Для забезпечення роботи з електронними ключами Rutoken в ОС сімейства Linux необхідно встановити:
1. КриптоПро CSP
2. Пакети зі складу дистрибутива КриптоПро CSP : cprocsp-rdr-pcsc, cprocsp-rdr-rutoken
3. Для Rutoken S додатково потрібний драйвер. Або із сайту виробникаhttps://www.rutoken.ru/support/download/nix/ , або зі складу дистрибутива КриптоПро CSP - ifd-rutokens
Важливо!
Для роботи електронних ідентифікаторів Rutoken необхідно встановити:
УDEB-Based системі: бібліотека libccid не нижче 1.4.2, пакети pcscd та libpcsclite1.
У RPM-based системі:пакети ccid, pcscd та pcsc-lite.
Нижче наведено приклади встановлення пакетів користувачем, який має права адміністратора ( root ). В іншому випадку, на початку команди слід поставити « sudo», наприклад:
user @ ubuntu: # sudo ./install. sh
Встановлюємо драйвер RutokenдляDEB- basedіRPM- basedсистем (тільки дляRUTOKENS):
DEB:
[email protected] :# dpkg -i ifd-rutokens
RPM:
[email protected] :# rpm -i ifd-rutokens
Встановлюємо КриптоПро CSPдля DEB- basedіRPM- basedсистем:
Для обох систем
root @ ubuntu:#./install. sh
Встановлюємо модуль підтримки PCSC-зчитувачів для DEB- basedіRPM- basedсистем (дод. пакет):
DEB:
[email protected] :# dpkg -i cprocsp-rdr-pcsc
RPM:
[email protected] :# rpm -i cprocsp-rdr-pcsc
Встановлюємо модуль підтримки RutokenдляDEB- basedіRPM- basedсистем (дод. пакет):
DEB:
[email protected] :# dpkg -i cprocsp-rdr-rutoken
RPM:
[email protected] :# rpm -i cprocsp-rdr-rutoken
Після підключення зчитувача перевіримо, чи визначає його система:
[email protected] :# /opt/cprocsp/bin/amd64/csptest -card -enum
Aktiv Rutoken ECP 00 00
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.240 sec
[ErrorCode : 0 x 00000000]
Перегляд списку налаштованих зчитувачів:
[email protected] :# /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view
Nick name: Aktiv Rutoken ECP 00 00
Connect name:
Reader name: Aktiv Rutoken ECP 00 00
Nick name: FLASH
Connect name:
Reader name: FLASH
Nick name: HDIMAGE
Connect name:
Reader name: HDIMAGE
Для тестування створимо самопідписаний сертифікат із закритим ключем:
[email protected] :~# /opt/cprocsp/bin/amd64$ ./csptestf -keyset -newkeyset -makecert -cont "\\.\Aktiv Rutoken ECP 00 00\test" -keytype exchange
CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 34026883
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "відповідь"
Exchange key is not available.
Примітка до створення an exchange key...
Press keys...
[..........................................................................]
an exchange key created.
Subject/Issuer: [email protected] CN=test
Self signed certificate created: [email protected] CN=test
У цій інструкції описано встановлення СКЗІ КриптоПро CSP 4.0 в ROSA Fresh R7-R10 (RED X2-X3) для роботи з електронними ключами Рутокен. Приклад наведено для 64-розрядної архітектури AMD64; для 32-розрядної i586 установка аналогічна з точністю до назв настановних пакетів та папок. Для встановлення потрібні навички роботи у файловому менеджері (для KDE-версії це Dolphin) та консолі (Konsole або F4 при роботі в Dolphin).
Отримання настановних пакетів
Перед встановленням СКЗІ КриптоПро CSP 4.0 спочатку потрібно зареєструватися на сайті https://www.cryptopro.ru/ та зі сторінки завантаження https://www.cryptopro.ru/products/csp/downloads завантажити версію 4.0 для Linux у пакеті rpm.
Встановлення базових компонентів КриптоПро
- Розпакуйте завантажений архів. Це можна зробити, вибравши відповідний пункт меню у графічному інтерфейсі або виконавши консольні команди:
Повинна з'явитися папка з файлами інсталяції КриптоПро.
- У консолі перейдіть до цієї папки:
Подальше встановлення потрібно виконувати з правами адміністратора (root).
- Виконайте команду переходу в режим адміністратора (su) у консолі та введіть пароль.
- Виконайте команди установки:
Якщо пароль адміністратора невідомий, можна використовувати команду sudo ./install.sh , а потім - sudo rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-* , ввівши пароль поточного користувача(якщо має на це права).
Для встановлення у графічному інтерфейсі запустіть файловий менеджер Dolphinз правами адміністратора, виконавши таку команду:
Kdesu dolphin
У вікні, клацніть по файлу install.sh.
Встановлення пакетів підтримки пристроїв
Пакети підтримки токенів/рідерів/плат розширення знаходяться в архіві КриптоПро CSP; їх назви починаються з cprocsp-rdr-. Якщо потрібно використати певний пристрій (наприклад, Рутокен ЕЦП), установіть відповідний пакет:
Sudo rpm -ivh cprocsp-rdr-rutoken*
Ще в архіві є пакети з драйверами (ifd-*). Їх також слід встановити під час використання відповідних пристроїв. Наприклад, для Рутокен S:
Sudo rpm -ivh ifd-rutokens *
Встановлення графічних компонентів
Якщо планується використання ( даний етапвключений в інструкцію в засланні), rosa-crypto-toolабо інших програм та компонентів з графічним інтерфейсом, необхідно встановити ще два пакети:
Urpmi pangox-compat && rpm -ivh cprocsp-rdr-gui-gtk*
Не слід встановлювати пакет cprocsp-rdr-gui, тому що у зв'язці з cprocsp-rdr-gui-gtk він порушує роботу графічних компонентів.
Підключення токена до комп'ютера
Тепер можна підключити Рутокен до порту USB комп'ютера.
Для контролю правильності підключення виконайте команду lsusb.
Приклад правильного висновку:
Підключення та встановлення КриптоПро
- Запустіть в окремій консолі програму pcscdіз правами адміністратора (root). Надалі це слід робити через консоль і sudo, хоча можна і через команду su, щоб не вводити пароль щоразу. sudo буде індикатором того, що команда вимагає прав адміністратора.
Після запуску не закривайте цю консоль – у ній можна буде бачити, як система взаємодіє зі смарт-карткою.
- Відкрийте ще одну консоль.
- Запустіть у ній утиліту вже встановленого в папку /opt КриптоПро:
Утиліта також має «бачити» пристрій:
Встановлення сертифікатів
Після інсталяції пакетів з'явиться можливість переглядати контейнери на пристрої Рутокен. Наприклад, щоб дізнатися про шлях до необхідного контейнера, виконайте:
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq
Для роботи з сертифікатами потрібно встановити сертифікат центру, що засвідчує (в даному випадку встановлюється безпосередньо кореневий сертифікат) і сертифікат Рутокен на локальне сховище.
- Завантажте з сайту центру, що посвідчує, файл, що містить кореневий сертифікат (зазвичай він має розширення.cer або.p7b) і, при необхідності, ланцюжок сертифікатів.
- Завантажте список відкликаних сертифікатів (файл з розширенням .crl) і встановіть отримані файли за допомогою команд, аналогічних нижче.
Встановлення кореневого сертифікатапосвідчувального центру:
<название файла>.cer -store uRoot
Встановлення списку відкликаних сертифікатів:
/opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Завантаження/<название файла>.crl
Встановлення ланцюжка проміжних сертифікатів:
/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Завантаження/<название файла>.p7b -store CA
Встановлення сертифікату з рутокена:
/opt/cprocsp/bin/amd64/certmgr -inst -cont "<путь к контейнеру, начинающийся на \\.\>-store uMy
Докладніше про програму certmgr можна дізнатися.
Примітка. Найчастіше розширення.cer відповідає сертифікату, а.p7b - контейнеру, в якому може міститися один або більше сертифікатів (наприклад, їх ланцюжок).
Установка КриптоПро Fox
КриптоПро Fox- версія браузера Firefox, що вміє працювати з КриптоПро
- Завантажте браузер із сайту КриптоПро, вибравши пункт «Завантажити КриптоПро Fox 45 для 64-розрядних Linux (CentOS 6.6+)».
- Розархівуйте отриманий пакет.
- Запустіть програму cpfox.
Для зручності роботи з КриптоПро Fox можна створити ярлик для його запуску на робочому столі:
- Клацніть по столу правою кнопкоюмиші.
- Виберіть пункт Створити → Посилання на програму.
- У вікні, що відкрилося, на вкладці додатоквкажіть команду запуску та назву ярлика.
Для перевірки правильності встановлення спробуйте відкрити сайт https://cpca.cryptopro.ru. Якщо все гаразд, ви побачите таке:
Звичайний Firefox цю адресу відкрити не зможе:
Примітки
Для роботи з іншими носіями необхідно встановити модулі підтримки відповідних пристроїв. Назви модулів: cprocsp-rdr-<название_устройства> . До таких модулів відносяться (cprocsp-rdr-) emv, esmart, inpaspot, mskey, jacarta, novacard, rutoken.
Завантажені пакети необхідно розархівувати:
Після за допомогою команди встановити пакети:
sudo sh install_gui.sh
При якому відкриється термінал із можливістю встановлення через GUI.
Краще поставити пакети вручну:
sudo dpkg -i lsb-cprocsp-devel_4.0.0-5_all.deb
sudo dpkg -i cprocsp-curl-64_4.0.0-4_amd64.deb
sudo apt-get install libpangox-1.0-dev
sudo dpkg -i cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb
sudo dpkg -i cprocsp-rdr-rutoken-64_4.0.0-4_amd64.deb
sudo dpkg -i ifd-rutokens_1.0.1_amd64.deb
sudo dpkg -i lsb-cprocsp-base_4.0.0-4_all.deb
sudo dpkg -i lsb-cprocsp-capilite-64_4.0.0-4_amd64.deb
2. Завантажити утиліту адміністрування Рутокен за посиланням: https://www.rutoken.ru/support/download/drivers-for-nix/
Пряме посилання: https://www.rutoken.ru/support/download/get/rtDrivers-x64-deb.html
Для встановлення драйверів Рутокен для Linux(Ubuntu) завантажте інсталяційний файл. Після завершення інсталяції підключіть Рутокен до комп'ютера.
2.1 Встановити систему.
Для deb-based систем (Debian, Ubuntu, Linux Mintта ін) це бібліотека libccid не нижче 1.3.11, пакети pcscd та libpcsclite1. Для встановлення зазначених пакетів запустіть термінал та виконайте команду:
sudo apt-get install libccid pcscd libpcsclite1
Після виконання установки пакета утиліти адміністрування рутокен:
sudo dpkg -i ifd-rutokens_1.0.4_amd64.deb
Інформація про встановлення
3.2 Розархівуйте пакети за допомогою команди:
3.3 Встановити пакети за допомогою відповідної команди:
Інформація з можливих проблем:
Якщо під час встановлення виникнуть проблеми або помилки, виконайте: dpkg --force-overwrite -i<имя пакета>.deb
Проблема виникала з цим пакетом, усувається введенням команди в термінал:
dpkg --force-overwrite -i cprocsp-pki-cades_2.0.0_amd64.deb
Встановити пакет:
sudo apt-get install alien
Виконати встановлення:
sudo alien -kci cprocsp-pki-2.0.0-amd64-cades.rpm
sudo alien -kci cprocsp-pki-2.0.0-amd64-plugin.rpm
При необхідності роздати права на пакети через команди в терміналі:
sudo chmod 777<имя пакета>.deb
Для пакетів встановлення:
sudo chmod 777 cprocsp-pki-2.0.0-amd64-cades. deb
sudo chmod 777 cprocsp-pki-2.0.0-amd64-plugin. deb
3.4 Також необхідно виконати:
sudo dpkg -i cprocsp-pki-2.0.0-amd64-cades .deb
sudo dpkg -i cprocsp-pki-2.0.0-amd64-plugin .deb
Сертифікат краще отримати через термінал вручну, оскільки підтримки ActiveX немає в UNIX
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifyc
sudo /opt/cprocsp/bin/amd64/csptest -keyset -newkeyset -provtype 80 -cont "\\.\HDIMAGE\Test"
/opt/cprocsp/bin/amd64/cryptcp -creatrqst -dn "INN=007814508921, [email protected], C=RU, CN=Ахунов Азат ААа, SN=Ахунов" -nokeygen -both -ku -cont "Test" cert.req
Вміст отриманого файлу cert.req, вносимо https://www.cryptopro.ru/certsrv/certrqxt.asp та завантажуємо отриманий сертифікат. Його додаємо в наш контейнер
sudo /opt/cprocsp/bin/amd64/certmgr -inst-store uRoot -file certnew.p7b
4. Сертифікат тестового ключа підпису, який можна отримати на сторінці тестового центру, за посиланням: https://www.cryptopro.ru/certsrv/certrqma.asp
4.1 Натиснути кнопку видати і необхідно, щоб Рутокен був підключений до пристрою, на який видається ключ і сертифікат.
Вибрати пристрій Рутокен:
Набрати Pin-код на пристрій Рутокен, стандартні паролі до контейнера 87654321 або 12345678.
Сформувати випадкові числа за допомогою натискання клавіш та рухами миші над цим вікном:
4.2 Перевірити повідомлення про успішне встановлення.
5. Перевірка роботи плагіна у браузері
Google Chrome Версія 61.0.3163.79 (Офіційне складання), (64 біт)
Перевірка ключа сертифіката можлива за посиланням: https://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html
6. При підписуванні в системі РМІС, виходить вікно з підтвердженням та з вибором сертифіката:
6.1 Необхідно вибрати сертифікат та натиснути на кн. Підписати.
6.2 Вийде повідомлення про успішне підписання: Виконано! Звіт успішно підписано.
Де можливо через кнопку Завантажити, завантажити вибраний підписаний документ.
Завантажується файл Встановлення та налаштування підпису ЕЦП через КриптоПро CSP на Linux(Ubuntu) , який потрібно розархівувати.
Файл протоколу, який підписаний можна перевірити через засоби застосування VipNet CryptoFile (Windows) , натиснути у програмі Відкрити вибрати відкрити підписаний файл у форматі .pdfта вибрати протокол у форматі .sigприклад:
6.3 Сформувати звіт: Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider
Звіт про перевірку ЕП
Час створення звіту: 01.03.17 22:54
- Перевірені файли: C:/Users/skygb/Downloads/protocol.sig та C:/Users/skygb/Downloads/protocol.pdf
- ЕП:ВЕРНА
(КЕЦП, КЕП). СКЗІ сертифіковано ФСБ та відповідає оновленому стандарту формування та перевірки ЕЦП – ГОСТ Р 34.10-2012.
В даний час є три актуальні версії цього софту - 3.8, 4.0 та 5.0. Термін дії сертифіката v.3.8 закінчується у вересні цього року. Реліз 5.0 з розширеним набором опцій на кінець липня 2019 р. ще не сертифікований та використовується у тестовому режимі. Версія 4.0 регулярно оновлюється і зараз представлена вже 4-я сертифікована збірка цього релізу (R4).
Криптографічна утиліта функціонує у широкому спектрі операційних системі для кожної з них є свої специфічні нюанси. У цій статті докладно розглянемо особливості використання Кріпто Про для Лінукс, Windows та Mac OS.
Допоможемо отримати ЕЦП. Встановимо та налаштуємо за 1 годину.
Залишіть заявку та отримайте консультацію протягом 5 хвилин.
КриптоПро для Windows 10
СКЗІ для Windows застосовується для більшості сфер електронного документообігу, де потрібна юридично значуща інформація, завірена (КЕЦП):
- інформаційні госпортали ( , ЕСІА та ін.);
- подача онлайн-звітів до ФНП, ПФР, ФСС;
- онлайн-майданчики для держзамовлень і т.д.
Додавання сертифікатів через КриптоПро
Резюме
З аналізу трьох найпопулярніших систем можна дійти невтішного висновку, що найзручнішою ОС реалізації ЦП в Крипто Про вважається Windows. Для завантаження криптопровайдера не потрібно особливих знань та навичок, достатньо дотримуватися інструкцій від розробника. Для завірення документів є великий вибір продуктів: спеціальні утилітивід CryptoPro, наприклад, Office Signature, окремі програми (КріптоАрм) чи онлайн-сервіси (Кріпто Контур).
Завантажені пакети необхідно розархівувати:
Після за допомогою команди встановити пакети:
sudo sh install_gui.sh
При якому відкриється термінал із можливістю встановлення через GUI.
Краще поставити пакети вручну:
sudo dpkg -i lsb-cprocsp-devel_4.0.0-5_all.deb
sudo dpkg -i cprocsp-curl-64_4.0.0-4_amd64.deb
sudo apt-get install libpangox-1.0-dev
sudo dpkg -i cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb
sudo dpkg -i cprocsp-rdr-rutoken-64_4.0.0-4_amd64.deb
sudo dpkg -i ifd-rutokens_1.0.1_amd64.deb
sudo dpkg -i lsb-cprocsp-base_4.0.0-4_all.deb
sudo dpkg -i lsb-cprocsp-capilite-64_4.0.0-4_amd64.deb
2. Завантажити утиліту адміністрування Рутокен за посиланням: https://www.rutoken.ru/support/download/drivers-for-nix/
Пряме посилання: https://www.rutoken.ru/support/download/get/rtDrivers-x64-deb.html
Для встановлення драйверів Рутокен для Linux(Ubuntu) завантажте інсталяційний файл. Після завершення інсталяції підключіть Рутокен до комп'ютера.
2.1 Встановити систему.
Для deb-based систем (Debian, Ubuntu, Linux Mint та ін.) це бібліотека libccid не нижче 1.3.11, пакети pcscd та libpcsclite1. Для встановлення зазначених пакетів запустіть термінал та виконайте команду:
sudo apt-get install libccid pcscd libpcsclite1
Після виконання установки пакета утиліти адміністрування рутокен:
sudo dpkg -i ifd-rutokens_1.0.4_amd64.deb
Інформація про встановлення
3.2 Розархівуйте пакети за допомогою команди:
3.3 Встановити пакети за допомогою відповідної команди:
Інформація з можливих проблем:
Якщо під час встановлення виникнуть проблеми або помилки, виконайте: dpkg --force-overwrite -i<имя пакета>.deb
Проблема виникала з цим пакетом, усувається введенням команди в термінал:
dpkg --force-overwrite -i cprocsp-pki-cades_2.0.0_amd64.deb
Встановити пакет:
sudo apt-get install alien
Виконати встановлення:
sudo alien -kci cprocsp-pki-2.0.0-amd64-cades.rpm
sudo alien -kci cprocsp-pki-2.0.0-amd64-plugin.rpm
При необхідності роздати права на пакети через команди в терміналі:
sudo chmod 777<имя пакета>.deb
Для пакетів встановлення:
sudo chmod 777 cprocsp-pki-2.0.0-amd64-cades. deb
sudo chmod 777 cprocsp-pki-2.0.0-amd64-plugin. deb
3.4 Також необхідно виконати:
sudo dpkg -i cprocsp-pki-2.0.0-amd64-cades .deb
sudo dpkg -i cprocsp-pki-2.0.0-amd64-plugin .deb
Сертифікат краще отримати через термінал вручну, оскільки підтримки ActiveX немає в UNIX
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifyc
sudo /opt/cprocsp/bin/amd64/csptest -keyset -newkeyset -provtype 80 -cont "\\.\HDIMAGE\Test"
/opt/cprocsp/bin/amd64/cryptcp -creatrqst -dn "INN=007814508921, [email protected], C=RU, CN=Ахунов Азат ААа, SN=Ахунов" -nokeygen -both -ku -cont "Test" cert.req
Вміст отриманого файлу cert.req, вносимо https://www.cryptopro.ru/certsrv/certrqxt.asp та завантажуємо отриманий сертифікат. Його додаємо в наш контейнер
sudo /opt/cprocsp/bin/amd64/certmgr -inst-store uRoot -file certnew.p7b
4. Сертифікат тестового ключа підпису, який можна отримати на сторінці тестового центру, за посиланням: https://www.cryptopro.ru/certsrv/certrqma.asp
4.1 Натиснути кнопку видати і необхідно, щоб Рутокен був підключений до пристрою, на який видається ключ і сертифікат.
Вибрати пристрій Рутокен:
Набрати Pin-код на пристрій Рутокен, стандартні паролі до контейнера 87654321 або 12345678.
Сформувати випадкові числа за допомогою натискання клавіш та рухами миші над цим вікном:
4.2 Перевірити повідомлення про успішне встановлення.
5. Перевірка роботи плагіна у браузері
Google Chrome Версія 61.0.3163.79 (Офіційне складання), (64 біт)
Перевірка ключа сертифіката можлива за посиланням: https://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html
6. При підписуванні в системі РМІС, виходить вікно з підтвердженням та з вибором сертифіката:
6.1 Необхідно вибрати сертифікат та натиснути на кн. Підписати.
6.2 Вийде повідомлення про успішне підписання: Виконано! Звіт успішно підписано.
Де можливо через кнопку Завантажити, завантажити вибраний підписаний документ.
Завантажується файл Встановлення та налаштування підпису ЕЦП через КриптоПро CSP на Linux(Ubuntu) , який потрібно розархівувати.
Файл протоколу, який підписаний можна перевірити через засоби застосування VipNet CryptoFile (Windows) , натиснути у програмі Відкрити вибрати відкрити підписаний файл у форматі .pdfта вибрати протокол у форматі .sigприклад:
6.3 Сформувати звіт: Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider
Звіт про перевірку ЕП
Час створення звіту: 01.03.17 22:54
- Перевірені файли: C:/Users/skygb/Downloads/protocol.sig та C:/Users/skygb/Downloads/protocol.pdf
- ЕП:ВЕРНА