Как установить криптопро на linux astra
Обновлено: 04.07.2024
Компании «Крипто-Про» и «Ред Софт» подтвердили совместимость криптографической защиты информации КриптоПро CSP версии 5.0 R2 и, в том числе, с операционной системой РЕД ОС. процессор Байкал-М. Об этом сообщила компания «Ред Софт» 15 июля 2021 года. Общая работа над интероперабельностью направлена на создание отечественных комплексных конкурентоспособных решений в рамках программы. импортозамещение
Сертификация ФСБ «КриптоПро CSP» 5.0 R2 по классу защиты КС1, КС2 и КС3
7 июля 2021 г. компании «Астра Линукс» и «КриптоПро» объявили об успешной сертификации ФСБ СКЗИ «КриптоПро CSP 5.0 R2».
Криптопровайдер поддерживает актуальные отечественные алгоритмы шифрования из ГОСТ Р 34.12-2015 (ГОСТ 34.12-2018), в том числе в протоколах CMS TLS и 1.2, и соответствует всем требованиям регулятора СКЗИ для классов защиты КС1, КС2 и КС3. Если раньше реализовать максимальную степень безопасности, соответствующую классу CS3, можно было только в среде, то теперь MS Windows эта возможность стала доступна пользователям ОС, Astra Linux Special Edition отечественная операционная платформа, разрешенная к использованию в системах с этим классом защиты.
data Обеспечить безопасность класса CP3 можно не каким-то отдельным решением, а целым набором программно-аппаратных средств. Кроме соответствующего уровня ИСК, необходимо специализированное устройство ПО для создания и мониторинга закрытой программной среды, например, от Astra Linux Special Edition, а также устройство, где реализованы условия работы ИСК, позволяющие выполнять все требования этого класса защиты. Одна из таких аппаратных платформ создана в отечественном ОКБ «САПР планшетный компьютер ПКЗ 2020», совместима с ОС Astra Linux и СКЗИ «КриптоПро CSP» 5.0 R2. Устройство оснащено сертифицированным ФСБ России аппаратным модулем доверенной загрузки «АдмЗ Аккорд» на базе контроллера Аккорд-GXM.2, соответствующим классу защиты «1Б». Программный стек также совместим с отечественными. "" процессорыЭльбрус
ИТ-системы с классом защиты CS3 подходят для обработки и хранения персональных данных и другой конфиденциальной информации, не составляющей государственную тайну. Таким образом, отечественный технологический стек, включающий Astra Linux Special Edition, КриптоПро CSP 5.0 R2 и модуль AMDZ Accord, может использоваться организациями, реализующими стратегию импортозамещения, например, медицинскими учреждениями, органами социальной защиты граждан и др.
Рутокен ЭЦП 3.0 NFC и Рутокен ЭЦП 2.0 3000 совместимость с КриптоПро CSP версии 5.0 R2
В рамках многолетнего технологического сотрудничества «Актив» и «Крипто-Про» были проведены испытания, подтвердившие совместимость смарт-карт и токенов «Рутокен» со средством СКЗИ «КриптоПро CSP» версии 5.0 R2. Об этом Asset сообщил 15 марта 2021 года. Подробнее здесь.
СКЗИ «КриптоПро CSP» версии 5.0 в составе АСТ «Модуль подписи HSM»
2 декабря 2020 года стало известно, что ФСБ России утвердила заключение по результатам работ по оценке влияния Модуля подписи HSM ACT на штатное функционирование КриптоПро CSP версии 5.0 и КриптоПро HSM версии 2.0 (комплектация 1, вариант 1) и №149/3/2/2/2487, 2020. Подробнее здесь.
Совместимость СКЗИ "КриптоПро CSP" 5.0 и хром-гостевого браузера с Red OS
Компании «Крипто-ПРО» и «РЕД СОФТ» в рамках технологического партнерства протестировали совместимость своих продуктов. Разработчики подтвердили корректность работы СКЗИ «КСП КриптоПРО» версии 5.0 и браузера хром-гост (производства «Крипто-Про») с операционной системойред ОС (производства РЕД СОФТ). Результаты испытаний отражены в сертификате двусторонней совместимости. Об этом «Ред Софт» сообщил 22 июля 2020 года.
Интеграция с Astra Linux Special Edition
30 марта 2020 года группа компаний Astra Linux сообщила о включении в функционал операционной системы Astra Linux Special Edition службы электронной подписи (ЭП), разработанной совместно с КриптоПро. Подробнее здесь.
Поддержка носителей Рутокен с непривлекаемыми ключами электронной подписи
3 сентября 2019 года компания «Актив» сообщила, что в рамках технологического партнерства с «КриптоПРО» было проведено тестирование, подтвердившее совместимость usb токенов смарт-карт Рутокен и с криптографической защитой информации КриптоПро. Инструмент CSP версии 5.0.
Как отмечают в «Активе», тесты подтверждают корректность совместной работы устройств Рутокен и средств СКЗИ КриптоПро CSP 5.0. В частности, КриптоПро CSP в режиме защищенного хранения ключей работает с Рутокен С и Рутокен Лайт, а также с микроверсиями для ноутбуков. Использование этих устройств позволяет пользователям криптопровайдера защитить ключевую информацию от несанкционированного использования. Ключи и сертификаты хранятся в защищенной файловой системе Рутокен.
В обновленной версии криптопровайдера поддерживается работа с внутренней криптоячейкой Рутокен. В режиме «активный солвер» ключи контейнера КриптоПро создаются сразу в защищенной памяти устройства. Подписание документов также возможно на непривлекательных аппаратных ключах. Этот режим предотвращает извлечение ключа в память компьютера в момент подписания, подчеркивается в «Активе».
По состоянию на сентябрь 2019 года работа с непривлекательными ключами возможна для следующих моделей:
-
2,0 (микро);
- Рутокен ЭЦП 2.0 2100; ; ;
- Смарт-карты Рутокен ЭЦП 2.0 2100;
- Рутокен ЭЦП PKI;
- Смарт-карты Рутокен ЭЦП SC.
Кроме того, по словам разработчика, в пятой версии криптопровайдера появилась поддержка протокола SESPAKE (FKN), реализованная в сертифицированной модели Рутокен ЭЦП 2.0 3000. Этот протокол позволяет проводить аутентификацию без передачи в открытом виде PIN-кода пользователю и устанавливать зашифрованный канал для обмена сообщениями между криптопровайдером и носителем.
Тестирование Рутокена и криптопровайдера проводилось в операционных системах WindowsLinuxmacOS///. FreeBSD Рутокен ЭЦП Bluetooth также работает с /. iOSAndroid Рутокен Lite microSD - исключительно с Android.
Совместимость с СФ/ГОСТ JaCarta
30 июля 2019 года компания «Аладдин Р.Д.» сообщила о том, что совместно с КРИПТО-ПРО они провели тестирование на совместимость последних версий своих программных продуктов.
Проведенные специалистами компании испытания подтвердили работоспособность и корректность совместного функционирования защищенного машинного носителя (ЗМНИ) СКЗИ JaCarta SF/ГОСТ и средства КриптоПро CSP версий 4.0 R3, 4.0 R4 и 5.0.
Тестирование проводилось в операционных системах Windows 7 в (32/64-бит), (Windows 8 32/64-бит), Windows 8.1 (32/64-бит), (Windows 10 32/64-бит), ( Windows Server 2003 32/64-разрядная версия, (Windows Server 2008 32/64-разрядная версия), Windows 2008 Server R2, Windows Server 2012 Windows 2012 Server R2, дистрибутивы Windows Server 2016 Linux, соответствующие стандарту Linux Standard Base/IEC 23360 ISO версии LSB 4.x стандарт, (x86-64) Astra Linux Special Edition и 8 SP (для «Альт КриптоПро CSP» версий 4.0 R4 и 5.0) с использованием библиотеки поддержки СКЗИ «КриптоПро CSP» версии 3.6.407 или выше (для 4.0 R3 и 4.0 R4) и 5.0.0 или выше (для 5.0).
Начиная с версии 5.0 средства СКЗИ «КСП КриптоПРО» поддерживается аппаратная генерация ключа на токене JaCarta-2 ГОСТ. Раньше хранился только контейнер ключей. Теперь пользователи могут быть уверены, что при работе КриптоПро CSP с этими токенами закрытый ключ не покинет устройство, что обеспечивает повышенный уровень безопасности.
Совместимость с электронными ключами JaCarta
5 июля 2019 года компания «Аладдин Р.Д.» сообщила, что совместно с КРИПТО-ПРО завершили тесты совместимости своих продуктов.
Сертификаты совместимости, выданные по результатам тестирования, подтверждают работоспособность и корректность совместного функционирования электронных ключей СКЗИ JaCarta и средства КриптоПро CSP версий 4.0 R4 и 5.0.
Тестирование проводилось в операционных системах Windows 7 (32/64-бит), Windows 8 (32/64-бит), Windows 8.1 (32/64-бит, Windows 10 (32/64-бит), Windows 2003 Сервер (32/64-бит), Windows 2008 Server (32/64-бит), Windows 2008 Server R2, Windows 2012 Server, Windows 2012 Server R2, Windows 2016 Server дистрибутивы Linux, удовлетворяющие ISO к Linux Standard Base/IEC 23360 стандарт версии LSB 4.x (для версий "CSP Cryptomissile Defence" 4.0 R4 и 5.0) Windows 2019 Server и (64-bit), X Mac OS 10.9/10.10/10.11/10.12/10.13/10.14 (x64), Apple iOS 8/9/10/11/12 (ARMv7, ARM64) (для версий "CSP Cryptomissile Defence" 5.0).
Начиная с версии 5.0 средства СКЗИ «КСП КриптоПРО» поддерживается аппаратная генерация ключа на токене JaCarta-2 ГОСТ. Раньше хранился только контейнер ключей.Теперь пользователи могут быть уверены, что при работе КриптоПро CSP с этими токенами закрытый ключ не покинет устройство, что обеспечивает повышенный уровень безопасности.
Совместимость с Astra Linux на процессорах Эльбрус и Байкал
24 января 2019 г. компания ASTRALINUX сообщила, что средство электронной подписи КриптоПро CSP сертифицировано для использования в российской операционной системе Astra Linux для процессорной архитектуры Эльбрус и Байкал (MIPS). Подробнее здесь.
2016: КриптоПро CSP работает на Байкал-Т1
27 сентября 2016 года компании КриптоПро «Актив» объявили о поддержке Байкал-Т1 работы криптопровайдера КриптоПро CSP, токенов и смарт-карт с двухъядерным процессором. Рутокен
Байкал-Т1 — разработка компании Baikal Electronics. Инженерные образцы процессора были представлены в мае 2015 года.
Композитное решение Рутокен и КриптоПро CSP представляет собой синергию криптографических продуктов. По словам разработчиков, использование связки «КриптоПро CSP» и «Рутокен» на платформе «Байкал-Т1» обеспечивает безопасную аутентификацию, хранение ключей шифрования и электронных подписей при работе с конфиденциальной информацией. Высокий уровень безопасности достигается за счет гарантированного отсутствия программных закладок в процессорах Байкал-Т1.
В качестве СКЗИ разрешается использовать только КриптоПро следующую версию CSP:
- КриптоПро CSP версии 4.0 R4;
- КриптоПро CSP версии 5.0;
Указанные СКЗИ должны быть приняты в Российской Федерации в исполнениях 1-Base или 2-Base.
СКЗИ КриптоПро CSP в первой версии 2-Base в Республике Молдова с аппаратно-программным модулем доверенной загрузки (АПМДЗ).
При эксплуатации СКЗИ необходимо соблюдать требования и рекомендации по эксплуатации документации на СКЗИ, в частности требования по защите от несанкционированного доступа и по криптографической защите, а также требования по обязательному использованию СКЗИ аппаратно-программным платформам. В частности, в реестре СЭП по оценке СКЗИ необходимо проведение проверки программного обеспечения BIOS ЭВМ, в связи с чем рассматриваются функции СКЗИ и СЭП, в соответствии с методическими документами ФСБ России в исследованиях программного обеспечения BIOS.
Контроль целостности СКЗИ и СЭП должен выполняться с использованием механизма замкнутой программной среды ОС или с использованием стандартных средств контроля целостности КриптоПро CSP.
Для ОС Astra Linux загрузите пакет КриптоПро CSP 4 и выше версии - пакет для 64 разрядной системы.
Пробный период использования КриптоПро CSP составляет 3 месяца, по приблизительности прохождения полной проверки.
2) открыть "Терминал Fly" (alt+T);
3) разархивировать полученный архив в терминальной команде:
6) подключение к сети ПО с запуском сценария "install.sh" или "instal_gui.sh" командой:
* Выбрать необходимые модули, библиотеки.
Описание пакетов КриптоПро
| Пакет | Описание |
|---|---|
| Базовые пакеты: | |
| cprocsp-curl | Библиотека libcurl с реализацией шифрования по ГОСТ |
| lsb-cprocsp-base | < td style="text-align: left;" >Основной пакет КриптоПро CSP|
| lsb-cprocsp-capilite | < td style="text-align: left;" >Интерфейс CAPILite и утилиты|
| lsb-cprocsp-kc1 | < td style="text-align: left;" >Провайдер криптографической службы KC1|
| lsb-cprocsp-rdr | < td style="text-align: left;" >Поддержка ридеров и ГСЧ|
| Дополнительные пакеты: | |
| Графический интерфейс для диалоговых оп ераций | |
| cprocsp-rdr-rutoken | Поддержка карт Рутокен |
| cprocsp-rdr-jacarta | Поддержка карт JaCarta |
| cprocsp-rdr-pcsc | Компоненты PC/SC для ридеров КриптоПро CSP |
| lsb-cprocsp-pkcs11 | Поддержка PKCS11 |
Для просмотра всех пакетов КриптоПро CSP ввести команду:
Прописание путей к исполняемым файлам
Для того, чтобы не вводить каждый раз полный путь к утилитам КриптоПро CSP, в терминале FLY следует ввести команду:
Установка дополнительных пакетов с модулям поддержки для токена
Для корректной работы с токеном/смарт-картой обязательно требуется установить:
библиотека libccid, libgost-astra, пакеты pcscd
После установки пакетов с модулем поддержки токена следует перезагрузить военнослужащие pcscd:
Ключ для работы в режиме замкнутой программной среды Astra Linux SE.
-
Перед импортом ключа следует предварительно установить пакет astra-digsig-oldkeys для работы в режиме замкнутой программной среды Astra Linux SE следует загрузить и поместить в предварительно созданную директорию: /etc/digsig/keys/legacy/cryptopro
После чего санкционирует команду:
Подтвердить срок действия лицензии может команда:
/opt/cprocsp/sbin/amd64/cpconfig -license -view
Установка лицензии
Для установки другая лицензия следует за комиссией :
Идентификация токена
Для просмотра списка настроений считывателей можно поиграть в игры:
Чтобы узнать модель подключения токена, следует ввести команду:
Проверить наличие носителей с контейнерами можно с помощью команды:
Где \\.\HDIMAGE - локальный носитель, \\.\HDIMAGE\TestCont123 - название контейнера, \\.\Актив Рутокен ECP 00 00 - название носителя (токена).
Подробная информация о "Имена контейнеров"
Информация о контейнерах
Для просмотра подробной информации о контейнерах команды:
Пример работы команды:
/opt/cprocsp/bin/amd64/csptestf -keyset -container 'Shuhrat' -info
CSP (тип: 80) v5.0.10001 KC1 Release Ver: 5.0.11233 ОС: Linux ЦП: AMD64 FastCode: ГОТОВО:AVX.
AcquireContext: ОК. HCRYPTPROV: 8981043
GetProvParam(PP_NAME): Крипто-Про ГОСТ Р 34.10-2012 KC1 CSP
Имя контейнера: "Шухрат"
Ключ подписи имеется. HCRYPTKEY: 0x8f3b03
Ключ Exchange доступен. HCRYPTKEY: 0x8f9883
Симметричный ключ недоступен.
Ключ UEC недоступен.
Информация об алгоритмах CSP:
Тип:Шифровать Имя: 'ГОСТ 28147-89'(14) Длинное: 'ГОСТ 28147-89'(14)
DefaultLen:256 MinLen:256 MaxLen:256 Prot :0 Алгид:00026142
Type:Hash Name:'GR 34.11-2012 256'(18) Long:'GOST R 34.11-2012 256'(22)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00032801
Type:Signature Name:'GR 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256'(22)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00011849
Type:Exchange Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid: 00043590
Type:Exchange Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid: 00043591
Type:Hash Name: 'MAC ГОСТ 28147-89'(18) Long: 'MAC ГОСТ 28147-89'(18)
DefaultLen:32 MinLen:8 MaxLen:32 Prot:0 Algid:00032799< /p>
Тип: Шифровать имя: 'GR 34.12 64 M'(14) Длинное: 'ГОСТ Р 34.12-2015 64 Magma'(27)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026160
Type:Encrypt Name:'GR 34.12 128 K'(15) Long:'GOST R 34.12-2015 128 Кузнечик'(33)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026161
Type:Hash Name: 'GR 34.13 64 M MAC'(18) Long: 'ГОСТ Р 34.13-2015 64 Magma MAC'(31)
DefaultLen:64 MinLen:8 MaxLen:64 Prot:0 Algid :00032828
Type:Hash Name: 'GR 34.13 128 K MAC'(19) Long: 'ГОСТ Р 34.13-2015 128 Кузнечик MAC'(37)
DefaultLen:128 MinLen:8 MaxLen:128 Prot:0 Algid :00032829
Type:Hash Name: 'GR34.11-12 256 HMAC'(20) Long: 'ГОСТ Р 34.11-2012 256 HMAC'(27)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Альгид:00032820
Статус:
Используемые дескрипторы поставщика: 6
Максимум дескрипторов поставщика: 1048576
Использование ЦП: 6 %
Использование ЦП CSP: 0 %
Интервал измерения: 119 мс
Используемая виртуальная память: 15281652 КБ
Виртуальная память, используемая CSP: 116572 КБ
Свободная виртуальная память: 26053680 КБ
Общая виртуальная память: 41335332 КБ
Используемая физическая память: 14602360 КБ
Физическая память, используемая CSP: 12576 КБ
Свободная физическая память: 5857712 КБ
Общая физическая память: 20460072 КБ
Информация о паре ключей:
HCRYPTKEY: 0x8f3b03
AlgID: CALG_GR3410_12_256 = 0x00002e49 (00011849):
AlgClass: ALG_CLASS_SIGNATURE
AlgType: ALG_TYPE_GR3410
AlgSID: 73
/>KP_HASHOID:
1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
KP_DHOID:
1.2.643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по По умолчанию)
KP_SIGNATUREOID:
1.2.643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по умолчанию)
Разрешения:
CRYPT_READ
CRYPT_WRITE
CRYPT_IMPORT_KEY
0x800
0x2000
0x20000
0x100000
KP_CERTIFICATE:
Не установлено.
Версия контейнера: 2
Флаги носителя:
Этот считыватель съемный.
Этот ридер поддерживает уникальные имена операторов связи.
У этого оператора нет встроенной криптографии.
Ключи в контейнере:
ключ подписи
ключ обмена
Расширения (maxLength: 1435):
ParamLen: 46
OID: 1.2.643.2.2.37.3.9
Критический: FALSE
Размер: 19
Размер в декодированном виде: 24
PrivKey: Не указан - 18.01.2020 07:31 :07 (всемирное координированное время)
ParamLen: 47
OID: 1.2.643.2.2.37.3.10
Критический: FALSE
Размер: 19
Размер в декодированном виде: 24
PrivKey: Не указано - 18.01.2020 07:31:12 (UTC)
Всего: SYS: 0,020 с USR: 0,180 с UTC: 2180 с
[ErrorCode: 0x00000000]
При наличии кириллических символов в имени ключевого контейнера для дальнейшей работы с таким контейнером необходимо использовать его идентификатор. Чтобы получить идентификаторы задержанных контейнеров, використовуйте команду:
Следует вычислить про PIN-коды в контейнерах:
- если само устройство обеспечивает аутентификацию (как, например, токен), то PIN-код при установке контейнера не создается, а характеристики, так как он - свойство устройства. Как следствие: у всех контейнеров на токене получена PIN-код.
- если устройство аутентификации не обнаружено (как HDIMAGE), то при обнаружении контейнера создается и PIN-код. Следствие: у всех контейнеров, PIN-код на HDIAMGE может быть разным.
Проверка работы контейнера
Для того, чтобы проверить работу контейнера (в том числе возможность выполнения различных операций по проверке лицензии), следует контролировать команду:
/opt/cprocsp/bin/amd64/csptestf -keyset -container Shuhrat -check
CSP (Type:80) v5.0.10001 KC1 Release Ver:5.0.11233 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: ОК. КРИПТПРОВ: 28224051
GetProvParam(PP_NAME): Крипто-Про ГОСТ Р 34.10-2012 KC1 CSP
Имя контейнера: "Шухрат"
Проверить заголовок успешно.
Ключ подписи доступен. ХРИПТКЕЙ: 0x1b53883
Ключ обмена доступен. ХРИПТКЕЙ: 0x1b57e23
Симметричный ключ недоступен.
Ключ UEC недоступен.
Лицензия: сертификат без лицензии
Проверка контейнера прошла.
Знак проверки пройден.
Проверить подтверждение подписи на переданном закрытом ключе.
Проверить подпись открытого ключа.
Проверить успешность импорта (импорт ограничен).
Знак проверки пройден.
Проверить подтверждение подписи на переданном закрытом ключе.
Проверить подпись открытого ключа.
Проверить успешность импорта.
Сертификат в контейнере соответствует ключу AT_KEYEXCHANGE.
Ключи в контейнере:
PrivKey: не указано — 18.01.2020 07:31:07 (UTC)
PrivKey: не указано — 18.01.2020 07:31:12 (UTC)
Всего: SYS: 0,030 сек. USR: 0,140 сек. UTC: 2430 сек.
Удаление контейнера
Для извлечения контейнера следует национальная команда:
Копирование контейнера
Для примера скопируем контейнер из контекстного хранилища в хранилище Рутокена ЕЦП:
csptestf -keycopy -contsrc '\\.\HDIMAGE\Контейнер_оригинал' -contdest '\\.\Актив Рутокен ЭЦП 00 00\Контейнер_копия'
Смена пароля на контейнер (снятие паролей с контейнера)
/opt/cprocsp/bin/amd64/csptestf -passwd -cont '\\.\Актив Рутокен ECP 00 00\TestContainer' -change 'новый_пароль' -passwd 'старый_пароль
В случае, если контейнеру с контейнером не был задан PIN-код, ключ следует женской команде:
/opt/cprocsp/bin/amd64/csptestf -passwd -cont '\\.\Актив Рутокен ECP 00 00\TestContainer' -change 'Ваш_новый_пароль'
Категории сертификатов
Сертификаты на четыре категории:
Установка
Пример установки личного сертификата, выданного УЦ Министерства Обороны Российской Федерации:
Установка всех индивидуальных сертификатов со всех контейнеров в uMy :
В опции -pattern >>> 'рутокен' может быть другой в зависимости от подключения токена.
1) Имя хранилища указано в формате certmgr, у cryptcp похожий формат: -mroot и -uAddressBook
2) Из под учетной записи пользователя ставится в uca, из под учетной записи администратора ставится в mca:
3) В опциях -pattern можно указать пустые для установки всех сертификатов в uMy. Пример:
Просмотр
Для просмотра выше сборов сертификатов можно :
Удаление
Удаление сертификата из хранилища КриптоПро:
После чего на экране будет выведен весь список сертификатов и предложено ввести номер удаляемого сертификата.
Или удаление всех сертификатов:
Экспорт сертификатов на другую машину
Закрытые ключи к сертификатам находятся здесь: /var/opt/cprocsp/keys .
Поэтому эти ключи переносятся просто: создаем архив и переносим на нужную машину в том же каталоге.
Проверка цепочек сертификатов
Для примера: чтобы проверить цепочку сертификатов, можно получить персональный сертификат в файле:
Можно указать другое поле сертификата: ЧН, Э, СН, ОГРН, СНИЛС и тд.
Из вывода следует, что у нас отсутствует некий сертификат в цепочке сертификатов. Можно использовать в режиме отладки (отладки):
В нашем понимании из логов можно сделать вывод, что нам необходимо установить сертификат УЦ МО с CN=Министерство обороны Российской Федерации:
Для того, чтобы быть уверенным в устранении ошибок, можно повторить в режиме отладки игровой платформы. При правильно установленной цепочке сертификатов, статус у сертификата будет = CERT_TRUST_NO_ERROR
Подпись можно делать любыми способами:
Подпись файлов (присоединённая)
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.
Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02
Цепочки сертификатов проверены.
Папка './': raport.pdf.
Подпись данных.
Подпись файлов(отсоединённая)
/opt/cprocsp/bin/amd64/cryptcp -sign -detach -dn 'CN=Название_нужного_сертификата' -pin 12345678 raport.pdf raport.pdf.sig
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.
Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02
Цепочки сертификатов проверены.
Папка './': raport.pdf. Подпись данных.
Проверка подписки в файле
Для прикрепленной подписки
Для проверки прикрепленной подписки требуется:
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.
Найдено сертификатов: 4
Цепочки сертификатов проверены.
Папка './':
raport.pdf.sig . Проверка подписки.
Подпись проверена.
[ErrorCode: 0x00000000]
естественный
/opt/cprocsp/bin/amd64/cryptcp -verify -verall -detached /home/shuhrat/smolensk/raport.pdf raport.pdf.sig
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.
Папка '/home/shuhrat/smolensk/': /home/shuhrat /смоленск/рапорт.pdf. Проверка подписки.
Цепочки сертификатов проверены.
Папка './': raport.pdf. Проверка подписки.
Подпись проверена.
[ErrorCode: 0x00000000]
обучающий
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.
Цепочки сертификатов проверены.
Папка './': raport.pdf.
Проверка подписки..
Подпись проверена.
[ErrorCode: 0x00000000]
Извлечение подписанного файла
Чтобы получить файл, необходимо указать его имя в конце команды проверки подписки:
В версии КриптоПро 5 появилась графическая утилита для работы с сертификатами - cptools.
Её можно реализовать из консоли:
Для того, чтобы удалить ПО КриптоПро CSP, в терминале FLY следует ввести последовательность 3 команды:
В соответствии с принятым в 2014 году порядком перехода на ГОСТ Р 34.10-2012 до 1 января 2019 года попытка использования ГОСТ Р 34.10-2001 (кроме проверки подписки) на всех выпущенных к настоящему моменту сертифицированных версий КриптоПро CSP 3.9, 4.0 и КриптоПро JCP 2.0 с 1 января 2019 года вызовет ошибку/предупреждение (в зависимости от продукта и режима работы), которые автоматически выглядят неработоспособными. /автоматизированных систем при сборе ключей ГОСТ Р 34.10-2001. В случае если ваша система использует ключи ГОСТ Р 34.10-2001, просим принять во внимание инструкцию.
Для обнаружения данных предупреждений в КриптоПро CSP, необходимо добавить два ключа в конфигурационный файл /etc/opt/cprocsp/config64.ini в существующую секцию Параметры:
На данный момент завершается сертификация обновленной версии КриптоПро CSP 4.0 R4. Для наиболее безболезненного продолжения работы в соответствии с ГОСТ Р 34.10-2001 в 2019 году мы рекомендуем обновиться до этой версии. В более старых версиях КриптоПро CSP , а также Клиент HSM 2.0 наблюдаются технические требования формирования подписки по ГОСТ Р 34.10-2001 после 1 января 2019 года в виде обострения окончаний.
КриптоПро: Плагин IFCP для входа ЕСИА (Госуслуги)
КриптоПро КАДЫ ЭЦП Плагин для браузера
Таблица наличия устройств Крипто-Про CSP
На официальном сайте СКЗИ КриптоПро в таблице указаны носители, продемонстрировавшие работоспособность с аналогичной версией КриптоПро CSP:
и установить набор пакетов КриптоПро CSP:
Установить пакеты cprocsp-stunnel, cprocsp-rdr-pcsc, cprocsp-rdr-rutoken и ifd-rutokens из состава дистрибутива КриптоПро CSP 4.0 R3:
Вставить установочный диск ОС в привод и включить команду добавления репозитория на этот диск:
Установить пакеты pcscd и libccid из установочного диска ОС:
Добавить в конфигурационный файл /etc/opt/cprocsp/config64.ini секции криптопровайдеров КриптоПро HSM в соответсвующем разделе [Defaults\Provider]:
[Defaults\Provider\"Crypto-Pro HSM CSP"] "Путь к изображению" = "/opt/cprocsp/lib/amd64/libcspr.so" "Имя таблицы функций" = "CPSRV_GetFunctionTable" Тип = 75 Channel = ".clientk2" [Defaults\Provider\"Крипто-Про ГОСТ Р 34.10-2012 HSM CSP"] "Путь к изображению" = "/opt/cprocsp/lib/amd64/libcspr.so" "Имя таблицы функций" = " CPSRV_GetFunctionTable" Type = 80 Channel = ".clientk2" [Defaults\Provider\"Крипто-Про ГОСТ Р 34.10-2012 Strong HSM CSP"] "Путь к изображению" = "/opt/cprocsp/lib/amd64/libcspr.so" " Имя таблицы функций" = "CPSRV_GetFunctionTable" Тип = 81 Канал = ".clientk2"
[Defaults\Provider\"Crypto-Pro HSM CSP 01"] "Путь к изображению" = "/opt/cprocsp/lib /amd64/libcspr.so" "Имя таблицы функций" = "CPSRV_GetFunctionTable" Тип = 75 Канал = ".clientk2a" [По умолчанию\Провайдер\"Крипто-Про ГОСТ Р 34.10-2012 HSM CSP 01"] "Путь к изображению" = " /opt/cprocsp/lib/amd64/libcspr.so" "Имя таблицы функций" = "CPSRV_GetFunctionTable" Тип = 80 Channel = ".clientk2a" [Defaults\Provider\"Крипто-Про ГОСТ Р 34.10- 2012 Strong HSM CSP 01"] "Путь к изображению" = "/opt/cprocsp/lib/amd64/libcspr.so" "Имя таблицы функций" = "CPSRV_GetFunctionTable" Тип = 81 Channel = ".clientk2a"
Перезапустить службы cprocsp и pcscd:
Экспортировать в файлы корневые сертификаты КриптоПро HSM из папки контейнеров ключей доступа:
Имена задержанных контейнеров можно вывести:
Установить корневые сертификаты КриптоПро HSM:
Установить сертификаты ключей доступа в личное хранилище с привязкой к ключевому контейнеру:
Экспортировать сертификаты доступа к файлам:
Создать файл /etc/opt/cprocsp/stunnel/stunnel.conf, содержащий предложение содержимым:
pid = /var/opt/cprocsp/tmp/stunnel-k2.pid output = /var/log/stunnel-k2.log socket = r:TCP_NODELAY=1 debug = 0 max_clients =25 for_hsm = yes
[clientk2] client = yes connect = 192.168.0.1:1501 accept = /var/opt/cprocsp/tmp/.clientk2 cert = /root/user1.cer pincode =12345678
[clientk2a] client = yes connect = 192.168.1.1:1501 accept = /var/opt/cprocsp/tmp/.clientk2a cert = /root/user2.cer pincode =12345678
В случае использования IP-адреса Криптопро HSM 192.168.0.1 и 192.168.1.1, пин-коды применяются контейнеров 12345678.
Запустить процесс stunnel_fork:
Проверить доступность криптопровайдеров Криптопро HSM:
/opt/cprocsp/bin/amd64/csptest -enum -provider "Крипто-Про HSM CSP" -provtype 75 -info /opt/cprocsp/bin/amd64/csptest -enum -provider "Крипто-Про ГОСТ Р 34.10-2012 HSM CSP" -provtype 80 -info /opt/cprocsp/bin/amd64/csptest -enum -provider "Крипто-Про ГОСТ Р 34.10-2012 Strong HSM CSP" -provtype 81 -info /opt/cprocsp/ bin/amd64/csptest -enum -provider "Крипто-Про HSM CSP 01" -provtype 75 -info /opt/cprocsp/bin/amd64/csptest -enum -provider "Крипто-Про ГОСТ Р 34.10-2012 HSM CSP 01" - provtype 80 -info /opt/cprocsp/bin/amd64/csptest -enum -provider "Крипто-Про ГОСТ Р 34.10-2012 Strong HSM CSP 01" -provtype 81 -info
Linux изучаю по долгу службы уже придерживаюсь 3! день.Так что сильно не фейспалмте, если я где-то буду писать бред или очевидные вещи, потому что только вчера впервые удалось установить хоть какой-то софт через терминал Fly и все эти команды
Встала установка на Astra Linux 1.6 Смоленск криптопро для подписания документов. Зашел на офсайт, скачал крипто (версия для Linux deb x64), скачал инструкцию "Руководство администратора безопасности. Linux" (на всякий случай прикреплю) - ставлю по ней. Вроде даже получилось установить из-под юзера (дал перед ним права sudo) - по какому-то случаю создалось /opt/cprocsp/sbin/amd64, но затык на опасность 4, где надо ввести казнь. Написано "для просмотра лицензии использовать" cpconfig -license -view - в каталоге перешел через компакт-диск, файл физически существует, но при вводе использования команды пишет, что команда не найдена. Из файлового менеджера этот файл cpconfig тоже не запускается - при двойном выполнении ничего не происходит, а через "Открыть с помощью". Файл с типом application/x-executable.
Вдруг кто поставил криптопро на Astra Linux, подскажите как быть
ЖТЯИ.00101-02 91 03. Руководство администратора безопасностиУстановка gnome на astra linux
Всем привет. Подскажите, пожалуйста, с какими репозиториями debian/ubuntu можно установить gnome на.Установка пакета libqt4-sql-psql в astra linux
для написания программы требуется пакет libqt4-sql-psql, в менеджере пакетов я его не обнаружил. .Подключить репозитории Debian в Astra linux
Добрый день! Тестирую Астра Линукс! хотелось бы подключить репозиторий Debian Census, на кого.
Запретить пользователям изменить свой пароль. Astra Linux 1.6
Здравствуйте! На астре 1.6 необходимо заблокировать обычных пользователей возможностью самому менять свой.Там же надо архив linux-amd64_deb.tgz распаковать как root или через sudo игровой скрипт установить.
Ещё надо установить три пакета cprocsp-pki, архив с ними тоже надо скачать, плагин для браузера.
Из вышеупомянутого архива необходимо установить пакет с rdr-gui-gtk от имени, если он сам не установился скриптом.Там же надо архив linux-amd64_deb.tgz распаковать и как root или через sudo игровой скрипт установить.
это я сделал, установилось успешно. Не получается файл cpconfig открыть, чтобы ввести в действие. На последующих этапах установки и настройки я еще не смотрел
Читайте также:
