Перенос контейнера с flash-носителя в локальное хранилище пк
1. Активируем хранилище HDIMAGE:
cpconfig -hardware reader -add HDIMAGE store
Adding new reader:
Nick name: HDIMAGE
Succeeded, code:0x0
2. Посмотрим, какие контейнеры доступны на флешке:
csptest -keyset -enum_cont -fqcn -verifyc
CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 32114099
\.FLASHbob
OK.
Total: SYS: 0,020 sec USR: 0,080 sec UTC: 0,190 sec
[ErrorCode: 0x00000000]
Просмотр сертификатов
1. Просмотр установленных сертификатов:
certmgr -list
2. Просмотр установленных сертификатов в локальном хранилище uMy:
certmgr -list -store uMy
3. Просмотр сертификатов в хранилище ПК (обычно сюда устанавливаются корневых сертификаты):
$ certmgr -list -store uRoot
4. Просмотр сертификатов в контейнере:
certmgr -list -container '\.Aladdin R.D. JaCarta 00 008df47e71-18ae-49c1-8738-9b4b0944dcd4'
5. Просмотр промежуточных сертификатов:
certmgr -list -store uca
Работа с криптоконтейнерами
1. Проверить наличие доступных контейнеров:
csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251
CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 16778675
\.Aladdin R.D. JaCarta 00 008df47e71-18ae-49c1-8738-9b4b0944dcd4
\.FLASHbob
\.HDIMAGEbob
OK.
Total: SYS: 0,010 sec USR: 0,110 sec UTC: 6,240 sec
[ErrorCode: 0x00000000]
Имена контейнеров используются для установки личных сертификатов.
- Считыватель HDIMAGE размещается в /var/opt/cprocsp/keys/<имя пользователя>/ т.е в данном случае используется жесткий диск для хранения ключей.
- Считыватель FLASH означает, что используется флешка для хранения приватных ключей.
- Также считывателем может выступать токен.
2. Имена контейнеров могут содержать символы на кириллице, поэтому чтобы корректно отобразить контейнеры используйте следующую команду:
csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251
Для дальнейшего использования имен контейнеров содержащих кодировку cp1251, выведем список контейнеров с уникальными именами:
csptest -keyset -enum_cont -fqcn -verifyc -uniq
CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 23397811
\.Aladdin R.D. JaCarta 00 008df47e71-18ae-49c1-8738-9b4b0944dcd4 | \.Aladdin R.D. JaCarta 00 00SCARDJACARTA_6082028344937676CC00E412
OK.
Total: SYS: 0,000 sec USR: 0,110 sec UTC: 6,230 sec
[ErrorCode: 0x00000000]
3. Просмотр подробной информации о контейнере:
csptest -keyset -container '\.HDIMAGEbob' -info
4. Перечисление контейнеров пользователя:
csptest -keyset -enum_cont -verifycontext -fqcn
5. Перечисление контейнеров компьютера:
csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys
6. Открыть(проверить) контейнер пользователя:
csptest -keyset -check -cont '\.имя считывателяимя контейнера'
7. Открыть(проверить) контейнер компьютера:
csptest -keyset -check -cont '\.имя считывателяимя контейнера' -machinekeyset
Способ 1: установка в автоматическом режиме
Последние версии Криптопро ЦСП обладают полезной функцией автоматической установки персонального сертификата с внешнего носителя на жесткий диск. Чтобы задействовать ее, проделайте следующее.
- Первым делом нужно запустить КриптоПро CSP. Откройте меню «Пуск», в нем перейдите в «Панель управления».
Щелкните левой кнопкой мыши по отмеченному пункту. - Запустится рабочее окно программы. Откройте «Сервис» и выберите опцию просмотра сертификатов, отмеченную на скриншоте ниже.
- Щелкните по кнопке обзора.
Программа предложит выбрать местоположение контейнера, в нашем случае флеш-накопитель.
Программа предложит выбрать местоположение контейнера, в нашем случае флеш-накопитель.
Выберите нужный и нажмите «Далее».. - Откроется предварительный просмотр сертификата. Нам нужны его свойства — нажимайте на нужную кнопку.
В следующем окне щелкните по кнопке установки сертификата. - Откроется утилита импорта сертификатов. Для продолжения работы нажимайте «Далее».
Предстоит выбрать хранилище. В последних версиях КриптоПро лучше оставить настройки по умолчанию.
Предстоит выбрать хранилище. В последних версиях КриптоПро лучше оставить настройки по умолчанию.
Заканчивайте работу с утилитой нажатием «Готово». - Появится сообщение об успешном импорте. Закройте его, щелкнув «ОК».
Задача решена.
Данный способ на сегодня является самым распространенным, однако в некоторых вариантах сертификатов воспользоваться им невозможно.
Способ 2: ручной метод установки
Устаревшие версии КриптоПро поддерживают только ручную установку личного сертификата. Кроме того, в некоторых случаях последние версии ПО могут брать такой файл в работу через встроенную в CryptoPro утилиту импорта.
- Первым делом убедитесь, что на флешке, которая используется в качестве ключа, присутствует файл сертификата в формате CER.
- Откройте КриптоПро ЦСП путем, описанным в Способе 1, но на этот раз выбирая установку сертификатов..
- Откроется «Мастер установки личного сертификата». Переходите к выбору местоположения файла CER.
Выберите вашу флешку и папку с сертификатом (как правило, такие документы расположены в каталоге со сгенерированными ключами шифрования).
Выберите вашу флешку и папку с сертификатом (как правило, такие документы расположены в каталоге со сгенерированными ключами шифрования).
Убедившись, что файл распознан, нажимайте «Далее». - На следующем этапе просмотрите свойства сертификата, чтобы убедиться в правильности выбора. Проверив, нажимайте «Далее».
- Дальнейшие действия — указание контейнера ключа вашего CER-файла. Жмите на соответствующую кнопку.
Во всплывающем окошке выберите местоположение нужного.
Во всплывающем окошке выберите местоположение нужного.
Вернувшись к утилите импорта, снова нажимайте «Далее». - Далее нужно выбрать хранилище импортируемого файла ЭЦП. Щелкайте «Обзор».
Поскольку сертификат у нас личный, то и отметить нужно соответствующую папку.
Поскольку сертификат у нас личный, то и отметить нужно соответствующую папку.Внимание: если вы используете этот способ на новейшей CryptoPro, то не забудьте отметить пункт «Установить сертификат (цепочку сертификатов) в контейнер»!
Щелкните «Далее».
- Завершайте работу с утилитой импорта.
- Мы собираемся заменить ключ на новый, так что смело нажимайте «Да» в следующем окне.
Процедура окончена, можно подписывать документы.
Данный способ несколько сложнее, однако в некоторых случаях установить сертификаты можно только так.
В качестве подведения итогов напомним: устанавливайте сертификаты только на проверенные компьютеры!
Удаление сертификатов
1. Удалить сертификат из личного хранилища сертификатов
Просмотрите установленные сертификаты:
certmgr -list
Изучите список всех установленных сертификатов (в общем списке отображаются абсолютно все сертификаты).
Для удаления следует выполнить команду в Терминале:
certmgr -delete -store uMy
Если установлено более одного сертификата, то будет предложено указать номер удаляемого сертификата.
2. Удалить сертификаты, установленные в хранилище КриптоПро:
certmgr -delete -store uRoot
Если установлено более одного сертификата, то будет предложено указать номер удаляемого сертификата.
3. Удалить все сертификаты, установленные в хранилище КриптоПро:
certmgr -delete -all -store uRoot
4. Удалить все сертификаты, установленные в хранилище ПК:
certmgr -delete -store mRoot
Установка корневых сертификатов
При установке корневых сертификатов достаточно указать хранилище uRoot. При указании mRoot (при наличии прав администратора) корневой сертификат будет доступен всем пользователям системы.
1. Установка в хранилище КриптоПро:
certmgr -inst -store uRoot -file <название-файла>.cer
2. Установка в хранилище ПК:
certmgr -inst -store mRoot -file <название-файла>cer
3. Установка списка отозванных сертификатов crl:
certmgr -inst -crl -file <название-файла>.crl
Установка личных сертификатов
1. Установка сертификата без привязки к ключам:
certmgr -inst -file cert_bob.cer
2. Установка личного сертификата cert_bob.cer, сертификат при этом попадает в пользовательское хранилище uMy. Приватный ключ находится на флешке.
certmgr -inst -file cert_bob.cer -store uMy -cont '\.FLASHbob'
в команде указывается сертификат cert_bob.cer, который ассоциируется с приватным контейнером \.FLASHbob’
3. Установка сертификата с токена (в конце команды указывается контейнер)
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\.Aladdin R.D. JaCarta 00 008df47e71-18ae-49c1-8738-9b4b0944dcd4'
Установка сертификатов pfx
1. Необходимо установить пакет cprocsp-rsa, который находится в составе дистрибутива КриптоПро (linux-amd64).
2. Выполним команду от локального (доменного) пользователя:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -pfx -pin <пинкод> -file 'путь до pfx'
Цепочка сертификатов будет отображаться в утилите «Ключевые носители и сертификаты» в «Личное хранилище сертификатов».