Как установить эцп в линукс
Далее описан процесс настройки и проверки работоспособности на примере Ubuntu 20.04 LTS
1. Установка КриптоПро CSP версии 5.0.
1.1. Выполните регистрацию на сайте нашей компании. Если Вы уже зарегистрированы – выполните вход (необходимо ввести адрес электронной почты и пароль, которые Вы указывали при регистрации).
1.3. Ознакомьтесь с условиями лицензионного соглашения и нажмите кнопку «Я согласен с лицензионным соглашением. Перейти к загрузке».
1.4. Нажмите кнопку «Скачать для Linux», для загрузки дистрибутива актуальной версии КриптоПро CSP.
1.7. Установите дополнительные пакеты:
2.1. Установка «облачного» сертификата электронной подписи (через графический интерфейс пользователя).
2.1.1. Запустите приложение «Инструменты КриптоПро»: /opt/cprocsp/bin/amd64/cptools
2.1.2. Перейдите на вкладку «Облачный провайдер».
2.1.3. Укажите адрес сервера авторизации (1) и сервера DSS (2). Данные адреса необходимо получить в организации, предоставившей Вам «облачный» сертификат электронной подписи. Поле «Уникальное имя» (3) заполнится автоматически. Затем нажмите кнопку «Установить сертификаты» (4).
Обратите внимание! Если на вкладке «Облачный провайдер» уже будут указаны адреса https://dss.cryptopro.ru/STS/oauth и https://dss.cryptopro.ru/SignServer/rest (адреса тестового сервиса электронной подписи DSS, который не предназначен для хранения квалифицированных сертификатов электронной подписи и выполнения юридически значимых операций) — необходимо открыть выпадающий список под кнопкой «Выберите сервер» и выбрать пункт «Использовать новый сервер».
2.1.4. Введите логин пользователя для доступа к «облачному» сертификату, а затем нажмите кнопку «ОК».
2.1.5. Введите пароль пользователя для доступа к «облачному» сертификату, а затем нажмите кнопку «ОК».
2.1.6. При появлении уведомления о необходимости подтвердить операцию входа – выберите один из доступных методов аутентификации.
2.1.7. После этого Вы будете возвращены к интерфейсу программы «Инструменты КриптоПро». Чуть ниже кнопки «Установить сертификаты» появится уведомление об успешной установке.
2.2. Установка «облачного» сертификата электронной подписи (без использования графического интерфейса пользователя).
2.2.1. Выполните команду:
— пароль пользователя для доступа к «облачному» сертификату.
2.2.2. Появление статуса [ErrorCode: 0x00000000] означает, что установка была выполнена успешно.
Обратите внимание! Установку сертификатов без использования графического интерфейса можно выполнить только в случае, если операция входа в центр идентификации DSS не требует вторичной аутентификации.
3.1. Проверка работоспособности (через графический интерфейс пользователя).
3.1.1. Перейдите на вкладку «Создание подписи».
3.1.2. Выберите Ваш «облачный» сертификат из списка (1), выберите любой файл для подписи (2) и нажмите кнопку «Подписать» (3).
3.1.3. Повторите действия из п. 2.1.4 – 2.1.6.
3.1.4. В случае успешного формирования подписи чуть ниже кнопки «Подписать» появится уведомление об успешном создании подписи.
3.2. Проверка работоспособности (без использования графического интерфейса пользователя).
3.2.1. Выполните команду:
— /path/to/file – путь до подписываемого файла;
— /path/to/signature.sig – путь до подписанного файла.
3.2.2. Если у Вас установлено несколько сертификатов электронной подписи – после выполнения команды нужно будет ввести порядковый номер требуемого сертификата.
3.2.3. Появление статуса [ErrorCode: 0x00000000] означает, что файл был успешно подписан.
Обратите внимание! Подписать файл без использования графического интерфейса можно только в случае, если операции входа и подписи не требует вторичной аутентификации.
Установка и настройка подписи ЭЦП через КриптоПро CSP на Linux(Ubuntu)
1. Чтобы установить КриптоПро CSP: 1. Зарегистрируйтесь на сайте http://cryptopro.ru/products/csp/downloads, скачайте программу установки и разархивируйте ее.
Информация по установке
Выполните предварительно команды в терминале под суперпользователем:
Для обновления списка доступных пакетов до последних изменений в репозитариях набрать следующее:
sudo apt-get update
Для обновления всех установленных пакетов программ:
sudo apt-get upgrade
Скачанные пакеты необходимо разархивировать:
После при помощи команды установить пакеты:
sudo sh install_gui.sh
При котором откроется терминал с возможностью установки через GUI.
Лучше поставить пакеты вручную:
sudo apt-get install libpangox-1.0-dev
2. Скачать утилиту администрирования Рутокен по ссылке: https://www.rutoken.ru/support/download/drivers-for-nix/
Прямая ссылка: https://www.rutoken.ru/support/download/get/rtDrivers-x64-deb.html
Для того чтобы установить драйверы Рутокен для Linux(Ubuntu), загрузите установочный файл. После завершения процесса установки подключите Рутокен к компьютеру.
2.1 Произвести установку в систему.
Для deb-based систем (Debian, Ubuntu, Linux Mint и др.) это библиотека libccid не ниже 1.3.11, пакеты pcscd и libpcsclite1. Для установки указанных пакетов запустите терминал и выполните команду:
sudo apt-get install libccid pcscd libpcsclite1
После выполнить установку пакета утилиты администрирования рутокен:
Информация по установке
В редких случаях если не определяется Рутокен в утилите администрирования, необходимо перезагрузить систему, после данных манипуляций Рутокен должен определиться в системе.
Для обеспечения работоспособности электронных идентификаторов Рутокен ЭЦП ряде дистрибутивов GNU/Linux, может потребоваться добавить запись об устройстве в конфигурационный файл libccid. Расположение Info.plist в файловой системе:
GNU/Linux: /usr/lib/pcsc/drivers/ifd-ccid-bundle/Contents/Info.plist
Info.plist представляет собой текстовый файл, который открывается любым текстовым редактором с правами суперпользователя.
Для работы электронных идентификаторов Рутокен ЭЦП необходимо добавить в файл следующие строки (данные строки стандартно уже прописаны в Linux(Ubuntu), необходимо проверить есть ли такие данные, если нет то прописать):
Массив () Добавленная строка
ifdFriendlyName Aktiv Rutoken ECP
Установите утилиту pcsc_scan (обычно она входит в пакет pcsc-tools) и запустите ее. Если устройство работает корректно, то в логе утилиты присутствует устройство Aktiv Rutoken ECP:
sudo apt-get install pcsc-tools
3. Программа КриптоПро ЭЦП Browser plug-in предназначена для создания и проверки электронной подписи на веб-страницах. Чтобы установить КриптоПро ЭЦП Browser plug-in:
3.1 Скачайте необходимый архив с пакетами установки, в зависимости от разрядности и версии используемой ОС, с сайта http://www.cryptopro.ru/products/cades/downloads.
3.2 Разархивируйте пакеты с помощью команды:
3.3 Установить пакеты с помощью соответствующей команды:
Информация по возможным проблемам:
Проблема возникала с данным ниже пакетом, устраняется вводом команды в терминал:
Установить пакет alien:
sudo apt-get install alien
При необходимости, раздать права на пакеты через команды в терминале:
Для пакетов установки:
sudo chmod 777 cprocsp-pki-2.0.0-amd64-cades.deb
sudo chmod 777 cprocsp-pki-2.0.0-amd64-plugin.deb
3.4 Также необходимо выполнить:
Сертификат лучше получить через терминал вручную, так как поддержки ActiveX нет в UNIX
Содержимое полученного файла cert.req, вносим https://www.cryptopro.ru/certsrv/certrqxt.asp и скачиваем полученный сертификат. Его добавляем в наш контейнер
4. Cертификат тестового ключа подписи, который возможно получить на странице тестового центра, по ссылке: https://www.cryptopro.ru/certsrv/certrqma.asp
4.1 Нажать кнопку выдать и необходимо чтобы Рутокен был подключен к устройству на которое выдается ключ и сертификат.
Выбрать устройство Рутокен:
Набрать Pin-код на устройство Рутокен, стандартные пароли к контейнеру 87654321 или 12345678.
Сформировать случайные числа при помощи нажатия клавиш и движениями мыши над этим окном:
4.2 Проверить сообщение об успешной установке.
5. Проверка работы плагина в браузере
Google Chrome Версия 61.0.3163.79 (Официальная сборка), (64 бит)
Проверка ключа сертификата возможна по ссылке: https://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html
6. При подписывании в системе РМИС, выходит окно с подтверждением и с выбором сертификата:
6.1 Необходимо выбрать сертификат и нажать кн. Подписать.
6.2 Выйдет уведомление о успешном подписании: Выполнено! Отчет успешно подписан.
Где возможно через кнопку Загрузить, загрузить выбранный подписанный документ.
Файл протокола, который подписан возможно проверить через средства приложения VipNet CryptoFile (Windows) , нажать в приложении Открыть выбрать открыть подписанный файл в формате .pdf и выбрать протокол в формате .sig пример:
6.3 Сформировать отчет: Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider
Отчет о проверке ЭП
Время создания отчета: 01.03.17 22:54
Время подписи: 01.03.17 22:55
Статус сертификата: ДЕЙСТВИТЕЛЕН
Сведения о сертификате
Кем выдан: CRYPTO-PRO Test Center 2
Серийный номер: 01D292C2940768F00000000D00050001
Как установить эцп в линукс
Устройства семейства Рутокен ЭЦП используются для безопасного хранения и предъявления персональной информации: ключей шифрования, сертификатов, лицензий, удостоверений и других данных.
Для работы с USB-токеном подключите его к USB-порту компьютера.
Для работы со смарт-картой вставьте ее в считыватель для смарт-карт и подключите считыватель к USB-порту компьютера.
Чтобы проверить корректность работы Рутокен ЭЦП в операционных системах GNU/Linux необходимо выполнить действия, указанные в данной инструкции.
Если вы используете для устройства стандартный PIN-код (12345678), то рекомендуется его изменить на более сложный.
Определение названия модели USB-токена
Если вы работаете со смарт-картой, то определять название USB-токена не надо.
Первым делом подключите USB-токен к компьютеру.
Для определения названия модели USB-токена откройте Терминал и введите команду:
В результате в окне Терминала отобразится название модели USB-токена:
Примечание: В более ранних версиях операционных систем на экране может отобразиться строка — ID 0a89:0030. Это тоже означает, что название модели подключенного USB-токена — Рутокен ЭЦП.
Проверка корректности подключения считывателя для смарт-карт к компьютеру
Если вы работаете с USB-токеном, то проверять корректность подключения считывателя к компьютеру не надо.
Первым делом подключите считыватель для смарт-карт к компьютеру и вставьте в него смарт-карту.
Для проверки корректности подключения считывателя для смарт-карт к компьютеру введите команду:
В результате в окне Терминала отобразится название модели считывателя для смарт-карт:
Это означает, что считыватель для смарт-карт подключен корректно.
Определить название смарт-карты и выполнить дальнейшие действия данной инструкции невозможно без предварительной установки дополнительного программного обеспечения.
Установка дополнительного программного обеспечения
В deb-based и rpm-based системах используются разные команды. Список систем указан в таблице 1.
Таблица 1. Список операционных систем GNU/Linux
Debian, Ubuntu, Linux Mint,
RedHat, CentOS, Fedora, ALT Linux,
ROSA Linux, МСВС, ГосЛинукс
Для выполнения действий данной инструкции необходимо установить следующее программное обеспечение:
в deb-based системах это обычно:
в rpm-based системах это обычно:
в ALT Linux это обычно:
Также для всех типов операционных систем необходимо установить библиотеку OpenSC.
Перед установкой библиотек и пакетов проверьте их наличие в системе. Для этого введите команду:
В deb-based системах:
Если библиотека или пакет уже установлены в системе, то в разделе Status отобразится сообщение «install ok installed».
В разделе Version отобразится версия указанной библиотеки или пакета (версия библиотеки libccid должна быть выше чем 1.4.2).
В rpm-based системах:
Если библиотека или пакет уже установлены в системе, то на экране отобразятся их названия и номера версий (версия библиотеки ccid должна быть выше чем 1.4.2).
В ALT Linux:
Если у вас нет доступа к команде sudo, то используйте команду su.
Если библиотек и пакетов еще нет на компьютере, то необходимо их установить.
Для установки пакетов и библиотек:
В deb-based системах введите команду:
Если процесс установки завершен успешно, то на экране отобразится сообщение:
В rpm-based системах (кроме ALT Linux) введите команду:
Если процесс установки завершен успешно, то на экране отобразится сообщение:
В ALT Linux введите команду:
Если у вас нет доступа к команде sudo, то используйте команду su.
Если процесс установки завершен успешно, то на экране отобразится сообщение:
Проверка работы Рутокен ЭЦП в системе
Для проверки работы Рутокен ЭЦП:
Проверка наличия сертификатов и ключевых пар на Рутокен ЭЦП
Перед запуском процесса проверки наличия сертификатов и ключевых пар на Рутокен ЭЦП загрузите и установите библиотеку PKCS#11, а также определите путь до библиотеки librtpkcs11ecp.so.
Для того чтобы загрузить библиотеку PKCS#11:
Определите разрядность используемой системы:
Если в результате выполнения команды отобразится строка подобная «i686», то система является 32-разрядной.
Если в результате выполнения команды отобразится строка подобная «x86_64», то система является 64-разрядной.
Для того чтобы определить путь до библиотеки librtpkcs11ecp.so введите команду:
Чтобы проверить наличие сертификатов и ключевых пар на Рутокен ЭЦП введите команду:
A — путь до библиотеки librtpkcs11ecp.so.
В результате в окне Терминала отобразится информация обо всех сертификатах и ключевых парах, хранящихся на Рутокен ЭЦП.
Чтобы открыть сертификат или ключевую пару скопируйте ID необходимого объекта и введите команду:
A — путь до библиотеки librtpkcs11ecp.so.
B — ID сертификата.
В результате в окне Терминала отобразится полная информация об указанном объекте.
Чтобы скопировать сертификат в файл введите команду:
A — путь до библиотеки librtpkcs11ecp.so.
B — ID сертификата.
C — имя файла.
Изменение PIN-кода Рутокен ЭЦП
Перед запуском процесса проверки смены PIN-кода Рутокен ЭЦП установите библиотеку PKCS#11 и определите путь до библиотеки librtpkcs11ecp.so.
Для того чтобы загрузить библиотеку PKCS#11:
Определите разрядность используемой системы:
Если в результате выполнения команды отобразилась строка подобная «i686», то система является 32-разрядной.
Если в результате выполнения команды отобразилась строка подобная «x86_64», то система является 64-разрядной.
Для того чтобы определить путь до библиотеки librtpkcs11ecp.so введите команду:
Для изменения PIN-кода введите команду:
A — путь до библиотеки librtpkcs11ecp.so.
B — текущий PIN-код устройства.
C — новый PIN-код устройства.
В результате PIN-код устройства будет изменен.
Определение проблемы с Рутокен ЭЦП в системе
В данном разделе разберем две основные проблемы, которые могут возникнуть с Рутокен ЭЦП в системах GNU/Linux:
Проблема «Наличие пакета OpenCT»
Способ определения
На экране после ввода команды pcsc_scan отобразилось сообщение:
Это означает, что Рутокен ЭЦП не работает в системе и следует определить проблему.
Для определения проблемы:
Остановите работу утилиты:
Запустите pcscd вручную в отладочном режиме:
Если у вас нет доступа к команде sudo, то используйте команду su.
Решение
Существует два способа решения данной проблемы.
1 способ. Удаление пакета OpenCT
Если пакет OpenCT необходим для работы и нет возможности его удалить, то перейдите сразу ко второму способу.
Для удаление OpenCT необходимо:
Шаг 1. Проверка наличия пакета OpenCT в системе
Для проверки наличия OpenCT в системе введите команду:
В deb-based системах:
Если пакет уже установлен, то в разделе Status отобразится сообщение «install ok installed».
В rpm-based системах:
Шаг 2. Удаление пакета OpenCT
Чтобы удалить OpenCT введите команду:
В deb-based системах:
В rpm-based системах:
Если у вас нет доступа к команде sudo, то используйте команду su.
В результате OpenCT будет удален. После этого следует снова проверить работу устройства в системе. Для этого повторите процедуру Проверка работы Рутокен ЭЦП в системе.
2 способ. Удаление записей об устройстве в конфигурационном файле openct.conf
Для удаления записей об устройстве в конфигурационном файле необходимо:
Шаг 1. Открытие конфигурационного файла
Чтобы открыть конфигурационный файл введите команду:
Если у вас нет доступа к команде sudo, то используйте команду su.
В результате откроется конфигурационный файл openct.conf.
Шаг 2. Удаление в конфигурационном файле необходимой строки
Для удаления в конфигурационном файле необходимой строки:
Шаг 3. Перезапуск сервиса OpenCT
Чтобы перезапустить сервис OpenCT введите команду:
После этого следует снова проверить работу устройства в системе. Для этого повторите процедуру Проверка работы Рутокен ЭЦП в системе.
Проблема «Отсутствие записей об устройстве в конфигурационном файле Info.plist»
Способ определения
На экране после ввода команды pcsc_scan отобразилось сообщение:
Это означает, что Рутокен ЭЦП не работает в системе и следует определить проблему.
Для определения проблемы:
Остановите работу утилиты:
Если у вас нет доступа к команде sudo, то используйте команду su.
Запустите pcscd вручную в отладочном режиме и осуществите поиск строки «Rutoken»:
Откройте в библиотеке libccid конфигурационный файл Info.plist и проверьте наличие в нем записей об устройстве.
Для открытия конфигурационного файла Info.plist введите команду:
Если у вас нет доступа к команде sudo, то используйте команду su.
В результате откроется конфигурационный файл Info.plist.
Проверьте наличие строк:
в массиве ifdVendorID строки 0x0A89 ;
Решение
Будьте очень внимательны при работа с конфигурационным файлом Info.plist.
Добавьте недостающие строки в конфигурационный файл:
в массиве ifdVendorID строку 0x0A89 ;
После этого следует снова проверить работу устройства в системе. Для этого перейдите в раздел Проверка работы Рутокен ЭЦП в системе.