1.2.643.3.251.5.18.1
                      1.2.643.3.251.5.18.2
=============================================================================

[ErrorCode: 0x00000000]
root@porteus:~#

Установка корневого сертификата удостоверяющего центра для учетной записи guest в uRoot (для учетной записи root установку нужно произвести в mRoot):

Code: Select all

certmgr -inst -cert -file '/путь-до-сертификата/имя-сертификата.cer' -store uRoot

Code: Select all

certmgr -inst -cert -file '/var/opt/cprocsp/keys/root/root.p7b' -store uRoot
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

Install:
=============================================================================
1-------
Issuer              : E="", C=RU, L="", O=***, OU=***, CN=Уполномоченный Удостоверяющий Центр
Subject             : E="", C=RU, L="", O=***, OU=***, CN=Уполномоченный Удостоверяющий Центр
Serial              : 0xF3F10B273D04D91C55320BB3EE1BF1812EEA15B12B8E8C164928F2B12343A2F2
SHA1 Hash           : b37d08f9e109cbaabdee24b277c192d4721a62a1
SubjKeyID           : a230e5e593654e1655e376cb4a2c4556117f544eb19fd72b86cc332aac4e0dfe
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 25/04/2008  00:00:00 UTC
Not valid after     : 25/04/2018  23:59:00 UTC
PrivateKey Link     : No                  
=============================================================================

[ErrorCode: 0x00000000]

Установка списка отозванных сертификатов (CRL) для учетной записи guest в uca (для учетной записи root установку нужно произвести в mca):

Code: Select all

certmgr -inst -crl -file '/путь-до-файла/имя-файла.crl' -store uca

Code: Select all

certmgr -inst -crl -file '/var/opt/cprocsp/keys/root/crlcert.crl' -store uca
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

Install: 
=============================================================================
1-------
Issuer    : E=***, OGRN=***, INN=***, C=RU, S=** Свердловская область, L=Екатеринбург, O=***, CN=***
ThisUpdate: 11/09/2017  18:55:01 UTC
NextUpdate: 12/09/2017  22:35:00 UTC
AuthKeyID : 39dca2cf6872cfc8de9e48401ae0ffc5f947cec8
=============================================================================

[ErrorCode: 0x00000000]

Установка цепочки промежуточных сертификатов для учетной записи guest в uca (для учетной записи root установку нужно произвести в mca):

Code: Select all

certmgr -inst -cert -file '/путь-до-файла/имя-файла.p7b' -store uca

Для просмотра установленных сертификатов воспользуйтесь командой:

Code: Select all

certmgr -list

Code: Select all

Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer              : UnstructuredName=Server CA, E=***, S=*** г. Москва, INN=***, OGRN=***, STREET="улица ***, дом *", L=Москва, C=RU, O=***, CN=***
Subject             : INN=***, SNILS=***, E=***, C=RU, S=Липецкая область, L=Данков, O=***, G=***а, SN=***, CN=***
Serial              : 0x1E15CE
SHA1 Hash           : b964506a573d54c435487c4e0a30739e91cbeff6
SubjKeyID           : eaec8ccf004c24be115af56d8b798e771e2ac386
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 26/12/2016  07:59:15 UTC
Not valid after     : 26/03/2018  07:59:15 UTC
PrivateKey Link     : Yes                 
Container           : HDIMAGE\\akmwxhej.000\BC56
Provider Name       : Crypto-Pro GOST R 34.10-2001 KC1 CSP
Provider Info       : ProvType: 75, KeySpec: 1, Flags: 0x0
CDP                 : http://***.crl
CDP                 : http://***.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.2
                      1.2.643.3.61.502710.1.6.3.4.17.1
                      1.2.643.3.61.502710.1.6.3.4.17.2
                      1.2.643.3.251.5.18.1
                      1.2.643.3.251.5.18.2
=============================================================================

[ErrorCode: 0x00000000]

PrivateKey Link : Yes говорит о правильной установке личного сертификата

Просмотр корневых сертификатов:

Code: Select all

# для учетной записи guest
certmgr -list -store uRoot
# для учетной записи root
certmgr -list -store mRoot

Просмотр содержимого сертификата:

Code: Select all

certmgr -list -file '/путь-до-сертификата/имя-сертификата.cer'

Code: Select all

certmgr -list -file /var/opt/cprocsp/keys/root/mycert.cer
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer              : UnstructuredName=Server CA, E=***, S=*** г. Москва, INN=***, OGRN=***, STREET="улица ***, дом *", L=Москва, C=RU, O=***, CN=***
Subject             : INN=***, SNILS=***, E=***, C=RU, S=Липецкая область, L=Данков, O=***, G=***, SN=***, CN=***
Serial              : 0x1E15CE
SHA1 Hash           : b964506a573d54c435487c4e0a30739e91cbeff6
SubjKeyID           : eaec8ccf004c24be115af56d8b798e771e2ac386
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 26/12/2016  07:59:15 UTC
Not valid after     : 26/03/2018  07:59:15 UTC
PrivateKey Link     : No                  
CDP                 : http://***.crl
CDP                 : http://***.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.2
                      1.2.643.3.61.502710.1.6.3.4.17.1
                      1.2.643.3.61.502710.1.6.3.4.17.2
                      1.2.643.3.251.5.18.1
                      1.2.643.3.251.5.18.2
=============================================================================

[ErrorCode: 0x00000000]

Удаление сертификатов. Удалить личный сертификат под номером 1 можно командой:

Code: Select all

certmgr -delete

после чего ввести цифру 1 для подтверждения.

Удалить корневой сертификат под номером 1

Code: Select all

# для учетной записи guest
certmgr -delete 1 -store uRoot
# для учетной записи root
certmgr -delete 1 -store mRoot

Удалить все сертификаты:

Code: Select all

# удалить все сертификаты
certmgr -delete -all
# удалить все сертификаты из хранилища uMy
certmgr -delete -store uMy
# удалить все сертификаты из хранилища uRoot для учетной записи guest
certmgr -delete -store uRoot
# удалить все сертификаты из хранилища mRoot для учетной записи root
certmgr -delete -store mRoot

Экспорт сертификатов на другую машину
Закрытые ключи к сертификатам находятся тут: /var/opt/cprocsp/keys.
Поэтому эти ключи переносятся просто: создаем архив и переносим на нужную машину в тот же каталог.

Экспорт сертификата:

Code: Select all

certmgr -export -dest cert.cer

Переносим эти файлы на машину и смотрим, какие контейнеры есть:

Code: Select all

csptest -keyset -enum_cont -verifycontext -fqcn

И как обычно, связываем сертификат и закрытый ключ:

Code: Select all

certmgr -inst -file 1.cer -cont '\\.\HDIMAGE\container.name'

Если закрытый ключ и сертификат не подходят друг к другу, будет выведена ошибка:

Code: Select all

Can not install certificate
Public keys in certificate and container are not identical

Использование cptools
В версии КриптоПРО 5 появилась графическая утилита для работы с сертификатами - cptools.
Для запуска cptools откройте терминал и введите

Code: Select all

cptools

Так же, с его помощью, можно установить сертификат из токена в хранилище uMy.

Создание запроса и получение сертификата в УЦ.

Для создания запроса потребуется:

• DN (cn=Test User,e=[email protected])
• имя контейнера (в локальном хранилище hdimage: \\.\HDIMAGE\test)
• имя файла запроса (test.req)

Внимание! Для использования проверки подлинности клиента в браузере потребуется также указать, что запрос создается по ГОСТ 2001 и добавляется тип применения подлинности клиента: -provtype 75 -certusage "1.3.6.1.5.5.7.3.4,1.3.6.1.5.5.7.3.2".
С помощью опции -certusage можно указать OID назначение сертификата
Назначение сертификата представляется в сертификате объектным идентификатором, присвоенным этой политике, - OID. Если в сертификате указано несколько политик, то это означает, что сертификат соответствует всем этим политикам списка.

Типы применения:

Code: Select all

        OID 	                       Назначение
1.3.6.1.5.5.7.3.1 	        Аутентификация сервера
1.3.6.1.5.5.7.3.2 	        Аутентификация клиента
1.3.6.1.5.5.7.3.3 	        Подписывание кода
1.3.6.1.5.5.7.3.4 	        Защищенная электронная почта
1.3.6.1.5.5.7.3.8 	        Простановка штампов времени
1.3.6.1.5.5.7.3.9               Может использоваться для формирования электронной подписи OCSP-запросов
1.3.6.1.4.1.311.10.5.1          Цифровые права
1.3.6.1.4.1.311.10.3.12 	Подписывание документа

Объектные идентификаторы (OID) определяют отношения, при осуществлении которых электронный документ, подписанный ЭЦП, будет иметь юридическое значение. OID, зарегистрированные в Удостоверяющем центре, включаются состав следующих расширений сертификата ключа подписи: Key Usage (использование ключа), Extended Key Usage (расширенное использование ключа), Application Policy (политики применения сертификата).

Code: Select all

cryptcp -creatrqst -dn "cn=Test User,[email protected]" -provtype 75 -nokeygen -cont '\\.\HDIMAGE\test' -certusage "1.3.6.1.5.5.7.3.4,1.3.6.1.5.5.7.3.2" test.req

Code: Select all

CryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2017.
Утилита командной строки для подписи и шифрования файлов.
Запрос успешно создан и сохранен в файле.
[ReturnCode: 0]

Более подробная информация про опции утилиты cryptcp

Показать содержимое запроса:

Code: Select all

cat test.req

Code: Select all

MIIBLTCB3QIBADAzMRIwEAYDVQQDDAlUZXN0IFVzZXIxHTAbBgkqhkiG9w0BCQEWDmNhQHBvcnRl
dXMub3JnMGMwHAYGKoUDAgITMBIGByqFAwICJAAGByqFAwICHgEDQwAEQNd/qwfL01cTyE//yHhM
t5g1Aus6Aaw+fKq2WF/upVfiKQy6L6/3oE4DxqX/vjzRHUhMNrRhaM5nuexW7HY4kTGgPjA8Bgor
BgEEAYI3AgEOMS4wLDAdBgNVHSUEFjAUBggrBgEFBQcDBAYIKwYBBQUHAwIwCwYDVR0PBAQDAgTw
MAgGBiqFAwICAwNBAA79p94gSE5W0aSh8vP1AMJTAkyACRch0BRMGSYdd0EPgOkn+m5oWsMP0J2h
ZTzB5vs365T1B/ZHAZfGmyLoUPo=

• Откройте в браузере ссылку http://www.cryptopro.ru/certsrv (тестовый удостоверяющий центр КриптоПро).
• Нажмите «Отправить готовый запрос PKCS#10 или PKCS#7 в кодировке Base64».
• Вставьте в поле «Base-64-шифрованный запрос сертификата» содержимое файла test.req и нажмите кнопку «Выдать».
• Сохраните файл по ссылке «Загрузить цепочку сертификатов» (по умолчанию предлагается имя certnew.p7b)

Просмотреть полученный сертификат:

Code: Select all

certmgr -list -file 'certnew.p7b'

Code: Select all

certmgr -list -file '/home/guest/Загрузки/certnew.p7b'
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer              : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Serial              : 0x2B6E3351FD6EB2AD48200203CB5BA141
SHA1 Hash           : 046255290b0eb1cdd1797d9ab8c81f699e3687f3
SubjKeyID           : 15317cb08d1ade66d7159c4952971724b9017a83
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 05/08/2014  13:44:24 UTC
Not valid after     : 05/08/2019  13:54:03 UTC
PrivateKey Link     : No                  
2-------
Issuer              : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : CN=Test User, [email protected]
Serial              : 0x120020641D3C68F7432307428D00000020641D
SHA1 Hash           : 725a6e774f6fc64b8fbdbb90092d3ca71146c3ab
SubjKeyID           : 999c6f16702cee342238e061d96d046647ff9dda
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 13/09/2017  15:53:52 UTC
Not valid after     : 13/12/2017  16:03:52 UTC
PrivateKey Link     : No                  
CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.4
                      1.3.6.1.5.5.7.3.2
=============================================================================

[ErrorCode: 0x00000000]

Установите сертификат удостоверяющего центра:

Code: Select all

certmgr -inst -file 'certnew.p7b' -store uRoot

нажмите 1

Установите сертификат клиента (введите пароль на контейнер \\.\HDIMAGE\test при запросе):

Code: Select all

certmgr -inst -file 'certnew.p7b' -store uMy -cont '\\.\HDIMAGE\test' -inst_to_cont

нажмите 2

Заметка. Для создания запроса на получение сертификата для контейнера '\\.\Aktiv Rutoken ECP 00 00\имя_контейнера' , воспользуемся командой:

Code: Select all

cryptcp -creatrqst -dn "[email protected],C=RU, CN=Last_name First_name, SN=Middle_name" -hashalg 1.2.643.7.1.1.2.2 -nokeygen -both -ku -cont '\\.\Aktiv Rutoken ECP 00 00\имя_контейнера' cert.req

В параметре -dn указываются данные, которые будут хранится в поле Subject сертификата.

В параметре -hashalg указывается алгоритм хэширования. В случае примера использовался OID 1.2.643.7.1.1.2.2 - ГОСТ Р 34.11-12 с длиной 256

-nokeygen - использовать существующие ключи из указанного контейнера;


-both* - создать/использовать оба типа ключей;


-ku* - использовать контейнер пользователя (CURRENT_USER);

Созданный запрос будет сохранен в файле cert.req. Эти данные нужны для получения сертификата в удостоверяющем центре.
Для примера можно воспользоваться тестовым удостоверяющим центром КриптоПро. Нам нужен пункт " Отправить готовый запрос PKCS#10 или PKCS#7 в кодировке Base64 ". На следующей странице в поле «Сохраненный запрос» вставляем содержимое файла cert.req и нажимаем кнопку «Выдать».

После чего следует загрузить сертификат и цепочку сертификатов:


Для установки полученного личного сертификата от тестового УЦ, следует воспользоваться командой:

Code: Select all

certmgr -inst -file имя_полученного_сертификата.cer -cont '\\.\Aktiv Rutoken ECP 00 00\имя_контейнера'

Для записи полученного сертификата в контейнер следует воспользоваться командой:

Code: Select all

csptest -keys -cont '\\.\Aktiv Rutoken ECP 00 00\имя_контейнера' -keyt exchange -impcert имя_полученного_сертификата.cer

Проверка цепочки сертификатов.

Внимание! В кэше сертификатов для выпущенного сертификата должны присутствовать корневые сертификаты удостоверяющих центров. В противном случае он будет недоступен в плагине для браузера!

Сертификаты популярных удостоверяющих центров

Code: Select all

Удостоверяющий Центр 	                                   Источник 	                      Сертификаты
ЗАО «Национальный удостоверяющий центр» 	https://www.nucrf.ru/info/ 	https://www.nucrf.ru/download/nucrf.p7b
Удостоверяющий центр СКБ Контур 	https://ca.kontur.ru/about/certificates (выбрать 2015 год) 	http://cdp.skbkontur.ru/certificates/kontur-root-2015.crt

Для проверки можно скопировать персональный сертификат в файл:

Code: Select all

cryptcp -copycert -dn [email protected] -df personal.cer

Code: Select all

CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN:******
Valid from 13.07.2016 12:03:00 to 13.07.2017 12:04:00

Certificate chain is not checked for this certificate:
RDN:******
Valid from 13.07.2016 12:03:00 to 13.07.2017 12:04:00

The certificate or certificate chain is based on an untrusted root.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?

нажмите C и Enter, чтобы выйти

Запуск с отладкой цепочки:

Code: Select all

CP_PRINT_CHAIN_DETAIL=1 cryptcp -copycert -dn [email protected] -df personal.cer

Code: Select all

...
----------- Error chain -----------
Chain status:IS_UNTRUSTED_ROOT
Revocation reason:unspecified
1. 
 Subject:'[email protected], C=ru, L=:0B5@8=1C@3, O= �$ �!▒ ▒>=BC@�, CN=uc skb kontur (root)'
 Issuer:'[email protected], C=ru, L=:0B5@8=1C@3, O= �$ �!▒ ▒>=BC@�, CN=uc skb kontur (root)'
 Cert status:IS_UNTRUSTED_ROOT
...

То есть нам надо установить сертификат УЦ с CN=uc skb kontur (root):

Code: Select all

certmgr -inst -store uRoot -file kontur-root-2015.crt

После этого:

Code: Select all

cryptcp -copycert -dn [email protected] -df personal.cer

Code: Select all

CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN:******
Valid from 13.07.2016 12:03:00 to 13.07.2017 12:04:00

Certificate chains are checked.
Certificate's been copied.
[ReturnCode: 0]

Всё в порядке и сертификат виден в плагине Cades.

Электронная подпись.
Для электронной подписи файла необходимо указать сертификат и имя подписываемого файла:

Примечание: Проще всего для указания сертификата использовать адрес e-mail.

Code: Select all

cryptcp -sign -dn [email protected] -der zayavlenie.pdf

Code: Select all

CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN: ******, [email protected]
Valid from 13.07.2016 12:03:00 to 13.07.2017 12:04:00

Certificate chains are checked.
Folder './':
zayavlenie.pdf... Signing the data...    
    
Signed message is created.
[ReturnCode: 0]

где

• -dn E=[email protected] — сертификат по e-mail;
• -der — использовать формат DER для файла подписи (по умолчанию используется формат Base64);
• zayavlenie.pdf — имя подписываемого файла.

На выходе появляется файл zayavlenie.pdf.sig, содержащий как сам подписываемый файл, так и электронную подпись.

Для проверки подписи выполните:

Code: Select all

cryptcp -verify zayavlenie.pdf.sig

Code: Select all

CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN: ******, [email protected]
Valid from 13.07.2016 12:03:00 to 13.07.2017 12:04:00

Certificate chains are checked.
Folder './':
zayavlenie.pdf.sig... Signature verifying...     
Signer: ******, [email protected]
 Signature's verified.
[ReturnCode: 0]

Показано, кто подписывал и что подпись проверена.

Для извлечения файла необходимо указать его имя в конце команды проверки подписи

Code: Select all

cryptcp -verify zayavlenie.pdf.sig zayavlenie.pdf

Работа с криптографическими провайдерами.

Для просмотра доступных криптографических провайдеров:

Code: Select all

cpconfig -defprov -view_type

Code: Select all

Listing Available Provider Types:
Provider type	Provider Type Name
_____________	_____________________________________
      75	GOST R 34.10-2001 Signature with Diffie-Hellman Key Exchange
      80	GOST R 34.10-2012 (256) Signature with Diffie-Hellman Key Exchange
      81	GOST R 34.10-2012 (512) Signature with Diffie-Hellman Key Exchange
      16	ECDSA Full and AES
      24	RSA Full and AES
       1	RSA Full (Signature and Key Exchange)

Более детальная информация о криптографическом провайдере 75:

Code: Select all

cpconfig -defprov -view -provtype 75

Code: Select all

Listing Available Providers:
Provider type	Provider Name
_____________	_____________________________________
       75	Crypto-Pro GOST R 34.10-2001 KC1 CSP
       75	Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider

Provider types and provider names have been listed.

Установка криптографического провайдера 75 по умолчанию:

Code: Select all

cpconfig -defprov -setdef -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 KC1 CSP"

Установка криптографического провайдера 80 по умолчанию:

Code: Select all

cpconfig -defprov -setdef -provtype 80 -provname "Crypto-Pro GOST R 34.10-2012 KC1 CSP"

Установка криптографического провайдера 81 по умолчанию:

Code: Select all

cpconfig -defprov -setdef -provtype 81 -provname "Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP"

[Blaze]

Увы, на момент написания этого сообщения, в Porteus мне не удалось заставить работать Aladdin Token JC 0 (eToken)
Update. Работоспособность подтверждена.

Code: Select all

root@porteus:/home/guest# cpconfig -hardware reader -add "AKS ifdh [Main Interface] 00 00"
Adding new reader:
Nick name: AKS ifdh [Main Interface] 00 00
Adding AKS ifdh [Main Interface] 00 00 failed
Connection error.
root@porteus:/home/guest# list_pcsc
AKS ifdh [Main Interface] 00 00
root@porteus:/home/guest#

и, как следствие, подружить его с программным продуктом КриптоПро CSP. В этом есть свои плюсы и минусы.
Плюс в том, что не нужно скачивать устанавливать в танцах с бубнами драйвера для Token-ов и запускать не нужные службы в Porteus.
Минус - необходимо запустить ПК с Windows и скопировать в КриптоПро CSP контейнер закрытого ключа из Token-а, после чего в Internet Explorer экспортировать сертификат в формате PKCS #7 (.p7b)

Итак мы запустили ПК с Windows.

Заходим в Пуск > Панель управления > КриптоПро CSP > Сервиc > Скопировать…



Напротив пункта Имя ключевого контейнера нажимаем кнопку Обзор…



Выбираем ключевой контейнер с Token-а. Нажимаем кнопку ОК и затем кнопку Далее >





Вводим pin-код от Token-а и ставим галочку Запомнить pin-код. Нажимаем кнопку OK.



Вводим имя для создаваемого ключевого контейнера и нажимаем кнопку Готово.



В следующем диалоговом окне выбираем USB флешку, чтобы сохранить туда контейнер закрытого ключа. Нажимаем кнопку OK.



В предложенном диалогом окне оставляем поля с паролем и его подтверждением пустыми и жмем кнопку ОК.



Заходим в Пуск > Панель управления > Свойства браузера (или заходим в Internet Explorer, нажимаем в правом углу по иконке с шестеренкой > Свойства браузера) > Содержание > Сертификаты.



Во вкладке Личные выбираем нужный сертификат и нажимаем кнопку Экспорт… и затем жмем кнопку Далее.





Выбираем Нет, не экспортировать закрытый ключ в пункте Экспортировать закрытый ключ вместе с сертификатом. Нажимаем Далее.



В предложенном диалоговом окне отмечаем:

• Стандарт Cryptographic Message Syntax – сертификаты PKCS #7 (.p7b)
• Включить по возможности все сертификаты в путь сертификации

Нажимаем Далее.



Нажимаем кнопку Обзор… и выбираем место куда Вам лучше сохранить сертификат, например на флешку – там же, где лежит ранее созданный контейнер закрытого ключа. Вводим имя сертификата. Жмем ОК > Далее > Готово.





Открываем нашу USB флешку (накопитель) и проверяем, чтобы на ней был сертификат в формате .p7b и контейнер (в виде папки) закрытого ключа.



В Porteus, согласно моему примеру, копируем с USB флешки (с правами root) tokencer.000 и tokencer.p7b в /var/opt/cprocsp/keys/root/ и выставляем следующие права доступа:

Code: Select all

chmod 700 /var/opt/cprocsp/keys/root/tokencer.000
chmod 700 /var/opt/cprocsp/keys/root/tokencer.p7b
chmod 600 -R /var/opt/cprocsp/keys/root/tokencer.000/*

Проверяем что контейнер доступен

Code: Select all

csptest -keyset -enum_cont -fqcn -verifyc -uniq

Code: Select all

CSP (Type:80) v4.0.9016 KC1 Release Ver:4.0.9914 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 8792467
\\.\HDIMAGE\tokencert                           |\\.\HDIMAGE\HDIMAGE\\tokencer.000\014C
OK.
Total: SYS: 0,000 sec USR: 0,030 sec UTC: 0,070 sec
[ErrorCode: 0x00000000]

Устанавливаем сертификат tokencer.p7b с номером 2 в личные сертификаты контейнера ридера HDIMAGE:

Code: Select all

certmgr -inst -file /var/opt/cprocsp/keys/root/tokencer.p7b -cont '\\.\HDIMAGE\HDIMAGE\\tokencer.000\014C' -store uMy

в предложенном примере нажимаем 2

Code: Select all

Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer              : STREET=Улица Циолковского дом 4, OGRN=1024001434049, INN=004029017981, C=RU, L=Калуга, S=40 Калужская область, [email protected], O=ЗАО Калуга Астрал, CN=ЗАО Калуга Астрал (УЦ 889)
Subject             : STREET=Улица Циолковского дом 4, OGRN=1024001434049, INN=004029017981, C=RU, L=Калуга, S=40 Калужская область, [email protected], O=ЗАО Калуга Астрал, CN=ЗАО Калуга Астрал (УЦ 889)
Serial              : 0x01CFBD251D65204000000B1600000002
SHA1 Hash           : fc9590872af9adf914e3dee94d9d826490c4dee9
SubjKeyID           : 885b0fedb61e5a7e1a336418b806efe8b8dab8e8
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 21/08/2014  09:49:00 UTC
Not valid after     : 21/08/2019  09:49:00 UTC
PrivateKey Link     : No                  
2-------
Issuer              : STREET=Улица Циолковского дом 4, OGRN=1024001434049, INN=004029017981, C=RU, L=Калуга, S=40 Калужская область, [email protected], O=ЗАО Калуга Астрал, CN=ЗАО Калуга Астрал (УЦ 889)
Subject             : CN=***, SN=***, G=***, C=RU, S=48 Липецкая область, L=Данков, STREET=***, INN=***, O=***, T=***, OGRN=***, SNILS=***, E=***
Serial              : 0x01D041F46CB19F30000000000379085D
SHA1 Hash           : 19940f560b13b528e0b19e37afeabfee9f2f055f
SubjKeyID           : f246c7c83f88356f32c1995ee25e40816b0b474a
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 06/02/2015  10:07:00 UTC
Not valid after     : 06/02/2016  10:05:24 UTC
PrivateKey Link     : No                  
OCSP URL            : http://ocsp.keydisk.ru/OCSP8892014/OCSP.srf
CA cert URL         : http://www.dp.keydisk.ru/root/889/astral-889-2014-n.cer
CDP                 : http://www.dp.keydisk.ru/cdp/889/astral-889-2014-n.crl
CDP                 : http://www.dp-tender.keydisk.ru/cdp/889/astral-889-2014-n.crl
CDP                 : http://10.21.17.66/images/stories/file/astral-889-2014-n.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.2
                      1.3.6.1.5.5.7.3.4
                      1.2.643.3.93.15
                      1.2.643.5.3.48.1
=============================================================================
Please choose index
2
Install:
=============================================================================
1-------
Issuer              : STREET=Улица Циолковского дом 4, OGRN=1024001434049, INN=004029017981, C=RU, L=Калуга, S=40 Калужская область, [email protected], O=ЗАО Калуга Астрал, CN=ЗАО Калуга Астрал (УЦ 889)
Subject             : CN=***, SN=***, G=***, C=RU, S=48 Липецкая область, L=Данков, STREET=***, INN=***, O=***, T=***, OGRN=***, SNILS=***, E=***
Serial              : 0x01D041F46CB19F30000000000379085D
SHA1 Hash           : 19940f560b13b528e0b19e37afeabfee9f2f055f
SubjKeyID           : f246c7c83f88356f32c1995ee25e40816b0b474a
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 06/02/2015  10:07:00 UTC
Not valid after     : 06/02/2016  10:05:24 UTC
PrivateKey Link     : No                  
OCSP URL            : http://ocsp.keydisk.ru/OCSP8892014/OCSP.srf
CA cert URL         : http://www.dp.keydisk.ru/root/889/astral-889-2014-n.cer
CDP                 : http://www.dp.keydisk.ru/cdp/889/astral-889-2014-n.crl
CDP                 : http://www.dp-tender.keydisk.ru/cdp/889/astral-889-2014-n.crl
CDP                 : http://10.21.17.66/images/stories/file/astral-889-2014-n.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.2
                      1.3.6.1.5.5.7.3.4
                      1.2.643.3.93.15
                      1.2.643.5.3.48.1
=============================================================================

[ErrorCode: 0x00000000]

Проверяем целостность цепочки сертификатов

Code: Select all

cryptcp -copycert -dn [email protected] -df /var/opt/cprocsp/keys/root/tokencer.p7b

Code: Select all

CryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2017.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:[email protected], ***, ***, ***, ***, ***, ***, Данков, 48 Липецкая область, RU, ***, ***, ***
Действителен с 06.02.2015 10:07:00 по 06.02.2016 10:05:24

Цепочка сертификатов не проверена для следующего сертификата:
Субъект:[email protected], ***, ***, ***, ***, ***, ***, Данков, 48 Липецкая область, RU, ***, ***, ***
Действителен с 06.02.2015 10:07:00 по 06.02.2016 10:05:24

Ошибка: Цепочка сертификатов не проверена для следующего сертификата (код ошибки 10000):
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:357: 0x20000133
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?

нажмите C и Enter, чтобы выйти

Цепочка сертификатов нарушена и поэтому нам требуется установить корневой сертификат УЦ под номером 1

Code: Select all

certmgr -inst -cert -file /var/opt/cprocsp/keys/root/tokencer.p7b -store uRoot

нажимаем 1

Проверяем снова

Code: Select all

cryptcp -copycert -dn [email protected] -df /var/opt/cprocsp/keys/root/tokencer.p7b

Code: Select all

CryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2017.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:[email protected], ***, ***, ***, ***, ***, ***, Данков, 48 Липецкая область, RU, ***, ***, ***
Действителен с 06.02.2015 10:07:00 по 06.02.2016 10:05:24

Цепочка сертификатов не проверена для следующего сертификата:
Субъект:[email protected], ***, ***, ***, ***, ***, ***, Данков, 48 Липецкая область, RU, ***, ***, ***
Действителен с 06.02.2015 10:07:00 по 06.02.2016 10:05:24

Один из сертификатов в цепочке просрочен.
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?

Нажмите C и Enter, чтобы выйти.

Не пугайтесь сообщения о том, что один из сертификатов в цепочке просрочен.
В моем примере - он действительно просрочен 06.02.2016.
Это видно на одном из предыдущих скриншотов. Вот он

У меня нет под рукой eToken с действующим сертификатом. Извиняюсь за это, но суть я думаю до Вас донес.

[Blaze]

Скрипты для автоматизированной настройки КриптоПро CSP в Porteus Linux

Для получения sh-скриптов

Code: Select all

kc1-i686.sh
kc2-i686.sh
kc1-x86_64.sh
kc2-x86_64.sh

для автоматизированной генерации настроек КриптоПро CSP KC1 и KC2,

необходимо запустить скрипт clear.sh от root пользователя в VirtualBox под дистрибутивами семейства CentOs, RHEL... (дополнение - можно и в Porteus без VB)

Для этого, вручную в браузере скачиваем архив с сайта КриптоПро CSP с rpm пакетами linux-ia32.tgz или linux-amd64.tgz ссылка на загрузку https://www.cryptopro.ru/products/csp/downloads скопируйте данный архив(ы) в /tmp и выполняем скрипт ./clear.sh (есть в архиве http://csp.ublaze.ru/cprocsp.tar.bz2) от root пользователя:

Code: Select all

#!/bin/bash

# Copyright 2018-2025  Blaze, Russian Federation, Lipetsk region, Dankov
# All rights reserved.
#
# Redistribution and use of this script, with or without modification, is
# permitted provided that the following conditions are met:
#
# 1. Redistributions of this script must retain the above copyright
#    notice, this list of conditions and the following disclaimer.
#
# THIS SOFTWARE IS PROVIDED BY THE AUTHOR ''AS IS'' AND ANY EXPRESS OR IMPLIED
# WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF
# MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO
# EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
# SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,
# PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS;
# OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,
# WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR
# OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
# ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
#
#
# This is script for the automated building KC1 and KC2 sh scripts
# in VirtualBox under AltLinux, CentOs, RHEL distros from rpm packages
# of CryptoPro CSP for Porteus i686 and x86_64.
#
#
# Date: 28.09.2018 16:35:25 (UTC+3)
#
#
# Скрипт для автоматизированной сборки KC1 и KC2 sh скриптов КриптоПро CSP для Porteus
# в VirtualBox под дистрибутивами семейства CentOs, RHEL...,
# вручную в браузере скачиваем архив с сайта КриптоПро CSP с rpm пакетами
# linux-ia32.tgz или linux-amd64.tgz
# ссылка на загрузку https://www.cryptopro.ru/products/csp/downloads
# скопируйте данный архив(ы) в /tmp


if [ `whoami` != "root" ]; then
   echo 'Этот скрипт должен быть запущен с правами root'
   exit 1
fi

# Парсим для архитектуры x86_64

cd /tmp

if [ -f "linux-amd64.tgz" ]; then
mv linux-amd64.tgz linux-amd64.tar.gz
tar xvf linux-amd64.tar.gz
cd /tmp/linux-amd64
rm -f accord_random-*src.rpm cprocsp-drv*.rpm cprocsp-ipsec*.rpm cprocsp-pki*.rpm lsb-cprocsp-devel*.rpm lsb-cprocsp-rdr-sobol*.rpm sobol*.rpm
rm -f install.desktop install.sh install_gui.sh integrity.sh *.ini uninstall.sh cpverify

# Получаем лог установки и удаления базовой части rpm пакетов
rpm -qip `find $(pwd) -maxdepth 1 -type f ! -name 'lsb-cprocsp-kc*' | sort` --scripts > $(pwd)/loginstall-x86_64.txt

# kc1 + базовая часть
rpm -qip $(pwd)/lsb-cprocsp-kc1*.rpm --scripts > $(pwd)/kc1-x86_64.txt
cat $(pwd)/loginstall-x86_64.txt >> $(pwd)/kc1-x86_64.txt

# kc2 + базовая часть
rpm -qip $(pwd)/lsb-cprocsp-kc2*.rpm --scripts > $(pwd)/kc2-x86_64.txt
cat $(pwd)/loginstall-x86_64.txt >> $(pwd)/kc2-x86_64.txt


# !!! Строим kc1-x86_64.sh !!!

# Добавить в заголовок
echo '#!/bin/bash' > kc1-x86_64.sh

# Парсим все основные параметры
egrep -i "cpconfig -ini|cpconfig -hardware|cpconfig -license|cpconfig -defprov|test -c" kc1-x86_64.txt >> kc1-x86_64.sh

# Удаляем удаление параметров
sed -i '/-del/d' kc1-x86_64.sh

# Удаляем строки содержащие параметры
sed -i '/libcurl_so_backup/d' kc1-x86_64.sh
sed -i '/authapp_backup/d' kc1-x86_64.sh

# Убираем комментарий
sed -i 's|#cpconfig -hardware media -configure RutokenLite|cpconfig -hardware media -configure RutokenLite|' kc1-x86_64.sh

# Указываем путь к библиотеке PC/SC-lite  для доступа к смарт-картам с использованием SCard API pcsc-lite: (PC/SC)
sed -i "s|\${libpcsclite_checked}|/usr/lib64/libpcsclite.so|g" kc1-x86_64.sh

# Отключаем текстовую генерацию и оставляем графическую генерацию случайной последовательности
echo "cpconfig -hardware rndm -del bio_tui" >> kc1-x86_64.sh
echo "cpconfig -ini '\\config\\Random\\Bio_tui' -delsection" >> kc1-x86_64.sh
echo "cpconfig -ini '\\config\\apppath\\librdrrndmbio_tui.so' -delparam" >> kc1-x86_64.sh

# Отключаем ридер FAT12_0 (Disk #0) - с ним будут фризы
sed -i '/fat12_0/d' kc1-x86_64.sh
#echo "cpconfig -hardware reader -del fat12_0" >> kc1-x86_64.sh

# Проверь количество строк. Попали-ли они под флаг для grep -A 49
# Замачиваем секцию not_solaris=1 и добавляем пробел перед ней
grep -i not_solaris=1 -A 57 kc1-x86_64.txt >> kc1-x86_64.sh
sed -i "/not_solaris=1/{x;p;x;}" kc1-x86_64.sh

# Раскомментировать
sed -i "s/#cpconfig -hardware/cpconfig -hardware/g" kc1-x86_64.sh

# Заменить
sed -i "s/\$LIBNAME/librdremv.so/g" kc1-x86_64.sh

# !!! Проверь совпадение строк по всем INPASPOT !!!
NAME=INPASPOT
sed -i "135,150s/\$NAME/$NAME/g" kc1-x86_64.sh
unset NAME

NAME=INPASPOT1
sed -i "151,154s/\$NAME/$NAME/g" kc1-x86_64.sh
unset NAME

NAME=INPASPOT2
sed -i "155,158s/\$NAME/$NAME/g" kc1-x86_64.sh
unset NAME

NAME=MSKEY
sed -i "s/\$NAME/$NAME/g" kc1-x86_64.sh
unset NAME

# Убираем лишние пробелы
sed -i 's|    ||' kc1-x86_64.sh

# Удалить
sed -i 's/test $? = 0 || //' kc1-x86_64.sh
sed -i '/Двоичный/d' kc1-x86_64.sh
sed -i '/libcurl_checked/d' kc1-x86_64.sh


# !!! Строим kc2-x86_64.sh !!!

# Добавить в заголовок
echo '#!/bin/bash' > kc2-x86_64.sh

# Парсим все основные параметры
egrep -i "cpconfig -ini|cpconfig -hardware|cpconfig -license|cpconfig -defprov|test -c" kc2-x86_64.txt >> kc2-x86_64.sh

# Удаляем удаление параметров
sed -i '/-del/d' kc2-x86_64.sh

# Удаляем строки содержащие параметры
sed -i '/libcurl_so_backup/d' kc2-x86_64.sh
sed -i '/authapp_backup/d' kc2-x86_64.sh

# Убираем комментарий
sed -i 's|#cpconfig -hardware media -configure RutokenLite|cpconfig -hardware media -configure RutokenLite|' kc2-x86_64.sh

# Указываем путь к библиотеке PC/SC-lite  для доступа к смарт-картам с использованием SCard API pcsc-lite: (PC/SC)
sed -i "s|\${libpcsclite_checked}|/usr/lib64/libpcsclite.so|g" kc2-x86_64.sh

# Отключаем ридер FAT12_0 (Disk #0) - с ним будут фризы
sed -i '/fat12_0/d' kc2-x86_64.sh
#echo "cpconfig -hardware reader -del fat12_0" >> kc2-x86_64.sh

# Проверь количество строк. Попали-ли они под флаг для grep -A 49
# Замачиваем секцию not_solaris=1 и добавляем пробел перед ней
grep -i not_solaris=1 -A 57 kc1-x86_64.txt >> kc2-x86_64.sh
sed -i "/not_solaris=1/{x;p;x;}" kc2-x86_64.sh

# Раскомментировать
sed -i "s/#cpconfig -hardware/cpconfig -hardware/g" kc2-x86_64.sh

# Заменить
sed -i "s/\$LIBNAME/librdremv.so/g" kc2-x86_64.sh

# !!! Проверь совпадение строк по всем INPASPOT !!!
NAME=INPASPOT
sed -i "142,157s/\$NAME/$NAME/g" kc2-x86_64.sh
unset NAME

NAME=INPASPOT1
sed -i "158,161s/\$NAME/$NAME/g" kc2-x86_64.sh
unset NAME

NAME=INPASPOT2
sed -i "162,165s/\$NAME/$NAME/g" kc2-x86_64.sh
unset NAME

NAME=MSKEY
sed -i "s/\$NAME/$NAME/g" kc2-x86_64.sh
unset NAME

# Убираем лишние пробелы
sed -i 's|    ||' kc2-x86_64.sh

# Удалить
sed -i 's/test $? = 0 || //' kc2-x86_64.sh
sed -i '/Двоичный/d' kc2-x86_64.sh
sed -i '/libcurl_checked/d' kc2-x86_64.sh

fi


# Парсим для архитектуры i686

cd /tmp

if [ -f "linux-ia32.tgz" ]; then
mv linux-ia32.tgz linux-ia32.tar.gz
tar xvf linux-ia32.tar.gz
cd /tmp/linux-ia32
rm -f accord_random-*src.rpm cprocsp-drv*.rpm cprocsp-ipsec*.rpm cprocsp-pki*.rpm lsb-cprocsp-devel*.rpm lsb-cprocsp-rdr-sobol*.rpm sobol*.rpm
rm -f install.desktop install.sh install_gui.sh integrity.sh *.ini uninstall.sh cpverify

# Получаем лог установки и удаления базовой части rpm пакетов
rpm -qip `find $(pwd) -maxdepth 1 -type f ! -name 'lsb-cprocsp-kc*' | sort` --scripts > $(pwd)/loginstall-i686.txt

# kc1 + базовая часть
rpm -qip $(pwd)/lsb-cprocsp-kc1*.rpm --scripts > $(pwd)/kc1-i686.txt
cat $(pwd)/loginstall-i686.txt >> $(pwd)/kc1-i686.txt

# kc2 + базовая часть
rpm -qip $(pwd)/lsb-cprocsp-kc2*.rpm --scripts > $(pwd)/kc2-i686.txt
cat $(pwd)/loginstall-i686.txt >> $(pwd)/kc2-i686.txt


# !!! Строим kc1-i686.sh !!!

# Добавить в заголовок
echo '#!/bin/bash' > kc1-i686.sh

# Парсим все основные параметры
egrep -i "cpconfig -ini|cpconfig -hardware|cpconfig -license|cpconfig -defprov|test -c" kc1-i686.txt >> kc1-i686.sh

# Удаляем удаление параметров
sed -i '/-del/d' kc1-i686.sh

# Удаляем строки содержащие параметры
sed -i '/libcurl_so_backup/d' kc1-i686.sh
sed -i '/authapp_backup/d' kc1-i686.sh

# Убираем комментарий
sed -i 's|#cpconfig -hardware media -configure RutokenLite|cpconfig -hardware media -configure RutokenLite|' kc1-i686.sh

# Указываем путь к библиотеке PC/SC-lite  для доступа к смарт-картам с использованием SCard API pcsc-lite: (PC/SC)
sed -i "s|\${libpcsclite_checked}|/usr/lib/libpcsclite.so|g" kc1-i686.sh

# Отключаем текстовую генерацию и оставляем графическую генерацию случайной последовательности
echo "cpconfig -hardware rndm -del bio_tui" >> kc1-i686.sh
echo "cpconfig -ini '\\config\\Random\\Bio_tui' -delsection" >> kc1-i686.sh
echo "cpconfig -ini '\\config\\apppath\\librdrrndmbio_tui.so' -delparam" >> kc1-i686.sh

# Отключаем ридер FAT12_0 (Disk #0) - с ним будут фризы
sed -i '/fat12_0/d' kc1-i686.sh
#echo "cpconfig -hardware reader -del fat12_0" >> kc1-i686.sh

# Проверь количество строк. Попали-ли они под флаг для grep -A 49
# Замачиваем секцию not_solaris=1 и добавляем пробел перед ней
grep -i not_solaris=1 -A 57 kc1-i686.txt >> kc1-i686.sh
sed -i "/not_solaris=1/{x;p;x;}" kc1-i686.sh

# Раскомментировать
sed -i "s/#cpconfig -hardware/cpconfig -hardware/g" kc1-i686.sh

# Заменить
sed -i "s/\$LIBNAME/librdremv.so/g" kc1-i686.sh

# !!! Проверь совпадение строк по всем INPASPOT !!!
NAME=INPASPOT
sed -i "135,150s/\$NAME/$NAME/g" kc1-i686.sh
unset NAME

NAME=INPASPOT1
sed -i "151,154s/\$NAME/$NAME/g" kc1-i686.sh
unset NAME

NAME=INPASPOT2
sed -i "155,158s/\$NAME/$NAME/g" kc1-i686.sh
unset NAME

NAME=MSKEY
sed -i "s/\$NAME/$NAME/g" kc1-i686.sh
unset NAME

# Убираем лишние пробелы
sed -i 's|    ||' kc1-i686.sh

# Удалить
sed -i 's/test $? = 0 || //' kc1-i686.sh
sed -i '/Двоичный/d' kc1-i686.sh
sed -i '/libcurl_checked/d' kc1-i686.sh


# !!! Строим kc2-i686.sh !!!

# Добавить в заголовок
echo '#!/bin/bash' > kc2-i686.sh

# Парсим все основные параметры
egrep -i "cpconfig -ini|cpconfig -hardware|cpconfig -license|cpconfig -defprov|test -c" kc2-i686.txt >> kc2-i686.sh

# Удаляем удаление параметров
sed -i '/-del/d' kc2-i686.sh

# Удаляем строки содержащие параметры
sed -i '/libcurl_so_backup/d' kc2-i686.sh
sed -i '/authapp_backup/d' kc2-i686.sh

# Убираем комментарий
sed -i 's|#cpconfig -hardware media -configure RutokenLite|cpconfig -hardware media -configure RutokenLite|' kc2-i686.sh

# Указываем путь к библиотеке PC/SC-lite  для доступа к смарт-картам с использованием SCard API pcsc-lite: (PC/SC)
sed -i "s|\${libpcsclite_checked}|/usr/lib/libpcsclite.so|g" kc2-i686.sh

# Отключаем ридер FAT12_0 (Disk #0) - с ним будут фризы
sed -i '/fat12_0/d' kc2-i686.sh
#echo "cpconfig -hardware reader -del fat12_0" >> kc2-i686.sh

# Проверь количество строк. Попали-ли они под флаг для grep -A 49
# Замачиваем секцию not_solaris=1 и добавляем пробел перед ней
grep -i not_solaris=1 -A 57 kc1-i686.txt >> kc2-i686.sh
sed -i "/not_solaris=1/{x;p;x;}" kc2-i686.sh

# Раскомментировать
sed -i "s/#cpconfig -hardware/cpconfig -hardware/g" kc2-i686.sh

# Заменить
sed -i "s/\$LIBNAME/librdremv.so/g" kc2-i686.sh

# !!! Проверь совпадение строк по всем INPASPOT !!!
NAME=INPASPOT
sed -i "142,157s/\$NAME/$NAME/g" kc2-i686.sh
unset NAME

NAME=INPASPOT1
sed -i "158,161s/\$NAME/$NAME/g" kc2-i686.sh
unset NAME

NAME=INPASPOT2
sed -i "162,165s/\$NAME/$NAME/g" kc2-i686.sh
unset NAME

NAME=MSKEY
sed -i "s/\$NAME/$NAME/g" kc2-i686.sh
unset NAME

# Убираем лишние пробелы
sed -i 's|    ||' kc2-i686.sh

# Удалить
sed -i 's/test $? = 0 || //' kc2-i686.sh
sed -i '/Двоичный/d' kc2-i686.sh
sed -i '/libcurl_checked/d' kc2-i686.sh

fi

на выходе получаем:

Code: Select all

kc1-i686.sh
kc1-i686.txt
kc1-x86_64.sh
kc1-x86_64.txt
kc2-i686.sh
kc2-i686.txt
kc2-x86_64.sh
kc2-x86_64.txt
loginstall-i686.txt
loginstall-x86_64.txt

Заметка. Готовые скрипты можно скачать через терминал

Code: Select all

su
toor
cd /tmp
wget http://csp.ublaze.ru/cprocsp.tar.bz2
tar xvf cprocsp.tar.bz2
#./kc1-i686.sh
#./kc2-i686.sh
#./kc1-x86_64.sh
#./kc2-x86_64.sh

Выполните нужный скрипт 2 раза, после скрипта автоматизированной сборки xzm модулей KC1 и KC2 КриптоПро CSP для Porteus (см. первое сообщение данной темы).
Достаточно активировать необходимый, собранный xzm модуль КриптоПро CSP (см. первое сообщение данной темы) и выполнить в терминале:

Code: Select all

su
toor
sed -i "s|ENV_SUPATH     PATH=|ENV_SUPATH     PATH="$(/bin/ls -d /opt/cprocsp/{s,}bin/*|tr '\n' ':')"|g" /etc/login.defs
sed -i "s|/usr/games|/usr/games:"$(/bin/ls -d /opt/cprocsp/{s,}bin/*|tr '\n' ':'| rev | cut -d: -f2- | rev)"|g" /etc/profile

закрыть и открыть терминал. Выполнить в терминале 2 раза нужный скрипт от root пользователя, например запустив его так ./kc1-x86_64.sh

Заметка. если у Вас есть Token-ы или смарт-карты

Перед выполнением скрипта, если у Вас есть Token-ы. Подключите Token(ы) (или смарт-карты) в компьютер заранее, активируйте необходимые модули и запустите службу rc.pcscd (см. ниже).
Современные аппаратные и программно-аппаратные хранилища ключей, такие как Рутокен ЭЦП или eSmart ГОСТ, поддерживаются через интерфейс PCSC. За реализацию этого интерфейса отвечает служба pcscd, которую необходимо запустить перед началом работы с соответствующими устройствами:

Code: Select all

su
toor
chmod +x /etc/rc.d/rc.pcscd
/etc/rc.d/rc.pcscd start

Заметка. Предварительно скачайте и активируйте модули

Code: Select all

getmod ccid opensc pcsc-lite

и затем выполняйте нужный скрипт kc1-i686.sh, kc2-i686.sh или kc1-x86_64.sh, kc2-x86_64.sh (см. выше)

Заметка. Для корректной работы КриптоПро CSP KC2 необходим запуск службы cryptsrv

Ручной запуск cryptsrv

Code: Select all

su
toor

# Для архитектуры x86_64
/opt/cprocsp/sbin/amd64/cryptsrv

# Для архитектуры i686
/opt/cprocsp/sbin/ia32/cryptsrv

Автоматический запуск cryptsrv при старте операционной системы

Code: Select all

su
toor

# Для архитектуры x86_64
echo '/opt/cprocsp/sbin/amd64/cryptsrv' >> /etc/rc.d/rc.local

# Для архитектуры i686
echo '/opt/cprocsp/sbin/ia32/cryptsrv' >> /etc/rc.d/rc.local

Если Вы используете готовые xzm модули КриптоПро CSP

Готовые xzm модули с КриптоПро CSP для архитектур i686 и x86_64
Если Вы используете готовые xzm модули, то данные скрипты kc1-i686.sh, kc2-i686.sh, kc1-x86_64.sh, kc2-x86_64.sh выполнять не нужно.
Достаточно активировать необходимый модуль КриптоПро CSP и выполнить в терминале

Code: Select all

su
toor
sed -i "s|ENV_SUPATH     PATH=|ENV_SUPATH     PATH="$(/bin/ls -d /opt/cprocsp/{s,}bin/*|tr '\n' ':')"|g" /etc/login.defs
sed -i "s|/usr/games|/usr/games:"$(/bin/ls -d /opt/cprocsp/{s,}bin/*|tr '\n' ':'| rev | cut -d: -f2- | rev)"|g" /etc/profile

закрыть и открыть терминал.

Заметка. Для работы с КриптоПро CSP в учетной записи guest потребуется перезагрузка операционной системы Porteus.

Выполнить в терминале от root пользователя рекомендации из первого сообщения данной темы - см. пункты:

• Создание необходимых привязок и кэша для необходимых динамических библиотек.
• Проверка версии и лицензии КриптоПро CSP.
• Установка корневых и промежуточных CA сертификатов.

Заметка. если у Вас есть Token-ы или смарт-карты

Перед выполнением скрипта, если у Вас есть Token-ы. Подключите Token(ы) (или смарт-карты) в компьютер заранее, активируйте необходимые модули и запустите службу rc.pcscd (см. ниже).
Современные аппаратные и программно-аппаратные хранилища ключей, такие как Рутокен ЭЦП или eSmart ГОСТ, поддерживаются через интерфейс PCSC. За реализацию этого интерфейса отвечает служба pcscd, которую необходимо запустить перед началом работы с соответствующими устройствами:

Code: Select all

su
toor
chmod +x /etc/rc.d/rc.pcscd
/etc/rc.d/rc.pcscd start

Заметка. Предварительно скачайте и активируйте модули

Code: Select all

getmod ccid opensc pcsc-lite

и затем выполняйте скрипт (ниже):

Code: Select all

#!/bin/bash
    not_solaris=1
    if test ! -z "$not_solaris"; then
        search_dirs=''
        for d in `echo /usr/lib*/pcsc /usr/local/lib*/pcsc /usr/libexec/SmartCardServices/*`; do
            if echo $d|grep -v '*'; then
                search_dirs="$d $search_dirs";
            fi;
        done
        if test ! -z "$search_dirs"; then
            folder=`find -L $search_dirs -name "*ccid.bundle"`
            if test ! -z "$folder"; then
                pList_files=`find -L $folder -name "Info.plist"`
                if test ! -z "$pList_files"; then
                    for pList in $pList_files; do
                        ccid_reg.sh -add $pList 0x072F 0x90CC "ACS ACR 38U-CCID - CP"
                        ccid_reg.sh -add $pList 0x072F 0x1204 "ACS ACR101 ICC Reader - CP"
                        ccid_reg.sh -add $pList 0x072F 0x8201 "ACS APG8201 PINhandy 1 - CP"
                        ccid_reg.sh -add $pList 0x072F 0x8202 "ACS APG8201 USB Reader - CP"
                        ccid_reg.sh -add $pList 0x072F 0x90DB "ACS CryptoMate64 - CP"
                        ccid_reg.sh -add $pList 0x0483 0xACD1 "Ancud Crypton SCR/RNG - CP"
                        ccid_reg.sh -add $pList 0x0A89 0x0025 "Aktiv Rutoken lite - CP"
                        ccid_reg.sh -add $pList 0x0A89 0x0030 "Aktiv Rutoken ECP - CP"
                        ccid_reg.sh -add $pList 0x0A89 0x0080 "Aktiv PINPad Ex - CP"
                        ccid_reg.sh -add $pList 0x0A89 0x0081 "Aktiv PINPad In - CP"
                        ccid_reg.sh -add $pList 0x0A89 0x0060 "Aktiv Co., ProgramPark Rutoken Magistra - CP"
                        ccid_reg.sh -add $pList 0x072f 0x90de "ACS Token - CP"
                        ccid_reg.sh -add $pList 0x24dc 0x0102 "ARDS ZAO JaCarta LT - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x0002 "Infocrypt Token++ - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x0004 "Infocrypt Token++ - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x0006 "Infocrypt Token++ lite - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x0008 "Infocrypt Token++ lite - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x003a "Infocrypt Token++ - CP"
                        ccid_reg.sh -add $pList 0x2022 0x078a "Infocrypt HWDSSL DEVICE - CP"
                        ccid_reg.sh -add $pList 0x2022 0x016c "Infocrypt HWDSSL DEVICE - CP"
                        ccid_reg.sh -add $pList 0x2022 0x0172 "Infocrypt HWDSSL DEVICE - CP"
                        ccid_reg.sh -add $pList 0x2022 0x0226 "Infocrypt HWDSSL DEVICE - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x078a "Infocrypt HWDSSL DEVICE - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x016c "Infocrypt HWDSSL DEVICE - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x0172 "Infocrypt HWDSSL DEVICE - CP"
                        ccid_reg.sh -add $pList 0x2fb0 0x0226 "Infocrypt HWDSSL DEVICE - CP"
                        ccid_reg.sh -add $pList 0x2a0c 0x0001 "MultiSoft ltd. SCR2 - CP"
                        ccid_reg.sh -add $pList 0x2a0c 0x0002 "SKZI ANGARA - CP"
                        ccid_reg.sh -add $pList 0x23a0 0x0008 "BIFIT ANGARA - CP"
                        ccid_reg.sh -add $pList 0x1fc9 0x7479 "ISBC ESMART reader - CP"
                        ccid_reg.sh -add $pList 0x2ce4 0x7479 "ESMART Token - CP"
                        ccid_reg.sh -add $pList 0x24DC 0x0101 "Aladdin R.D. JaCarta - CP"
                        ccid_reg.sh -add $pList 0x24DC 0x0402 "Aladdin R.D. JaCarta - CP"
                        ccid_reg.sh -add $pList 0x24DC 0x0406 "Aladdin JaCarta SF GOST - CP"
                        ccid_reg.sh -add $pList 0x24DC 0x0409 "Aladdin JaCarta-2 SF - CP"
                        ccid_reg.sh -add $pList 0x24DC 0x040D "Aladdin JaCarta SF - CP"
                        ccid_reg.sh -add $pList 0x24DC 0x04FF "Aladdin JaCarta SF GOST - CP"
                        ccid_reg.sh -add $pList 0x24DC 0x100F "Aladdin R.D. JaCarta Flash - CP"
                        ccid_reg.sh -add $pList 0x0529 0x0620 "eToken PRO Java 72K OS755 - CP"
                        ccid_reg.sh -add $pList 0x2BB1 0xF8CF "MOPNIEI RUSToken-L1 - CP"
                    done
                fi
            fi
        fi
    fi
cpconfig -hardware reader -add "Aktiv Rutoken ECP 00 00" -name 'Rutoken ECP 0'
cpconfig -hardware reader -add "Aktiv Rutoken ECP 01 00" -name 'Rutoken ECP 1'
cpconfig -hardware reader -add "Aktiv Rutoken lite 00 00" -name 'Rutoken lite 0'
cpconfig -hardware reader -add "Aktiv Rutoken lite 01 00" -name 'Rutoken lite 1'
cpconfig -hardware reader -add "Aktiv Co. Rutoken S 00 00" -name 'Rutoken S 0'
cpconfig -hardware reader -add "Aktiv Co. Rutoken S 01 00" -name 'Rutoken S 1'
cpconfig -hardware reader -add "Aktiv Rutoken Magistra 00 00" -name 'Rutoken Magistra 0'
cpconfig -hardware reader -add "Aktiv Rutoken Magistra 01 00" -name 'Rutoken Magistra 1'

Заметка. Для корректной работы КриптоПро CSP KC2 необходим запуск службы cryptsrv

Ручной запуск cryptsrv

Code: Select all

su
toor

# Для архитектуры x86_64
/opt/cprocsp/sbin/amd64/cryptsrv

# Для архитектуры i686
/opt/cprocsp/sbin/ia32/cryptsrv

Автоматический запуск cryptsrv при старте операционной системы

Code: Select all

su
toor

# Для архитектуры x86_64
echo '/opt/cprocsp/sbin/amd64/cryptsrv' >> /etc/rc.d/rc.local

# Для архитектуры i686
echo '/opt/cprocsp/sbin/ia32/cryptsrv' >> /etc/rc.d/rc.local

[Blaze]

Для того чтобы заработали плагины типа КриптоПро ЭЦП Browser plug-in и плагин IFCPlugin Госуслуг (ЕСИА) предварительно необходимо:

1) установить криптопровайдер КриптоПро CSP для своей архитектуры i586 и x86_64

2) в терминале выполнить команды:

Code: Select all

# Для архитектуры x86_64
echo '/opt/cprocsp/lib/amd64' >> /etc/ld.so.conf
echo 'ldconfig' >> /etc/rc.d/rc.local
ldconfig

Code: Select all

# Для архитектуры i586
echo '/opt/cprocsp/lib/ia32' >> /etc/ld.so.conf
echo 'ldconfig' >> /etc/rc.d/rc.local
ldconfig

3) установить необходимый плагин:

КриптоПро ЭЦП Browser plug-in (для получения новой версии см. первое сообщение - пункт: Скрипт для автоматизированной сборки КриптоПро ЭЦП Browser plug-in для Porteus)

Code: Select all

# Porteus 5.1 xzm модуль плагина cprocsp-pki-cades-plugin можно скачать
# через терминал командой (выполнить от root пользователя):
update csp-plugin

Плагин Госуслуг
IFCPlugin-3.1.1-i386.xzm (необходимо установить зависимость pcsc-lite и запустить службу pcscd - см. пункт 'если у Вас есть Token-ы или смарт-карты')
IFCPlugin-3.1.1-x86_64.xzm (необходимо установить зависимость pcsc-lite и запустить службу pcscd - см. пункт 'если у Вас есть Token-ы или смарт-карты')

Заметка. Последние версии данных плагинов для архитектур i586 и x86_64 - будут обновятся в этих репозиториях (при необходимости Вы их можете обновить сами).

Настройка плагина Госуслуг:

Заметка. Работоспособность плагина IFCPlugin (Госуслуг - gosuslugi.ru) проверена в браузерах Mozilla Firefox и Chromium с поддержкой ГОСТ - скачать для x86_64 (репозиторий на github.com)

Обязательно установите pin-код (он же пароль) на контейнер, иначе в личный кабинет Госуслуг не зайти по ЭЦП.
Для этого скопируйте контейнер и задайте ему Ваш pin-код (при этом, не забудьте введенный Вами pin-код)

Code: Select all

csptest -keycopy -contsrc '<полное название контейнера>' -contdest '\\.\<название токена>\<желаемое название контейнера>'

Заметка. Полное название контейнера см. с помощью команды

Code: Select all

csptest -keyset -enum_cont -fqcn -verifyc -uniq | iconv -f cp1251

После чего произведите установку по примеру установки личного сертификата с пин-кодом 12345 и ГОСТ 2012 в контейнер ридера HDIMAGE

Code: Select all

certmgr -inst -inst_to_cont -provtype 80 -provname "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -cont '<путь к контейнеру, начинающийся на \\.\>' -pin 12345 -file '/путь-до-сертификата/имя-сертификата.cer'

• Если вы используете браузеры семейства Google Chrome или Chromium, то Вам дополнительно необходимо установить расширение для Google Chrome с этой страницы (нажмите на кнопку 'Расширение для Google Chrome' и нажмите 'Установить')
  Перейдите в меню - Дополнительные инструменты - Расширения и включите расширение для плагина Госуслуг
• Если вы используете браузеры семейства Mozilla Firefox, то расширение Госуслуг автоматически, при запуске браузера, должно предложить установку.

Необходимо добавить после раздела с Криптопровайдер КриптоПро CSP (в предоставленных выше xzm модулях плагина IFCPlugin, уже все добавленно) в файл /etc/ifc.cfg

Для i586:

Code: Select all

  { name  = "CryptoPro CSP";
    alias = "cprocsp";
    type  = "pkcs11";
    alg   = "gost2001";
    model = "CPPKCS 3";
    lib_linux   = "/opt/cprocsp/lib/ia32/libcppkcs11.so";
  },
  

Для x86_64:

Code: Select all

   { name  = "CryptoPro CSP";
    alias = "cprocsp";
    type  = "pkcs11";
    alg   = "gost2001";
    model = "CPPKCS 3";
    lib_linux   = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
  },
  

Для обеспечения работоспособности электронных идентификаторов Рутокен и других Token-ов, может потребоваться добавить запись об устройстве в конфигурационный файл libccid.
Конфигурационный файл носит название Info.plist и содержит описания идентификаторов устройств, которые совместимы c libccid.
Расположение Info.plist в файловой системе:

Code: Select all

#i586
/usr/lib/pcsc/drivers/ifd-ccid-bundle/Contents/Info.plist

#x86_64
/usr/lib64/pcsc/drivers/ifd-ccid-bundle/Contents/Info.plist

Для автоматизированного добавления идентификаторов Token-ов выполните рекомендации из пункта - Заметка. если у Вас есть Token-ы или смарт-карты (см. в сообщении выше).
После чего, выполните скрипт для плагина IFCPlugin (Госуслуг):

Code: Select all

#!/bin/bash
# Скрипт автоматизированной настройки плагина IFCPlugin (Госуслуг - gosuslugi.ru) для Porteus by Blaze

if [ `whoami` != "root" ]; then
   echo 'Please run this script as root'
   exit 1
fi

# Создаем директорию для логов плагина IFCPlugin
mkdir -p /var/log/ifc/engine_logs
chmod 774 -R /var/log/ifc
chown guest:users -R /var/log/ifc

# Add VIDs and PIDs to CCID Boundle
cd /etc/update_ccid_boundle
bash ./update_ccid_boundle.sh

chmod 755 /usr/lib/mozilla/plugins/lib
chmod 755 /usr/lib/mozilla/plugins
chmod 755 /usr/lib64/mozilla/native-messaging-hosts
chmod 755 /usr/lib/mozilla/native-messaging-hosts
chmod 755 /usr/lib/mozilla
chmod 755 /usr/lib

chmod 755 /etc/opt/chrome/native-messaging-hosts
chmod 755 /etc/update_ccid_boundle
chmod 755 /etc/opt/chrome
chmod 755 /etc/opt
chmod 755 /etc

chmod 755 /opt/google/chrome/extensions
chmod 755 /opt/google/chrome
chmod 755 /opt/google
chmod 755 /opt

# Создаем симлинк для корректной работы связи расширения браузера Chromium с библиотекой установленного плагина
echo "Creating symlink for Chromium (Google Chrome)"
mkdir -p /etc/chromium/native-messaging-hosts
ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/ru.rtlabs.ifcplugin.json
# Иконка для браузера Chromium-gost (браузер должен быть активирован)
# sed -i 's/Icon=chromium-gost/Icon=web-browser/' /usr/share/applications/chromium-gost.desktop &>/dev/null

# Создаем симлинк для корректной работы связи расширения браузера Mozilla Firefox с библиотекой установленного плагина
echo "Creating symlink for Mozilla Firefox"
if [[ "$(arch)" == i686 || "$(arch)" == i586 ]]; then
   ln -s /opt/cprocsp/lib/ia32/libcppkcs11.so.?.?.? /usr/lib/mozilla/plugins/lib/libcppkcs11.so
elif [[ "$(arch)" == x86_64 ]]; then
   ln -s /opt/cprocsp/lib/amd64/libcppkcs11.so.?.?.? /usr/lib/mozilla/plugins/lib/libcppkcs11.so
else
   echo 'Error. Please install package lsb-cprocsp-pkcs11'
fi

# Для корректной работы pkcs11, настройку слотов следует сделать явной:
cpconfig -ini '\config\PKCS11\slot17' -add string "ProvGOST" "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"
cpconfig -ini '\config\PKCS11\slot17' -add string "Firefox" "1"
cpconfig -ini '\config\PKCS11\slot17' -add string "reader" ""

После необходимых настроек необходимо установить pcsc-lite (пакеты openct, opensc, ccid опционально) и запустите его демон:

Code: Select all

su
toor
chmod +x /etc/rc.d/rc.pcscd
/etc/rc.d/rc.pcscd start

Проверьте работоспособность плагина на портале государственных услуг Российской Федерации gosuslugi.ru, или на другом портале, где используется авторизация с помощью ЕСИА, произведя вход с помощью электронной подписи.

Заметка. Для проверки работы плагина, в live режиме можно просмотреть логи выполнив следующую команду в терминале:

Code: Select all

tail -f /var/log/ifc/engine_logs/engine.log

Настройка плагина КриптоПро ЭЦП Browser plug-in:

1. установить расширение 'CryptoPro Extension for CAdES Browser Plug-in' для Вашего браузера. См. примеры установки CryptoPro Extension for CAdES Browser Plug-in
2. Создать и установить прямо в браузере сертификат ключа подписи, который можно получить на странице тестового центра
3. для проверки работоспособности КриптоПро ЭЦП Browser plug-in установите сертификат certnew удостоверяющего центра (нажать на 'Загрузка цепочки сертификатов ЦС')

Пример установки:

Code: Select all

su
toor
certmgr -inst -cert -file /home/guest/Загрузки/certnew -store uRoot

Проверьте корректность установки на странице проверки плагина.
Если установка КриптоПро ЭЦП Browser plug-in прошла успешно, появится окно с надписью "Плагин загружен", указанием его версии и используемой Вами версии КриптоПро CSP.

Для добавления надежных узлов в КриптоПро ЭЦП Browser plug-in откройте под root пользователем /etc/opt/cprocsp/trusted_sites.html, добавьте доверенный узел и нажмите кнопку 'Сохранить'

[Blaze]

OpenSSL + ГОСТ (gostengy и gost_capi) - Использование КриптоПро CSP в OpenSSL: apache, nginx etc

Code: Select all

Подробнее см. здесь https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=8544

В первом сообщении текущей темы читаем и выполняем пункт - Создание необходимых привязок и кэша для необходимых динамических библиотек

Заметка. Для OpenSSL >= 1.1.0 используйте gostengy
Для проверки вашей текущей версии OpenSSL

Code: Select all

openssl version -a

Для libgost_capi.so

Code: Select all

#!/bin/bash
conf=/var/opt/cprocsp/cp-openssl/openssl.cnf
if test -z ""; then 
  lib_path=/opt/cprocsp/cp-openssl/lib/amd64/engines
else
  lib_path=/opt/cprocsp/cp-openssl/lib/ia32/engines
fi

if ! test -d $lib_path; then 
  echo "Warning, directory $lib_path doesn't exist"
else
  if ! test -f $conf; then
    echo "Warning, $conf doesn't exist"
  else
    new_oid_section=`grep -n  "\[new_oids\]\|\[ new_oids \]" $conf | awk -F":" '{print $1}'`
    place_to_insert=$new_oid_section
    grep openssl_conf $conf > /dev/null
    if test $? -ne 0; then
      sed -i -e "${place_to_insert}i\\
openssl_conf = openssl_def\\
" $conf
      place_to_insert=`expr $place_to_insert + 2`
    fi

    grep "\[openssl_def\]\|\[ openssl_def \]" $conf > /dev/null
    if test $? -ne 0; then
      sed -i -e "${place_to_insert}i\\
[openssl_def]\\
engines = engine_section\\
" $conf
      place_to_insert=`expr $place_to_insert + 3`
    fi

    grep "\[engine_section\]\|\[ engine_section \]" $conf > /dev/null
    if test $? -ne 0; then
      sed -i -e "${place_to_insert}i\\
[engine_section]\\
gost_capi = gost_section\\
" $conf
      place_to_insert=`expr $place_to_insert + 3`
    fi

    grep "\[gost_section\]\|\[ gost_section \]" $conf > /dev/null
    if test $? -ne 0; then
      sed -i -e "${place_to_insert}i\\
[gost_section]\\
engine_id = gost_capi\\
dynamic_path = $lib_path/libgost_capi.so\\
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1\\
" $conf
    fi
    sed -i '/^$/N;/^\n$/D' $conf
  fi
fi

Проверить корректность установки можно выполнив команду:

Code: Select all

openssl engine

В результате должен быть выведен engine (gost_capi), как показано ниже:

Code: Select all

(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147098 $)

Для проверки подгрузились-ли ГОСТ-ы:

Code: Select all

openssl ciphers | tr ":" "\n" | grep -i gost

Для libgostengy.so

Дополнительно установить из репозитория gostengy https://update.cryptopro.ru/support/nginx-gost/bin/

Code: Select all

cprocsp-cpopenssl-110-64-5.0.11216-5.x86_64.rpm
cprocsp-cpopenssl-110-base-5.0.11216-5.noarch.rpm
cprocsp-cpopenssl-110-devel-5.0.11216-5.noarch.rpm
cprocsp-cpopenssl-110-gost-64-5.0.11216-5.x86_64.rpm
cprocsp-cpopenssl-64-5.0.11216-5.x86_64.rpm
cprocsp-cpopenssl-base-5.0.11216-5.noarch.rpm
cprocsp-cpopenssl-devel-5.0.11216-5.noarch.rpm
cprocsp-cpopenssl-gost-64-5.0.11216-5.x86_64.rpm

Собрать все пакеты в модуль cprocsp-x-gostengy-174535-x86_64.xzm (174535 ревизию проверить в конце командой openssl engine)
Почему в названии x - для того чтобы модуль грузился после модуля КриптоПРО cprocsp-kc1-5.0.11128-x86_64.xzm

Code: Select all

#!/bin/bash 
conf=/var/opt/cprocsp/cp-openssl/openssl.cnf
if test -z ""; then 
  lib_path=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines
else
  lib_path=/opt/cprocsp/cp-openssl-1.1.0/lib/ia32/engines
fi

if ! test -d $lib_path; then 
  echo "Warning, directory $lib_path doesn't exist"
else
  if ! test -f $conf; then
    echo "Warning, $conf doesn't exist"
  else
    new_oid_section=`grep -n  "\[new_oids\]\|\[ new_oids \]" $conf | awk -F":" '{print $1}'`
    place_to_insert=$new_oid_section
    grep openssl_conf $conf > /dev/null
    if test $? -ne 0; then
      sed -i -e "${place_to_insert}i\\
openssl_conf = openssl_def\\
" $conf
      place_to_insert=`expr $place_to_insert + 2`
    fi

    grep "\[openssl_def\]\|\[ openssl_def \]" $conf > /dev/null
    if test $? -ne 0; then
      sed -i -e "${place_to_insert}i\\
[openssl_def]\\
engines = engine_section\\
" $conf
      place_to_insert=`expr $place_to_insert + 3`
    fi

    grep "\[engine_section\]\|\[ engine_section \]" $conf > /dev/null
    if test $? -ne 0; then
      sed -i -e "${place_to_insert}i\\
[engine_section]\\
gostengy = gost_section\\
" $conf
      place_to_insert=`expr $place_to_insert + 3`
    fi

    grep "\[gost_section\]\|\[ gost_section \]" $conf > /dev/null
    if test $? -ne 0; then
      sed -i -e "${place_to_insert}i\\
[gost_section]\\
engine_id = gostengy\\
dynamic_path = $lib_path/libgostengy.so\\
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1\\
" $conf
    fi
    sed -i '/^$/N;/^\n$/D' $conf
  fi
fi

Важно! Чтобы gostengy заработал, необходимо собрать ванильный OpenSSL с поддержкой ГОСТ.
Скачиваем /slackware64-current/source/n/openssl/ и проверяем обеспечила-ли КриптоПро CSP поддержку ГОСТ для OpenSSL на https://github.com/deemru/openssl.git
если версии совместимы, то собираем

Code: Select all

cd /tmp
git clone https://github.com/deemru/openssl.git
mv openssl openssl-1.1.0h
tar czf openssl-1.1.0h.tar.gz openssl-1.1.0h
sync
./openssl.SlackBuild

Проверить корректность установки можно выполнив команду:

Code: Select all

openssl engine

В результате должен быть выведен engine (gostengy), как показано ниже:

Code: Select all

(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 174535 $)

Для проверки подгрузились-ли ГОСТ-ы:

Code: Select all

openssl ciphers | tr ":" "\n" | grep -i gost

Заметка. Правки для gostengy делал в /etc/ssl/openssl.cnf по инструкции - Как сконфигурировать OpenSSL?
! С правкой /var/opt/cprocsp/cp-openssl/openssl.cnf требуется проверка !
Загрузку gostengy через конфигурационный файл OpenSSL можно сделать так (обычно вставляется после "oid_section = new_oids"):
В /etc/ssl/openssl.cnf
Вставить

Code: Select all

openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gostengy = gost_section

[gost_section]
engine_id = gostengy
dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1

[Blaze]

Установка российских корневых сертификатов

Начиная с сентября 2022 года многие российские сервисы начинают переходить на TLS-сертификаты, выпущенные российским удостоверяющим центром.
В связи с чем пользователи могут испытывать проблемы при доступе к таким сайтам.
Чтобы этого избежать, нам потребуется установить в систему корневые сертификаты удостоверяющего центра, что позволит системе и браузерам доверять выпущенным им сертификатам.

Установка сертификатов в ОС

Открываем терминал и выполняем следующие команды:

Code: Select all

# от root пользователя
su
toor
# скачиваем корневой и выпускающий сертификат
# актуальные ссылки на сертификаты можно найти https://www.gosuslugi.ru/crt
wget -q --show-progress -P /tmp https://gu-st.ru/content/lending/russian_trusted_root_ca_pem.crt https://gu-st.ru/content/lending/russian_trusted_sub_ca_pem.crt
# создаем пользовательский каталог хранилища сертификатов
mkdir -p /usr/local/share/ca-certificates
# копируем сертификаты в каталог хранилища сертификатов
cp /tmp/russian_trusted_*.crt /usr/local/share/ca-certificates
# обновляем сертификаты
update-ca-certificates

Проверяем установленные сертификаты.

• 1-ый способ:

  Code: Select all

  trust list | grep Russian

  должны отобразиться:

  Code: Select all

      label: Russian Trusted Root CA
      label: Russian Trusted Sub CA

• 2-ой способ:

  Code: Select all

  wget -qS --spider --max-redirect=0 https://www.sberbank.ru

  если вы увидите HttpOnly; secure, то все в порядке.
  Это указывает на то, что мы успешно установили защищенное соединение с сайтом.

Установка сертификатов в Chromium

1. Переходим в Настройки - Конфиденциальность и безопасность - Безопасность - Настроить сертификаты.
2. Затем на закладке Центры сертификации производим поочередный импорт ранее скаченных сертификатов из каталога /tmp (см. пункт - Установка сертификатов в ОС)
3. Установите флажок Доверять этому сертификату при идентификации сайтов и нажмите ОК.
4. Проверьте список сертификатов. Найдите org-The Ministry of Digital Development and Communications и раскройте список.
Внутри должны находиться сертификаты Russian Trusted Root CA и Russian Trusted Sub CA
5. Очистите кеш вашего браузера.

Установка сертификатов в Mozilla Firefox

1. Перейдите Настройки - Приватность и защита - Сертификаты - Просмотр сертификатов и на закладке Центры сертификации выполните импорт скачанных сертификатов из каталога /tmp (см. пункт - Установка сертификатов в ОС)
2. Установите флажок Доверять при идентификации веб-сайтов и нажмите ОК
3. Проверьте список сертификатов. Найдите в нём The Ministry of Digital Development and Communications.
Внутри должны находиться сертификаты Russian Trusted Root CA и Russian Trusted Sub CA
4. Очистите кеш вашего браузера.