Установка КриптоПро на Alt Linux

Аватара пользователя
Артём Мамзиков
Admin
Сообщения: 367
Стаж: 2 года 9 месяцев
Откуда: Вологодская область
Контактная информация:

Установка КриптоПро на Alt Linux

Сообщение Артём Мамзиков »

Установка и настройка КриптоПро
КриптоПро ALT Linux
установка скриптом cryptopro.sh
Показать

Код: Выделить всё

#!/bin/bash

# Переменные
imyauchetnoj=user

cd "/home/$imyauchetnoj/CryptoPro/52.9"
#Удаляем Firefox который стоит в системе
apt-get remove --purge firefox -y
# Обновить firefox 52.9
apt-get install firefox -y
# В папке пользователя должен лежать установочник 52.9
# Переходим в папку 52.9
cd "/home/$imyauchetnoj/default-inst/52.9"
# Удаляем старый исходник извлеченный если был
rm -fr ./firefox
# Извлекаем
uz firefox-52.9.0esr_x86_64.tar.bz2
# удаляем старый firefox из opt
rm -fr /opt/firefox
# Копируем новый извлеченный в opt
cp -r ./firefox /opt/firefox
# Удаляем извлеченную папку приберем за собой больше она нам не нужна
rm -fr ./firefox
# Удалим старый firefox из 2х дирикторий
rm -f /usr/local/bin/firefox
rm -f /usr/bin/firefox
# Добавим новый firefox
ln -s /opt/firefox/firefox /usr/local/bin/firefox
ln -s /opt/firefox/firefox /usr/bin/firefox

cd "/home/$imyauchetnoj/CryptoPro/linux-amd64"
#КриптоПРО 4.0.9963
apt-get install cryptopro-preinstall -y

#Устанавливаем базовые пакеты КриптоПро
apt-get install ./cprocsp-curl-64-4.0.9963-5.x86_64.rpm ./lsb-cprocsp-base-4.0.9963-5.noarch.rpm ./lsb-cprocsp-capilite-64-4.0.9963-5.x86_64.rpm ./lsb-cprocsp-kc1-64-4.0.9963-5.x86_64.rpm ./lsb-cprocsp-rdr-64-4.0.9963-5.x86_64.rpm

#Устанавливаем пакеты для поддержки токенов Рутокен S и Рутокен ЭЦП
apt-get install ./cprocsp-rdr-gui-gtk-64-4.0.9963-5.x86_64.rpm ./cprocsp-rdr-rutoken-64-4.0.9963-5.x86_64.rpm ./cprocsp-rdr-pcsc-64-4.0.9963-5.x86_64.rpm ./lsb-cprocsp-pkcs11-64-4.0.9963-5.x86_64.rpm pcsc-lite-rutokens pcsc-lite-ccid 

#Перезапускаем терминал
reset

#Активируем КриптоПРО
/opt/cprocsp/sbin/amd64/cpconfig -license -set "тут пишем ключ для криптопро"

#Запускаем сервис 
service pcscd start

#Ставим Cades Plugin
cd "/home/$imyauchetnoj/CryptoPro/cades_linux_amd64"
apt-get install ./cprocsp-pki-2.0.0-amd64-cades.rpm ./cprocsp-pki-2.0.0-amd64-plugin.rpm

#Ставим IFCPlugin 3.0.6.0
cd "/home/$imyauchetnoj/CryptoPro/IFCPlugin 3.0.7.0"
apt-get install IFCPlugin-x86_64.rpm

#плагин CryptoPro CAdES NPAPI Browser Plug-in не отобразился в разделе плагины mozilla
cp /opt/cprocsp/lib/amd64/libcades.so.2.0.0 /usr/lib/mozilla/plugins/libcades.so
cp /opt/cprocsp/lib/amd64/libcppcades.so.2.0.0 /usr/lib/mozilla/plugins/libcppcades.so
cp /opt/cprocsp/lib/amd64/libnpcades.so.2.0.0 /usr/lib/mozilla/plugins/libnpcades.so
cp /opt/cprocsp/lib/amd64/libocspcli.so.2.0.0 /usr/lib/mozilla/plugins/libocspcli.so
cp /opt/cprocsp/lib/amd64/libxmlsec-mscrypto.so.2.0.0 /usr/lib/mozilla/plugins/libxmlsec-mscrypto.so
cp /opt/cprocsp/lib/amd64/libxmlsec.so.2.0.0 /usr/lib/mozilla/plugins/libxmlsec.so

#Если это дополнение не может быть установлено так как оно по видимому повреждено
#в mozilla  about:config поправить xpinstall.signatures.required значение выставить false

#Правим ifc.cfg
pluma /etc/ifc.cfg

#Подключаем токен и ставим ключ в систему под обычным пользователем
#Просмотр доступных контейнеров
#csptest -keyset -enum_cont -fqcn -verifyc -uniq
#Установка сертификата нужно выполнить под обычным пользователем подставив в команду свое уникальное имя рутокена берем значение после делиметора |
#Например
#certmgr -inst -cont '\\.\Aktiv Co. Rutoken S 00 00\SCARD\rutoken_37857434\0A00\8F0D' -file /home/user/CryptoPro/G.cer -pin 12345678

#Установка корневого сертификата указываем свой путь на корневой сертификат
#$ certmgr -inst -store uRoot -file /home/user/CryptoPro/Root.crt

#Установка отозванных сертификатов указываем свой путь на отозванный сертификат
#$ certmgr -inst -store uCA -file /home/rukovoditel/CryptoPro/tensorca-2018_cp_gost2012.crl

#Просмотр установленных личных сертификатов крманду запустить от обычного пользователя
#certmgr -list -store uMy
#Проверяем чтобы PrivateKey Link = Yes
описание скрипта cryptopro.sh
Показать
Что делает данный скрипт

Обновление firefox до версии 52.9
Установка КриптоПРО 4.0.9963 включая все требуемое для криптопро (поддержки карт Рутокен S и Рутокен ЭЦП).
Установка базовых пакетов КриптоПро
Установка пакетов поддержки токенов
!Перезапускаем терминал возможно нужно перезапустить вручную
!Активируем КриптоПРО ввести ключ в кавычки
Запуск сервиса pcscd

Ставим плагин КриптоПро ЭЦП Browser plug-in Cades

В Мозилле в настройках дополнений («Главное меню» – «Инструменты» – «Дополнения») во вкладке Плагины у CryptoPro CAdEs plugin выбрать опцию «Всегда включать».

Ставим плагин IFCPlugin 3.0.6.0 для госуслуг
Правим ifc.cfg
pluma /etc/ifc.cfg
и добавляем в него перед последней скобкой

,{ name = "CryptoPro CSP5";
alias = "cprocsp5";
type = "pkcs11";
alg = "gost2001";
model = "CPPKCS 3";
lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
},
{ name = "CryptoPro CSP5 2012 256";
alias = "cprocsp5_2012_256";
type = "pkcs11";
alg = "gost2012_256";
model = "CPPKCS 3";
lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
},
{ name = "CryptoPro CSP5 2012 512";
alias = "cprocsp5_2012_512";
type = "pkcs11";
alg = "gost2012_512";
model = "CPPKCS 3";
lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
}

Добавим сайты в список доверенных
Для этого в адрес строке браузера прописать полный путь к данному файлу - /etc/opt/cprocsp/trusted_sites.html
Добавить адреса (по ip-адресу (http://192.168.2ХХ.Х:8080/) и по имени -сервера (https://www.gosuslugi.ru/)) в доверенные (ввести адрес и нажать кнопку +, затем «Сохранить»):


Данный пункт нужно выполнить вручную в скрипте он пропускается!!!
Установка личных сертификатов
!Скопировать сертификат в папку
!Узнать имя токена командой csptest -keyset -enum_cont -fqcn -verifyc -uniq
!Установка сертификата выполняется от обычного пользователя следующей командой
certmgr -inst -cont '\\.\Aktiv Co. Rutoken S 00 00\SCARD\rutoken_37855d89\0A00\906c' -file /home/quest/cart/G.cer -pin 12345678
где \\.\Aktiv Co. Rutoken S 00 00\SCARD\rutoken_37855d89\0A00\906c – уникальное имя рутокена
/home/quest/cart/G.cer – полный путь к файлу сертификата. Если сертификата нет не указываем путь , сертификат возьмется из контейнера
12345678 – пароль на рутокен
Сообщение терминала [ErrorCode: 0x00000000] свидетельствует о том, что установка сертификата прошла успешно (ошибок нет)

Установка всех корневых и промежуточных сертификатов и СОС (под root) командой
certmgr -inst -store uRoot -file /home/guest/cert/Root.cer
где /home/guest/cert/Root.cer - путь к файлу корневого сертификата
Установка сертификата промежуточный центр сертификации:
certmgr -inst -store uCA -file /home/guest/cert/CA.cer
где /home/guest/cert/CA.cer – путь к файлу сертификата промежуточного центра сертификации
Установка списка отозванных сертификатов:
certmgr -inst -store uCA -file /home/guest/cert/uc_tensor-2017.crl –crl
где /home/guest/cert/uc_tensor-2017.crl – пусть к файлу списка отозванных сертификатов

Просмотр установленных личных сертификатов крманду запустить от обычного пользователя certmgr -list -store uMy

Проверить работоспособность плагина на демо-странице официального сайта КриптоПро:
https://www.cryptopro.ru/sites/default/ ... imple.html
быстрые команды в шапку
Показать
Все операции делаем из под терминала юзера под пользователем (не по SSH) если нужно от root su можно из ssh
Проверка лицензии на ПО Крипто Про
cpconfig -license -view

Установка УЦ Корневой
certmgr -inst -file certne_ucw.cer -store uRoot
certmgr -inst -all -file cert.p7b -store uRoot
Корневые сертификаты для всех пользователей ставятся в хранилище машины — т.е. с параметром -store mRoot.
Например: # certmgr -inst -store mRoot -file /tmp/cert.cer

Установка промежуточных сертификатов
certmgr -inst -store uCa -file /home/guset/sred.cer - промежуточный
certmgr -inst -store uCa -file /home/guset/sos.crl -crl -отозвонный

Установка Личного Сертификата с рутокена
csptest -keyset -enum_cont -fqcn -verifyc -uniq - просмотр носителей ключей
certmgr -inst -cont '\\.\Aktiv Co. Rutoken S 00 00\SCARD\rutoken_37855d89\0A00\906c'
или
certmgr -inst -cont '\\.\Aktiv Co. Rutoken S 00 00\SCARD\rutoken_37855d89\0A00\906c' -file /home/quest/cart/G.cer -pin 12345678
certmgr -inst -cont '\\.\Aktiv Co. Rutoken S 00 00\SCARD\rutoken_37855d89\0A00\906c' -pin 12345678

Проверки цепочки она же выгрузка сертификата
cryptcp -copycert -dn "CN=Иванов" -df tt.cer - по фамилии выгрузка сертификата в текущую директорию

Установка сертификата другие пользователи
certmgr -inst -store uAddressBook -file /home/guset/иванов.cer

Установка отозванного сертификата
certmgr -inst -store uCA -file /home/guest/cert/uc_tensor-2017.crl –crl

Добавление сертификата, без привязки к ключам (только проверка ЭЦП):
certmgr -inst -file cert.cer

Ассоциировать сертификат с контейнером, сертификат попадет в пользовательское хранилище uMy:
certmgr -inst -file cert.cer -store uMy -cont '\\.\HDIMAGE\test'

Запись сертификата клиента в контейнер:
cryptcp -instcert -provtype 80 -cont '\\.\HDIMAGE\test' -ku -askpin cert.cer

Проверки цепочки
cryptcp -copycert -dn "CN=Иванов" -df tt.cer - по фамилии выгрузка сертификата в текущую директорию

Просмотр установленных сертификатов
certmgr -list -store uRoot - Корневых
certmgr -list -store uCa - Промежуточных
certmgr -list -store uMy - Личных
certmgr -list -store uAddressBook - Другие пользователи

Удаление сертификатов
certmgr -delete -dn "SN=Фамилия" - Удаление из личных сертификатов
certmgr -delete -store uCa -dn "SN=Фамилия" из других пользователей

Удалить все сертификаты из хранилища КриптоПро:
certmgr -delete -all
certmgr -delete -store uRoot
certmgr -delete -dn "INN=0000000000000" -store uRoot -удаление доверенных

Удалить все сертификаты установленные в хранилище машины: от su
certmgr -delete -store mRoot

Основные опции:
uMy - сертификат попадет в пользовательское хранилище
-provtype — указать тип криптопровайдера (по умолчанию 75);
-provname — указать имя криптопровайдера;
-cont — задать имя ключевого контейнера (по умолчанию выбор из списка);
-ku — использовать контейнер пользователя (CURRENT_USER);
-km — использовать контейнер компьютера (LOCAL_MACHINE);
-dm — установка в хранилище компьютера (LOCAL_MACHINE);
-du — установка в хранилище пользователя (CURRENT_USER);
AddressBook - Другие пользователи
-askpin — запросить пароль ключевого контейнера из с консоли;
<имя файла> — имя файла, содержащего сертификат.
Скачиваем архив «linux-amd64-4.0». Например, в домашнюю папку.
Примечание. Для корректной работы с плагином ЕСИА IFCPlugin 3.0.0.0 необходимо устанавливать версию КриптоПро CSP 4.0 R4. Отличные от указанной версии КриптоПро не гарантируют корректную работу в АРМ "Центр Обслуживания".
Ссылка на официальную страницу загрузки КриптоПро CSP: https://www.cryptopro.ru/products/csp/downloads
Далее работаем через терминал
Распаковываем архив
tar -xvzf linux-amd64-4.0
вход под su
вход под su
Авторизуемся в терминале под пользователем root:
su
Вводим пароль суперпользователя.

Переходим в каталог, в который распакован архив. В нашем случае это «linux-amd64».
cd linux-amd64
переход в директорию
переход в директорию
Устанавливаем пакет «cryptopro-preinstall». Этот пакет установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП).
apt-get install cryptopro-preinstall
команда установки пакета
команда установки пакета
Устанавливаем базовые пакеты КриптоПро
apt-get install cprocsp-curl* lsb-cprocsp-base* lsb-cprocsp-capilite* lsb-cprocsp-kc1* lsb-cprocsp-rdr-*
команда установки пакетов
команда установки пакетов
Устанавливаем пакеты для поддержки токенов (Рутокен S и Рутокен ЭЦП):
apt-get install cprocsp-rdr-gui-gtk* cprocsp-rdr-rutoken* cprocsp-rdr-pcsc* lsb-cprocsp-pkcs11* pcsc-lite-rutokens pcsc-lite-ccid
еще установки пакетов
еще установки пакетов
Перед началом работы с рутокеном необходимо запустить службу pcscd командой (под root):
service pcscd start

КриптоПро установлена. Перезапускаем терминал. Подключаем рутокен с ЭЦП, проверяем просмотр доступных контейнеров:
csptest -keyset -enum_cont -fqcn -verifyc -uniq
Должен отобразить контейнер с рутокена (уникальное имя контейнера выделено):
контейнер ключа
контейнер ключа
Устанавливаем сертификат. Предварительно скопировать сертификат на компьютер. Под обычным пользователем!
Берем уникальное название контейнера после черты | и вставляем в следующую команду (импорт сертификата с токена в личное хранилище ТЕКУЩЕГО пользователя):

certmgr -inst -cont '\\.\Aktiv Co. Rutoken S 00 00\SCARD\rutoken_37855d89\0A00\906c' -file /home/quest/cart/G.cer -pin 12345678
где
\\.\Aktiv Co. Rutoken S 00 00\SCARD\rutoken_37855d89\0A00\906c – уникальное имя рутокена (см. п. 12.8)
/home/quest/cart/G.cer – полный путь к файлу сертификата.
12345678 – пароль на рутокен
установка личного ключа
установка личного ключа
Примечание. Сообщение терминала [ErrorCode: 0x00000000] свидетельствует о том, что установка сертификата прошла успешно (ошибок нет):
успешная установка личного ключа
успешная установка личного ключа
Установка всех корневых и промежуточных сертификатов и СОС (под root)
Авторизуемся в терминале под пользователем root:
su
вход под su
вход под su
Вводим пароль суперпользователя.

Далее выполняем следующие команды:
Установка корневой сертификат:
certmgr -inst -store uRoot -file /home/guest/cert/Root.cer
где
/home/guest/cert/Root.cer - путь к файлу корневого сертификата
команда установки доверенного сертификата
команда установки доверенного сертификата
Примечание. Сообщение терминала [ErrorCode: 0x00000000] свидетельствует о том, что установка сертификата прошла успешно (ошибок нет):
успешно установка доверенного сертификата
успешно установка доверенного сертификата
Установка сертификата промежуточный центр сертификации:
certmgr -inst -store uCA -file /home/guest/cert/CA.cer
где
/home/guest/cert/CA.cer – путь к файлу сертификата промежуточного центра сертификации
установка промежуточного сертификата
установка промежуточного сертификата
Примечание. Сообщение терминала [ErrorCode: 0x00000000] свидетельствует о том, что установка сертификата прошла успешно (ошибок нет):
успешная установка промежуточного сертификата
успешная установка промежуточного сертификата
Установка списка отозванных сертификатов:
certmgr -inst -store uCA -file /home/guest/cert/uc_tensor-2017.crl –crl
где
/home/guest/cert/uc_tensor-2017.crl – пусть к файлу списка отозванных сертификатов
установка отозванных сертификата
установка отозванных сертификата
Примечание. Сообщение терминала [ErrorCode: 0x00000000] свидетельствует о том, что установка списка отозванных сертификатов прошла успешно (ошибок нет):
успешная установка отозванных сертификата
успешная установка отозванных сертификата
Для просмотра списка установленных личных сертификатов выполнить команду. Данное действие выполняется под обычным пользователем!
certmgr -list -store uMy


Установить расширение КриптоПро ЭЦП Browser plug-in
Скачиваем архив с расширением с официального сайта КриптоПро:
https://www.cryptopro.ru/products/cades/plugin
https://www.cryptopro.ru/sites/default/ ... latest.xpi
файл для установки вручную firefox_cryptopro_extension_latest.xpi
Если это дополнение не может быть установлено так как оно по видимому повреждено, проблемма в проверке сертификатов расширения сделать следующее в адресную строку ввести
about:config принять риск
найти сроку xpinstall.signatures.required
сделать параметр false
пробуем снова поставить расширение должно поставится

Распаковываем скачанный на предыдущем шаге архив (cades_linux_amd64.tar.gz):
tar –xvzf linux-amd64-4.0
извлечения плагина
извлечения плагина
Авторизуемся в терминале под пользователем root:
su
вход под su
вход под su
Вводим пароль суперпользователя.

Устанавливаем следующие два пакета из распакованного архива «cprocsp-pki-2.0.0-amd64-cades.rpm и «cprocsp-pki-2.0.0-amd64-plugin.rpm»:
apt-get install ./cprocsp-pki-2.0.0-amd64-cades.rpm ./cprocsp-pki-2.0.0-amd64-plugin.rpm
где ./cprocsp-pki-2.0.0-amd64-cades.rpm и ./cprocsp-pki-2.0.0-amd64-plugin.rpm – пути к файлам устанавливаемых пакетов.
установка плагина
установка плагина
Плагин установлен.
Если плагин CryptoPro CAdES NPAPI Browser Plug-in не отобразился в разделе плагины то выполнить команды
cp /opt/cprocsp/lib/amd64/libcades.so.2.0.0 /usr/lib/mozilla/plugins/libcades.so
cp /opt/cprocsp/lib/amd64/libcppcades.so.2.0.0 /usr/lib/mozilla/plugins/libcppcades.so
cp /opt/cprocsp/lib/amd64/libnpcades.so.2.0.0 /usr/lib/mozilla/plugins/libnpcades.so
cp /opt/cprocsp/lib/amd64/libocspcli.so.2.0.0 /usr/lib/mozilla/plugins/libocspcli.so
cp /opt/cprocsp/lib/amd64/libxmlsec-mscrypto.so.2.0.0 /usr/lib/mozilla/plugins/libxmlsec-mscrypto.so
cp /opt/cprocsp/lib/amd64/libxmlsec.so.2.0.0 /usr/lib/mozilla/plugins/libxmlsec.so

В Мозилле в настройках дополнений («Главное меню» – «Инструменты» – «Дополнения») во вкладке Плагины у CryptoPro CAdEs plugin выбрать опцию «Всегда включать».

Установить расширение CryptoPro Extension for CAdEs Browser Plugin для браузера Mozilla Firefox.
Для этого на странице плагина официального сайта КриптоПро (https://www.cryptopro.ru/products/cades/plugin) перейти по ссылке «Расширение для браузера»:
CryptoPro Extension for CAdEs Browser Plugin
CryptoPro Extension for CAdEs Browser Plugin
Во всплывающем сообщении «Firefox заблокировал запрос на установку программного обеспечения на компьютер с этого сайта» нажать кнопку «Разрешить»
Разрешить CryptoPro Extension for CAdEs Browser Plugin
Разрешить CryptoPro Extension for CAdEs Browser Plugin
Начнется процесс установки расширения для браузера.
В настройках дополнений браузера («Главное меню» – «Инструменты» – «Дополнения») во вкладке Расширения у CryptoPro Extension for CAdEs Browser Plugin выбрать опцию «Всегда включать».

Открыть в браузере следующий файл /etc/opt/cprocsp/trusted_sites.html. Для этого в адрес строке браузера прописать полный путь к данному файлу - /etc/opt/cprocsp/trusted_sites.html

Добавить адреса например госуслуг (по ip-адресу (http://192.168.ХХХ.ХХХ:8080) и по имени (https://www.gosuslugi.ru)) в доверенные (ввести адрес и нажать кнопку +, затем «Сохранить»):
доверенные сайты.jpg
доверенные сайты.jpg
Проверить работоспособность плагина на демо-странице официального сайта КриптоПро:
https://www.cryptopro.ru/sites/default/ ... imple.html

Если плагин определился а ЭП ЭЦП нет долго думал но написал что нет ЭЦП отсутствуют, так же если вы подписываете файл а он долго думает
быстрее всего не хватает Корневых доверенных Сертификатов или Промежуточных сертификатов в цепочке сертификации ( в данном случае плагин работать не будет CAdEs)
Команды выполнятся от пользователя
Для проверки можно скопировать персональный сертификат в файл:
cryptcp -copycert -dn "SN=Иванов" -df tt.cer
если все хорошо
Цепочки сертификатов проверены.
Копирование сертификатов завершено.
[ErrorCode: 0x00000000]
Из вывода следует, что все сертификаты есть в цепочке сертификатов.

Если же команда возвращает «Цепочка сертификатов не проверена для следующего сертификата:» или другую ошибку:
$ cryptcp -copycert -dn E=user@test.ru -df personal.cer
не удалось проверить цепочку сертификатов
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?
(нажмите C и Enter, чтобы выйти).

Можно запустить вышеуказанную команду с отладкой цепочки:
CP_PRINT_CHAIN_DETAIL=1 cryptcp -copycert -dn E=user@test.ru -df personal.cer

----------- Error chain -----------
Chain status:IS_UNTRUSTED_ROOT
Revocation reason:unspecified
Subject:'E=ca@skbkontur.ru, C=ru, L=:0B5@8=1C@3, O= �$ �!▒ ▒>=BC@�, CN=uc skb kontur (root)'
Cert status:IS_UNTRUSTED_ROOT
...
То есть нам надо установить сертификат УЦ с CN=uc skb kontur (root):
$ certmgr -inst -store uRoot -file kontur-root-2015.crt
После этого:
cryptcp -copycert -dn E=user@test.ru -df personal.cer
Certificate chains are checked.
Certificate's been copied.
[ReturnCode: 0]
Всё в порядке и сертификат виден в плагине Cades.

Установка Корневого доверенного сертификата
certmgr -inst -store uRoot -file /home/user/CryptoPro/Root1.cer
Установка промежуточного сертификата
certmgr -inst -store uCA -file /home/user/CryptoPro/Ser1.cer

Просмотр
certmgr -list -store uRoot
certmgr -list -store uMy


Вход в ЕСИА
Для аутентификации через ЕСИА (https://esia.gosuslugi.ru/) потребуется установить плагин IFCPlugin (работает только с версией КриптоПро CSP 4.0R4).
На данные момент корректно ЕСИА работает только с плагином версии 3.0.0.0
Скачать актуальную версию плагина можно на этой странице https://ds-plugin.gosuslugi.ru/plugin/upload/Index.spr

Авторизуемся в терминале под пользователем root:
su
вход под su
вход под su
Вводим пароль суперпользователя.

Устанавливаем скачанный выше пакет rpm.
apt-get install ./ IFCPlugin-x86_64.rpm
где ./ IFCPlugin-x86_64.rpm – полный путь до файла установки плагина.
установка плагина ЕСИА
установка плагина ЕСИА
Для корректной работы плагина версии < 3.0.0 необходимо добавить в файл /etc/ifc.cfg после раздела с Jacarta (для 64-битных систем) следующую информацию:
{
name = "CryptoPro CSP";
alias = "cryptoprocsp";
type = "pkcs11";
lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
},

Открываем файл на редактирование:
pluma /etc/ifc.cfg
ifc.zip
ifc.zip
(816 байт) 11 скачиваний
Открываем для редактирования
Открываем для редактирования
вносим изменения:
редактируем вносим изменения
редактируем вносим изменения
сохраняем.

ВНИМАНИЕ! При наличии хотя бы одного контейнера КриптоПро с ГОСТ-2012 плагин ЕСИА перестаёт работать.
порядок установки наброски
Показать
1. Удаляем Firefox который стоит в системе
apt-get remove --purge firefox -y

2. Ставим Firefox 52.9

3. КриптоПРО 4.0.9963
apt-get install cryptopro-preinstall -y

cd "/mnt/docs/Переход/Софт/CryptoPro/linux-amd64/"
apt-get install ./cprocsp-curl-64-4.0.9963-5.x86_64.rpm ./lsb-cprocsp-base-4.0.9963-5.noarch.rpm ./lsb-cprocsp-capilite-64-4.0.9963-5.x86_64.rpm ./lsb-cprocsp-kc1-64-4.0.9963-5.x86_64.rpm ./lsb-cprocsp-rdr-64-4.0.9963-5.x86_64.rpm

apt-get install ./cprocsp-rdr-gui-gtk-64-4.0.9963-5.x86_64.rpm ./cprocsp-rdr-rutoken-64-4.0.9963-5.x86_64.rpm ./cprocsp-rdr-pcsc-64-4.0.9963-5.x86_64.rpm ./lsb-cprocsp-pkcs11-64-4.0.9963-5.x86_64.rpm pcsc-lite-rutokens pcsc-lite-ccid

4. Перезапускаем терминал

5. Активируем КриптоПРО
cpconfig -license -set ""

6. Запускаем сервис
service pcscd start

7. Подключаем токен и ставим ключ в систему
csptest -keyset -enum_cont -fqcn -verifyc -uniq
certmgr -inst -cont '\\.\Aktiv Co. Rutoken S 00 00\SCARD\rutoken_37857434\0A00\8F0D' -file /mnt/docs/certs/lua-2019-2020.cer -store uMy -pin 12345678

certmgr -list -store uMy
Проверяем чтобы PrivateKey Link = Yes

8. Ставим корневые серты под юзером!

9. Ставим Cades Plugin

cd "/mnt/docs/Переход/Софт/cades_linux_amd64"
apt-get install ./cprocsp-pki-2.0.0-amd64-cades.rpm ./cprocsp-pki-2.0.0-amd64-plugin.rpm

10. Ставим IFCPlugin 3.0.6.0
cd "/mnt/docs/Переход/Софт/IFCPlugin 3.0.7.0"
apt-get install IFCPlugin-x86_64.rpm

11. Правим ifc.cfg

pluma /etc/ifc.cfg

и добавляем в него перед последней скобкой
,
{ name = "CryptoPro CSP5";
alias = "cprocsp5";
type = "pkcs11";
alg = "gost2001";
model = "CPPKCS 3";
lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
},
{ name = "CryptoPro CSP5 2012 256";
alias = "cprocsp5_2012_256";
type = "pkcs11";
alg = "gost2012_256";
model = "CPPKCS 3";
lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
},
{ name = "CryptoPro CSP5 2012 512";
alias = "cprocsp5_2012_512";
type = "pkcs11";
alg = "gost2012_512";
model = "CPPKCS 3";
lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
}
Ошибки
Показать
$ certmgr -list -store uRoot
-bash: certmgr: команда не найдена

# find . -name certmgr не найдено

# csptest -keyset -enum_cont -fqcn -verifyc -uniq
bash: csptest: команда не найдена

Сперва я думал слетели переменные но после того как я проверил папку с файлом
/opt/cprocsp/bin/amd64/там оказались такие файлы
certmgr.corrupted - certmgr поврежден (сперва было подумал что слетела лицензия)

Проверил по всему пк с корня find . -name corrupted
нашел поврежденные файлы в 3х папках

Далее нужно было переустанавливать крипто про но я сделал проще пока вроде все норм подтянул 3 папки с другова компа и закинул где сломалось вроде все норм работает
find . -name *.corrupted посмотрел что вылетело /opt/cprocsp/ 3 папки lib bin sbin

Данная проблема возникла когда на alt linux 7 я сделал крон на автозапуск демона он видимо запустил задачу проверка диска.
Диск я проверил smartmontools критических значений не обнаружил оставил пока все так.
количество слов: 1963
Аватара пользователя
Артём Мамзиков
Admin
Сообщения: 367
Стаж: 2 года 9 месяцев
Откуда: Вологодская область
Контактная информация:

Установка КриптоПро на Alt Linux

Сообщение Артём Мамзиков »

Установка Сертификатов Скриптом для большого количества.
Есть нюанс при установке корневых/Доверенных сертификатов в ROOT Выходит запрос на подтверждение по этому вариант установки скриптом их отпадает.
Диалог не будет появляться только при установке в хранилище mroot (Доверенные корневые центры сертификации локального компьютера).
еще для Windows
Показать
Тут важен один нюанс при многократном запуске - для localMachine вопросов о перезаписи не задается и все серты поставятся без вариантов, а для currentUser - будет задан вопрос на удаление + вопрос на запись. А для некоторых уже существующих вообще вопроса не будет, они сразу отвалятся с ошибкой добавления. Но, собственно, если сертификата нет ни в HKLM, ни в HKCU, то он установится для юзера успешно и без вопросов.

Установка Корневых
Скрипт Запускать от пользователя под которым будет работать пользователь!
#!/bin/bash

# Поиск в папке файлов с расширением .cer, после установка циклом каждого найденного сертификата
for file in `find /mnt/certs/root -type f -name "*.cer"`
do
eval 'certmgr -inst -cert -file '${file}' -store mroot';
done


Установка промежуточных сертификатов
Скрипт Запускать от пользователя под которым будет работать пользователь!
#!/bin/bash

# Поиск в папке файлов с расширением .cer, после установка циклом каждого найденного сертификата
for file in `find /mnt/certs/sred -type f -name "*.cer"`
do
eval 'certmgr -inst -store uCa -file '${file}'';
done


Установка сертификата другие пользователи
Скрипт Запускать от пользователя под которым будет работать пользователь!
#!/bin/bash

# Поиск в папке файлов с расширением .cer, после установка циклом каждого найденного сертификата
for file in `find /mnt/certs/other -type f -name "*.cer"`
do
eval 'certmgr -inst -store uAddressBook -file '${file}'';
done

Личные ставим вручную их не так много и они уже с контейнером)

Просмотр установленных сертификатов
certmgr -list -store uRoot - Корневых
certmgr -list -store mroot - Корневых
certmgr -list -store uCa - Промежуточных
certmgr -list -store uMy - Личных
certmgr -list -store uAddressBook - Другие пользователи
количество слов: 97
Jasgow
Гость
Сообщения: 1
Стаж: 1 год 3 месяца

Установка КриптоПро на Alt Linux

Сообщение Jasgow »

Дорогой друг как я понял ты ставил компакт с CD мой совет попробовать с dwd 8гиг софта есть все что нужно. А ты как я понял хочеш на елку залесть и брюхо не ободрать... Любой дистриб нужно донастраивать в любом случае.Это мое слово в защиту ALT Linux
количество слов: 5
Аватара пользователя
Артём Мамзиков
Admin
Сообщения: 367
Стаж: 2 года 9 месяцев
Откуда: Вологодская область
Контактная информация:

Установка КриптоПро на Alt Linux

Сообщение Артём Мамзиков »

Добрый день! Jasgow, Не совсем понял в чем была бы разница поставив я дистрибутив с DVD образа, все эти же пакеты я могу скачать с репозитория. На момент написания это был alt 7 сейчас alt 8 насколько знаю изменения были не особо большие в сторону крипто про. Так же нужно донастравивать вручную. Возможно в alt9 есть какие то изменения, но лицензии у нас только пока на 6-8 версию.
количество слов: 9
Ответить Вложения 23 Пред. темаСлед. тема

Вернуться в «Linux»