menu

Aвторизация

Авторизация

Установка и настройка КриптоПРО на Linux

Поиск  Правила  Войти
Форум ЕГРН клуба » Опыт регистрации в ЕГРН » Программное обеспечение для подготовки документов на регистрацию и кадастровый учет
Страницы: 1
Ответить
RSS
Установка и настройка КриптоПРО на Linux, установка криптопровайдера по ГОСТ и плагина для браузера
 
Рассмотрим установку на linux ubuntu/mint в моем случае это был дистрибутив linux mint с рабочим столом KDE, очень удобный, стабильный и красивый дистрибутив!
Сразу предупреждаю, что название директорий и файлов может быть иной, просто слепое копирование команд может не прокатить.
Речь о четвертой версии КриптоПРО, скачать ее можно на официальном сайте предварительно зарегистрировавшись. Ссылка на скачивание тут https://www.cryptopro.ru/products/csp/downloads я брал последний релиз. Прилагаю ПДФ инструкцию от КриптоПРО, в скупе с этим постом, позволит Вам настроить ПО за считанные минуты.
Открываем терминал и заходим под суперпользователем (сразу предупреждаю, если Вы не задавали пароля суперпользователя, то зайти под ним не сможете, задайте пароль предварительно) заходим под root или используем SUDO
Код
su 
система спросит пароль. Перед началом установки я распаковал скачанный архив с сайта КриптоПРО и перешел в терминале к директории с распакованными файлами
Код
cd /home/....
устанавливаем КриптоПРО
Код
sudo ./install.sh 
Кроме того из архива открыв установщиком deb пакетов установите другие пакеты для работы например Рутокена, ГУИ и тд... для верности можно поставить все имеющиеся пакеты криптоПРО )
Переходим в каталог
Код
cd /opt/cprocsp/sbin/amd64 
проверяем лицензию
Код
./cpconfig -license -view 
устанавливаем лицензию. Если у Вас нет лицензионного ключа, не страшно, демка работает некоторое время.
Код
./cpconfig -license -set 4040M-L0000-02XRC-HGU5E-7PL6Q 
выходим из root
Код
exit 
Переходим в каталог утилиты
Код
cd /opt/cprocsp/bin/amd64 
Установка корневого сертификата ГУЦ, скачать его можно с официального сайта по ссылке https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2 страница с его описанием находится тут https://e-trust.gosuslugi.ru/MainCA
Код
./certmgr -inst -store root -file <путь к файлу с сертификатом> 
Установка всю цепочку сертификатов от личного до ГУЦ (личный сертификат не ставим, его будем ставить из ключевого контейнера). Получить цепочку, можно посмотрев кем Выдан Ваш сертификат (если у Вас нет его отдельным файлом для просмотра, то ниже будут команды которыми можно получить информацию о нем из ключевого контейнера). Я для этой процедуры воспользовался ГУИ винды на другом ПК, которая показывает всю цепочку сертификатов Сохранил в видне промежуточные сертификаты в файл *.cer и установил их в linux по команде ниже:
Код
./certmgr -inst -store ca -f <путь к файлу с сертификатом> 
Получаем список ключевых контейнеров, предварительно воткнув в комп флешку с ключом:
Код
./csptest -keyset -enum_cont -fqcn -verifyc 
Копируем закрытый ключ на комп. Ставьте обязательно пароль на ключ. Я поставил пароль в виде одного символа, так как в моем случае диск ПК шифрованный, его кража ни как не повлияет на доступность ключей. Почему я поставил пароль хоть и в один символ? для того, чтобы какой либо не добросовестный сайт или приложение не получили доступ к ключу в процессе работы ПК. Имена контейнеров будут отличаться от приведенных в примерах команд. Если у Вас ключ на съемном носителе, это самый безопасный вариант, если не уверенны в безопасности не копируйте на ПК.
Код
./csptest -keycopy -contsrc '\\.\FLASH\_13_02_2019' -typesrc 75 -contdest '\\.\HDIMAGE\_02_2019' 
устанавливаем из ключевого контейнера личный сертификат
Код
./certmgr -inst -cont '\\.\HDIMAGE\ryb16_17' 
проверяем личный сертификат
Код
./certmgr -list -store uMy 
Установка плагина для работы с ЭЦП из браузера предварительно установив утилиту alien. Архив с файлами плагина последней версии надо скачать с сайта криптоПРО по ссылке http://www.cryptopro.ru/products/cades/plugin
Код
sudo apt install alien
Код
sudo alien -kci cprocsp-pki-2.0.0-amd64-cades.rpm cprocsp-pki-2.0.0-amd64-plugin.rpm 
Установить дополнение для браузера мозила отсюда:
https://www.cryptopro.ru/sites/default/files/products/cades/extensions/cryptopro_extension_for_cades_browser_plug_in-1.1.1-an+fx-windows.xpi
Гугловский хром работает и без него пока.
Для проверки работы браузера, необходимо перейти на тестовую страницу https://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html
Частая проблема с браузером, это не отображается Ваш личный сертификат, у меня была такая проблема из-за того, что я не установил вся цепочку сертификатов от личного сертификата до ГУЦа. Для того, чтобы визуализировать проблему, можно поставить демку КриптоАРМ https://cryptoarm.ru/shop/trusted_esign?utm_source=yandex&utm_medium=cpc&utm_term=%D0%BA%D1%80%D0%B8... там Вы увидите в списке сертификатов зеленой галкой ГУЦ и нижестоящие по иерархии сертификаты, в том числе и личный сертификат, если личный отмечен красным, значит нет сквозной цепочки сертификации до ГУЦа. При отсутствии полной цепочки, Ваш сертификат система не считает доверенным. Вам необходимо до установить, все промежуточные сертификаты, чтобы Ваш личный стал с зеленым значком, тогда Вы без проблем увидите его на тестовой странице криптоПРО.
Поздравляю! Вы готовы участвовать в гос торгах, регистрировать недвижимость, обращаться в гос органы и тд с браузера. Попробовать получить файл подписи для произвольного файла можно тут https://armrus.org/extranet/useful/electronic-signature/ полученную пару файлов, можно использовать как юридически значимый документ.
Изменено: Алексей Рябов - 14 авг 2018 20:39:07 (в обнавленном релизе крипто про в коменде копирования ключа, необходимо указывать тип носителя)
 
Сколько сейчас будет стоить установка и настройка ?
 
Цитата
Алексей Алексеев написал:
Сколько сейчас будет стоить установка и настройка ?
В последних релизах криптоПро под linux, в архиве релиза уже лежит скрипт который все сам делает, иногда задает у пользователя вопросы. Скрипт надо запускать от root или через sudo.
Пользователю останется только установить пользовательские сертификаты и при необходимости скопировать ключи.
Для копирования ключей используйте команду написанную выше, только ее некоторые параметры для 5 версии не актуальны. Команда копирования ключа выглядит примерно так:
Код
./csptest -keycopy -contsrc '\\.\FLASH\_13_02_2021' -contdest '\\.\HDIMAGE\_02_2021'

На вопрос о стоимости не отвечу, если необходимо комплексное решение, можем посчитать и осметить. Думаю трудозатрат для линукс админа в размере хорошего ужина :) дольше доступы настраивать и договариваться.

 
Спасибо! Полезное инфо!
 
Если Вы генерировали запрос на сертификат, то у Вас генерировался и ключевой контейнер с закрытым ключом. После того, как удостоверяющий центр выпустит сертификат, Вам надо будет связать этот сертификат с Вашим ключевым контейнером. Для этого можно использовать команду:
Код
cd /opt/cprocsp/bin/amd64
./certmgr -inst -file /home/user/Загрузки/userCer.cer -cont '\\.\HDIMAGE\my_cont'
Где /home/user/Загрузки/userCer.cer соответственно путь к скачанному сертификату, а \\.\HDIMAGE\my_cont контейнер с ключами. Обозначение контенера может быть немного другой конфигурации в зависимости от носителя контейнера (флешка, токен, диск компа). Как получить список Ваших контейнеров обсуждали чуточку выше.
Страницы: 1
Ответить
Читают тему (гостей: 1)
Форма ответов
Текст сообщения*
Перетащите файлы
Ничего не найдено
Загрузить файлы