- В каких ос семейства unix работает криптопро csp версий 3.0 и 3.6?
- Добавление реального сертификата
- Добавление реального сертификата с привязкой к закрытому ключу и возможностью подписывать документы
- Добавление тестового сертификата
- Как ввести серийный номер лицензии? как посмотреть информацию о лицензии?
- Как узнать версию криптопро csp linux
- Как установить csp на altlinux?
- Как установить csp на debian/ubuntu?
- Какие ос удовлетворяют стандарту linux standard base iso/iec 23360 (lsb 3.0, 3.1)? где я могу посмотреть список?
- Корневые сертификаты
- Лицензия
- Методы определения версии криптопро
- Можно ли получить дистрибутив криптопро csp в .deb?
- Мой дистрибутив linux не входит в список поддерживаемых, но я очень хочу поставить туда csp. как мне это сделать?
- Операционные системы astra linux
- Подписание документа эцп
- Получение исходного файла
- Проверка подписи эцп
- Просмотр всех атрибутов сертификата
- С жесткого диска
- Список установленных сертификатов
- Способ с дискетой или флешкой
- Шпаргалка по cryptopro
- Экспорт сертификатов на другую машину
В каких ос семейства unix работает криптопро csp версий 3.0 и 3.6?
КриптоПро CSP версии 3.0 работает под управлением операционных систем: — Red Hat Linux 7, 9 (платформа ia32) — FreeBSD 5 (платформа ia32) — Solaris 9 Update 4 (платформы sparc, ia32).
КриптоПро CSP версии 3.6 работает под управлением операционных систем: — FreeBSD 7/8 (платформа ia32) — Solaris 9/10 (платформы sparc, ia32, x64) — AIX 5/6 (платформа Power PC) — ALT Linux Server (платформы ia32, x64) — Debian (платформы ia32, х64) — Trustverse Linux XP (платформа ia32) — SPLAT (платформы ia32, х64)
Источник
Добавление реального сертификата
Добавить только сертификат (только проверка ЭЦП):
Добавление реального сертификата с привязкой к закрытому ключу и возможностью подписывать документы
Закрытый ключ состоит из шести key-файлов:
Добавление тестового сертификата
Ввести пароль на контейнер test123 .
Ввести пароль на контейнер. По-умолчанию: 12345678
Как ввести серийный номер лицензии? как посмотреть информацию о лицензии?
Для просмотра информации о лицензии выполните:
#cpconfig -license -view
Для ввода лицензии выполните:
#cpconfig -license -set
Серийный номер следует вводить с соблюдением регистра символов. Утилита cpconfig находится в /opt/cprocsp/sbin/ .
Как узнать версию криптопро csp linux
Добрый день! Уважаемые читатели и гости крупного компьютерного блога рунета pyatilistnik.org. Сегодня хочу продолжить с вами изучение криптографического утилиты CryptoPRO CSP. В прошлый раз я вам подробно рассказал, как перенести сертификаты с одного компьютера на другой, это была полезная заметка, двигаемся дальше.
Очень часто, когда у вас возникают какие либо проблемы с настройкой ЭЦП или ее работой, пользователям приходится обращаться в техническую поддержку удостоверяющих центров, и там всегда просят ответить, какая версия установлена. Я вам хочу показать, как узнать версию криптопро CSP, за минуту.
Как установить csp на altlinux?
Сначала необходимо установить пакет LSB из состава дистрибутива:
apt-get install lsb-3.0
Затем пакет совместимости, поставляющийся вместе с CSP:
rpm -i ./cprocsp-compat-altlinux-1.0.0-1.noarch.rpm
После этого можно устанавливать необходимые пакеты из состава CSP. Установка осуществляется при помощи утилиты rpm.
Как установить csp на debian/ubuntu?
Сначала необходимо поставить(если не установлены) пакеты LSB из состава дистрибутива, а также пакет alien, который является штатным средством для установки .rpm:
apt-get install lsb-base alien lsb-core
Затем при помощи alien поставить необходимые пакеты CSP, например:
alien -kci ./lsb-cprocsp-base-3.6.4-4.noarch.rpm alien -kci ./lsb-cprocsp-rdr-3.6.4-4.i486.rpm alien -kci ./lsb-cprocsp-kc1-3.6.4-4.i486.rpm alien -kci ./lsb-cprocsp-capilite-3.6.4-4.i486.rpm
Какие ос удовлетворяют стандарту linux standard base iso/iec 23360 (lsb 3.0, 3.1)? где я могу посмотреть список?
По сотстоянию на момент сертификации в этот список входили:
Программно-аппаратные среды, удовлетворяющие стандарту LSB 3.1: — Asianux Server 3 (ia32, x86-64) — Bharat Operating System Solutions (BOSS) Linux 1.0 (ia32) — Bharat Operating System Solutions (BOSS) Linux 2.0 (ia32) — Booyo 2.5 (ia32, x64)
Корневые сертификаты
Просмотр корневых сертификатов
Добавление корневых сертификатов (под root) из файла cacer.p7b
Необходимо последовательно добавить все сертификаты
Лицензия
Для установки другой лицензии (под root):
Методы определения версии криптопро
Существует как минимум три метода определения версии CryptoPRO:
- Через саму утилиту
- Через оснастку управление лицензиями
- Через реестр Windows
Для того, что узнать версию КриптоПРО CSP, через утилиту, то откройте ее либо в мену «Пуск»
Либо откройте панель управления Windows и выберите соответствующий ярлык.
В итоге на вкладке «Общие», вы обнаружите версию КриптоПРО CSP, она будет состоять из:
- Версии продукта
- Версии ядра СКЗИ
- так же вы найдете серийный номер КриптоПРО
- Срок действия
- Тип лицензии CryptoPRO
- Дата установки
Второй метод идентификации версии утилиты, это использование оснастки «Управление лицензиями КриптоПРО PKI», найти ее можно так же в поиске или меню «Пуск».
У вас откроется mmc оснастка «Управление лицензиями КриптоПРО PKI», в ней выберите пункт КриптоПРо CSP и найдите пункт версия продукта, это то что нам нужно.
Следующий метод определить версию КриптоПРО на компьютере, это реестр. Вы открываете редактор реестра Windows.
Источник
Можно ли получить дистрибутив криптопро csp в .deb?
Нет, дистрибутив поставляется только в .rpm. Все ОС семейства Linux, для работы под управлением которых сертифицирован продукт либо основаны на rpm, либо соответствуют LSB, либо планируются к сертификации по стандарту LSB 3.1. Обязательным требованием для соответствия LSB является наличие в ОС механизма для установки rpm, следовательно, если используемая Вами ОС входит в число поддерживаемых операционных систем, в ней есть механизм для установки .rpm. Для debian, ubuntu и основанных на них дистрибутивах это утилита alien.
Мой дистрибутив linux не входит в список поддерживаемых, но я очень хочу поставить туда csp. как мне это сделать?
Попробуйте сначала поставть пакеты совместимости с LSB 3.0 или 3.1 из состава Вашего дистрибутива (названия могут несколько варьироваться, обычно lsb-3.0, lsb-3.1, lsb-base, lsb-core), а затем установить CSP.
ВНИМАНИЕ: установка CSP на неподдерживаемую ОС не будет являться сертифицированным решением и не поддерживается.
Операционные системы astra linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа; 2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении.
Подписание документа эцп
Пример создания ЭЦП (по SHA1 Hash):
| [ReturnCode: x] | Описание | Возвращаемый код завершения в баше $? |
|---|---|---|
| успешно | ||
| 0x8010006b | Введен неправильный PIN | 107 |
| 0x2000012d | Сертификат не найден | 45 |
| 0x20000065 | Не удалось открыть файл | 101 |
Получение исходного файла
Получение исходного файла (сообщения):
Будет ругаться на сертификат (так как не будет проверки), но подпись удалит. Вариант с проверкой:
Источник
Проверка подписи эцп
Для верифицирования сертификатов нужен сертификат удостоверяющего центра и актуальный список отзыва сертификатов, либо настроенный для этого revocation provider.
Корневой сертификат УЦ, список отзыва сертификата является одним из реквизитов самого сертификата.
Контрагенты когда открывают подписи в КриптоАРМ используют revocation provider, он делает проверки отзыва сертификата онлайн. Как реализована проверка в Шарепоинте не знаю. Знаю только что используется библиотека Крипто.Net
Проверка конкретной подписи из локального хранилища по его хешу:
Проверить, взяв сертификат из file1.sig , подпись файла file2.sig . Практически, надо использовать один и тот же файл:
| [ReturnCode: x] | Текст | Описание | Возвращаемый код завершения в баше $? |
|---|---|---|---|
| Успешно | |||
| 0x80091004 | Invalid cryptographic message type | Неправильный формат файла | 4 |
| 0x80091010 | The streamed cryptographic message is not ready to return data | Пустой файл | 16 |
Просмотр всех атрибутов сертификата
В cryptcp нет необходимых инструментов для получения всех атрибутов сертификата. Поэтому следует использовать openssl , но настроив его.
Получаем SHA 1 хеши:
В цикле извлекаем сертификаты:
Настройка openssl для поддержки ГОСТ:
В файл /etc/ssl/openssl.cnf
С жесткого диска
Скопировать приватный ключ в хранилище (контейнер), где — имя пользователя linux:
Поставить «минимальные» права:
Узнать реальное название контейнера:
Ассоциировать сертификат с контейнером, сертификат попадет в пользовательское хранилище My :
Если следующая ошибка, нужно узнать реальное название контейнера (см. выше):
Установить сертификат УЦ из-под пользователя root командой:
Список установленных сертификатов
certmgr -list , например:
Способ с дискетой или флешкой
Скопировать в корень дискеты или флэшки сертификат и приватный ключ (из каталога 999996.000 , 999996 — название (alias) контейнера):
Выполнить команду по копированию ключа с флэшки на диск, ключ попадет в пользовательское хранилище My .
Шпаргалка по cryptopro
Экспорт сертификатов и CRL:
/opt/cprocsp/bin/amd64/certmgr -export -cert -store root -all -dest root.p7b
/opt/cprocsp/bin/amd64/certmgr -export -crl -store CA -all -dest crl.p7b
Импорт сертификатов и CRL:
/opt/cprocsp/bin/amd64/certmgr -inst -all -crl -store CA -file crl.p7b
/opt/cprocsp/bin/amd64/certmgr -inst -all -store root -file root.p7b
проверка
openssl x509 -text -in Югралесхоз.cer -inform PEM
показать список корневых сертификатов
/opt/cprocsp/bin/amd64/certmgr -list -store root | grep -iE «^Serial|^Subject»
показать серийник сертификата:
openssl x509 -inform DER -in УЦ.cer -serial -noout | tr -d «serial=»
openssl x509 -text -in 02.cer -inform DER | grep «serial:» | tr -d «serial» | tr -d «:»
добавление корневого
/opt/cprocsp/bin/amd64/certmgr -inst -store root —file=CANovagK.cer
добавление CRL
wget http://www.tax23.ru/cdp/4d5157a4df9de15650eb634cf756a9f02727eb17.crl
/opt/cprocsp/bin/amd64/certmgr -inst -store CA -crl -file=4d5157a4df9de15650eb634cf756a9f02727eb17.crl
Преобразовать <file>.p7b в <file>.cer:
openssl pkcs7 -inform DER -outform PEM -in Certnew.p7b -print_certs > certificate_bundle.cer
Проверить наличие серийника сертификата в корневом хранилище:
/opt/cprocsp/bin/amd64/certmgr -list -store root | grep —color=auto -B 3 -A 4 `openssl x509 -text -in 02.cer -inform DER | grep «serial:» | tr -d «serial» | tr -d «:»`
Экспорт сертификата:
/opt/cprocsp/bin/amd64/certmgr -export -cert -store root -dest 0x2A9DDD325F1B0FAF4957EAA2532DE481.cer -dn CN=CNExample
Посмотреть данные одного сертификата:
/opt/cprocsp/bin/amd64/certmgr -list -store root -dn SN=Картошкин
Удалить сертификат из хранилища:
/opt/cprocsp/bin/amd64/certmgr -delete -store root -dn SN=Картошкин
Конвертировать из BASE64 в DER:
/opt/cprocsp/bin/amd64/certmgr -decode -src тэкторг.cer -dest тэкторг.der.cer -der
Проверка правильности сертификата:
/opt/cprocsp/bin/amd64/cryptcp -verify -errchain -f /path/to/file.p7z/path/to/file.p7z
Посмотреть лицензию:
[root@host]# /opt/cprocsp/sbin/amd64/cpconfig -license -view
Server license:
xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
Expires: 26 day(s)
Client license:
xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
Expires: 26 day(s)
Установить лицензионный ключ:
[root@host]# /opt/cprocsp/sbin/amd64/cpconfig -license -set xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
12. При попытке входа в личный кабинет появляется ошибка «Сертификат не выбран».
Ошибка «Сертификат не выбран» возникает в следующих случаях:
— При использовании браузера InternetExplorer, если сайт http://www.fedresurs.ru/ не добавлен в
«Надежные узлы»;
— Если не установлен ни один личный сертификат (проверить можно через Пуск – Панель
управления – Свойства обозревателя – Содержание – Сертификаты, в закладке «Личные» должен
быть необходимый сертификат);
— Если не установлен корневой сертификат (При просмотре личного сертификата отображается
ошибка «Не удалось проследить сертификат до корневого центра…»);
— Если в системе присутствуют просроченные сертификаты (в закладках «Личные»,
«Промежуточные центры сертификации», «Корневые центры сертификации» присутствуют
сертификаты с истекшим сроком действия, за исключением системных);
Если в окне свойств личного сертификата выводится какое либо сообщение об ошибке проверки
сертификата и значок сертификата помечен красным крестиком, при этом, корневые сертификаты
установлены и нет просроченных промежуточных, то необходимо переустановить
криптопровайдер и заново инициализировать личный ключ.
============
Инструкция админа:
https://www.ecp64.ru/sites/default/files/docs/csp36r3/admin_guide_linux_r3.pdf
Назначение хранилищ:
Есть три хранилища. по умолчанию:CA, ROOT, My[1].
CA для списков СОС и промежуточных центров сертификации,
ROOT для сертификатов корневых центров сертификации и
My для личных сертификатов.
Имя хранилища является регистронезависимым.
Плагин для браузера:
https://www.ecp64.ru/products/cades/plugin
Где качнуть JAVA:
http://www.oracle.com/technetwork/java/javase/downloads/java-archive-downloads-javase7-521261.html
Где качнуть JCP:
http://ecp64.ru/products/csp/jcp/downloads
Установка JCP:
sudo sh ./install.sh /etc/alternatives/jre_openjdk
Экспорт сертификатов на другую машину
Закрытые ключи к сертификатам находятся тут: /var/opt/cprocsp/keys . Поэтому эти ключи переносятся просто: создаем архив и переносим на нужную машину в тот же каталог.
Экспорт самих сертификатов (если их 14):
Переносим эти файлы на машину и смотрим, какие контейнеры есть:
И как обычно, связываем сертификат и закрытый ключ:
Если закрытый ключ и сертификат не подходят друг к другу, будет выведена ошибка:
Если все успешно:
Если нет закрытого ключа, то просто ставим сертификат: