Инструкция по установке КриптоПро — различия между версиями
(→Подключение КриптоПро) |
A.butyrin (обсуждение | вклад) м (оформление) |
||
(не показаны 43 промежуточные версии 3 участников) | |||
Строка 1: | Строка 1: | ||
== Применимость == | == Применимость == | ||
− | В инструкции описана установка СКЗИ КриптоПро CSP 4.0 | + | В этой инструкции описана установка СКЗИ КриптоПро CSP 4.0 в ROSA Fresh R7–R10 (RED X2–X3) для работы с электронными ключами Рутокен. Пример приведён для 64-разрядной архитектуры AMD64; для 32-разрядной i586 установка аналогична с точностью до названий установочных пакетов и папок. Для установки нужны навыки работы в файловом менеджере (для KDE-версии это ''Dolphin'') и консоли (Konsole или F4 при работе в ''Dolphin''). |
+ | |||
== Получение установочных пакетов == | == Получение установочных пакетов == | ||
− | + | Перед установкой СКЗИ КриптоПро CSP 4.0 сначала нужно зарегистрироваться на сайте https://www.cryptopro.ru/ и со страницы загрузки https://www.cryptopro.ru/products/csp/downloads скачать версию 4.0 для Linux в пакете {{pkg|rpm}}. | |
[[Файл:Криптопро1.png]] | [[Файл:Криптопро1.png]] | ||
Строка 8: | Строка 9: | ||
== Установка базовых компонентов КриптоПро == | == Установка базовых компонентов КриптоПро == | ||
− | + | * Распакуйте загруженный архив. Это можно сделать, выбрав соответствующий пункт меню в графическом интерфейсе или выполнив консольные команды: | |
− | + | cd ~/Загрузки/ | |
− | + | tar -xvf linux-amd64.tgz | |
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | ||
+ | Должна появиться папка с установочными файлами КриптоПро. | ||
+ | * В консоли перейдите в эту папку: | ||
+ | cd linux-amd64/ | ||
− | + | Дальнейшую установку нужно выполнять с правами администратора (root). | |
− | + | * Выполните в консоли команду перехода в режим администратора (<code>su</code>) и введите пароль. | |
− | + | * Выполните команды установки: | |
− | ''' | + | urpmi -a lsb-core ccid |
− | == Подключение к компьютеру == | + | ./install.sh |
− | Теперь можно подключить | + | rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-* |
+ | |||
+ | Если пароль администратора неизвестен, можно использовать команду <code>sudo ./install.sh</code>, а затем — <code>sudo rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*</code>, введя при этом пароль текущего пользователя (если у него есть на это права). | ||
+ | |||
+ | Для установки в графическом интерфейсе запустите файловый менеджер ''Dolphin'' с правами администратора, выполнив следующую команду: | ||
+ | kdesu dolphin | ||
+ | |||
+ | В открывшемся окне щёлкните по файлу install.sh. | ||
+ | |||
+ | === Установка пакетов поддержки устройств === | ||
+ | |||
+ | Пакеты поддержки токенов/ридеров/плат расширения находятся в архиве КриптоПро CSP; их названия начинаются с {{pkg|cprocsp-rdr-}}. Если необходимо использовать определённое устройство (например, Рутокен ЭЦП), установите соответствующий пакет: | ||
+ | |||
+ | sudo rpm -ivh cprocsp-rdr-rutoken* | ||
+ | |||
+ | Ещё в архиве есть пакеты с драйверами ({{pkg|ifd-*}}). Их также следует установить при использовании соответствующих устройств. Например, для Рутокен S: | ||
+ | |||
+ | sudo rpm -ivh ifd-rutokens* | ||
+ | |||
+ | == Установка графических компонентов == | ||
+ | |||
+ | Если планируется использование [http://wiki.rosalab.ru/ru/index.php/%D0%A0%D0%B5%D0%BA%D0%BE%D0%BC%D0%B5%D0%BD%D0%B4%D0%B0%D1%86%D0%B8%D0%B8_%D0%BF%D0%BE_%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B5_%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%9F%D1%80%D0%BE_%D0%AD%D0%A6%D0%9F_Browser_plugin Криптопро ЭЦП Browser Plugin] (данный этап включён в инструкцию в ссылке), ''rosa-crypto-tool'' или других программ и компонентов с графическим интерфейсом, необходимо установить ещё два пакета: | ||
+ | urpmi pangox-compat && rpm -ivh cprocsp-rdr-gui-gtk* | ||
+ | |||
+ | Не следует устанавливать пакет {{pkg|cprocsp-rdr-gui}}, т. к. в связке с {{pkg|cprocsp-rdr-gui-gtk}} он нарушает работу графических компонентов. | ||
+ | |||
+ | == Подключение токена к компьютеру == | ||
+ | Теперь можно подключить Рутокен к USB-порту компьютера. | ||
[[Файл:Криптопро3.jpg]] | [[Файл:Криптопро3.jpg]] | ||
− | Для контроля правильности подключения | + | Для контроля правильности подключения выполните команду <code>lsusb</code>. |
− | + | ||
− | + | Пример правильного вывода: | |
[[Файл:Криптопро4.png]] | [[Файл:Криптопро4.png]] | ||
− | + | == Подключение и установка КриптоПро == | |
− | + | ||
− | + | * Запустите в отдельной консоли программу ''pcscd'' с правами администратора (root). В дальнейшем это следует делать через консоль и <code>sudo</code>, хотя можно и через команду <code>su</code>, чтобы не вводить пароль каждый раз. <code>sudo</code> будет индикатором того, что команда требует прав администратора. | |
− | После запуска не | + | sudo pcscd -adfffff |
− | + | ||
− | + | После запуска не закрывайте эту консоль — в ней можно будет видеть, как система взаимодействует со смарт-картой. | |
+ | |||
+ | * Откройте ещё одну консоль. | ||
+ | |||
+ | * Запустите в ней утилиту уже установленного в папку /opt КриптоПро: | ||
+ | /opt/cprocsp/bin/amd64/list_pcsc | ||
+ | |||
+ | Утилита также должна «видеть» устройство: | ||
+ | |||
+ | [[Файл:Криптопро5.png]] | ||
+ | |||
+ | == Установка сертификатов == | ||
+ | После установки пакетов появится возможность просматривать контейнеры на устройстве Рутокен. Например, чтобы узнать путь к требуемому контейнеру, выполните: | ||
+ | /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq | ||
+ | |||
+ | [[Файл:Криптопро7.png]] | ||
+ | |||
+ | Для работы с сертификатами нужно установить сертификат удостоверяющего центра (в данном случае устанавливается непосредственно корневой сертификат) и сертификат Рутокен на локальное хранилище. | ||
+ | |||
+ | * Загрузите с сайта удостоверяющего центра файл, содержащий корневой сертификат (обычно он имеет расширение .cer или .p7b) и, при необходимости, цепочку сертификатов. | ||
+ | |||
+ | * Загрузите список отозванных сертификатов (файл с расширением .crl) и установите полученные файлы с помощью команд, аналогичных приведённым ниже. | ||
+ | |||
+ | Установка корневого сертификата удостоверяющего центра: | ||
+ | /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/<название файла>.cer -store uRoot | ||
+ | |||
+ | Установка списка отозванных сертификатов: | ||
+ | /opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Загрузки/<название файла>.crl | ||
+ | |||
+ | Установка цепочки промежуточных сертификатов: | ||
+ | /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/<название файла>.p7b -store CA | ||
+ | |||
+ | Установка сертификата с рутокена: | ||
+ | /opt/cprocsp/bin/amd64/certmgr -inst -cont '<путь к контейнеру, начинающийся на \\.\>' -store uMy | ||
+ | |||
+ | Подробнее о программе certmgr можно узнать [http://www.cryptopro.ru/sites/default/files/docs/certmgr.pdf здесь]. | ||
+ | |||
+ | '''Примечание'''. Чаще всего расширение .cer соответствует сертификату, а .p7b — контейнеру, в котором может содержаться один или больше сертификатов (например, их цепочка). | ||
+ | |||
+ | == Установка КриптоПро Fox == | ||
+ | ''КриптоПро Fox'' — версия браузера Firefox, умеющая работать с КриптоПро. | ||
+ | |||
+ | * Скачайте браузер с [https://www.cryptopro.ru/products/cpfox сайта КриптоПро], выбрав пункт «Скачать КриптоПро Fox 45 для 64-разрядных Linux (CentOS 6.6+)». | ||
+ | * Разархивируйте полученный пакет. | ||
+ | * Запустите программу ''cpfox''. | ||
+ | |||
+ | Для удобства работы с КриптоПро Fox можно создать ярлык для его запуска на рабочем столе: | ||
+ | |||
+ | * Кликните по столу правой кнопкой мыши. | ||
+ | * Выберите пункт '''Создать''' → '''Ссылка на приложение'''. | ||
+ | * В открывшемся окне на вкладке '''Приложение''' укажите команду запуска и название ярлыка. | ||
+ | |||
+ | Для проверки правильности установки попробуйте открыть сайт https://cpca.cryptopro.ru. Если всё в порядке, вы увидите следующее: | ||
+ | |||
+ | [[Файл:Криптопро8.png]] | ||
+ | |||
+ | Обычный же Firefox этот адрес открыть не сможет: | ||
+ | |||
+ | [[Файл:Криптопро9.png]] | ||
+ | |||
+ | == Примечания == | ||
+ | Для работы с другими носителями нужно установить модули поддержки соответствующих устройств. Названия модулей: {{pkg|cprocsp-rdr-<название_устройства>}}. К таким модулям относятся ({{pkg|cprocsp-rdr-}}) {{pkg|emv}}, {{pkg|esmart}}, {{pkg|inpaspot}}, {{pkg|mskey}}, {{pkg|jacarta}}, {{pkg|novacard}}, {{pkg|rutoken}}. |
Текущая версия на 12:58, 22 ноября 2018
Содержание
Применимость
В этой инструкции описана установка СКЗИ КриптоПро CSP 4.0 в ROSA Fresh R7–R10 (RED X2–X3) для работы с электронными ключами Рутокен. Пример приведён для 64-разрядной архитектуры AMD64; для 32-разрядной i586 установка аналогична с точностью до названий установочных пакетов и папок. Для установки нужны навыки работы в файловом менеджере (для KDE-версии это Dolphin) и консоли (Konsole или F4 при работе в Dolphin).
Получение установочных пакетов
Перед установкой СКЗИ КриптоПро CSP 4.0 сначала нужно зарегистрироваться на сайте https://www.cryptopro.ru/ и со страницы загрузки https://www.cryptopro.ru/products/csp/downloads скачать версию 4.0 для Linux в пакете rpm.
Установка базовых компонентов КриптоПро
- Распакуйте загруженный архив. Это можно сделать, выбрав соответствующий пункт меню в графическом интерфейсе или выполнив консольные команды:
cd ~/Загрузки/ tar -xvf linux-amd64.tgz
Должна появиться папка с установочными файлами КриптоПро.
- В консоли перейдите в эту папку:
cd linux-amd64/
Дальнейшую установку нужно выполнять с правами администратора (root).
- Выполните в консоли команду перехода в режим администратора (
su
) и введите пароль. - Выполните команды установки:
urpmi -a lsb-core ccid ./install.sh rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*
Если пароль администратора неизвестен, можно использовать команду sudo ./install.sh
, а затем — sudo rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*
, введя при этом пароль текущего пользователя (если у него есть на это права).
Для установки в графическом интерфейсе запустите файловый менеджер Dolphin с правами администратора, выполнив следующую команду:
kdesu dolphin
В открывшемся окне щёлкните по файлу install.sh.
Установка пакетов поддержки устройств
Пакеты поддержки токенов/ридеров/плат расширения находятся в архиве КриптоПро CSP; их названия начинаются с cprocsp-rdr-. Если необходимо использовать определённое устройство (например, Рутокен ЭЦП), установите соответствующий пакет:
sudo rpm -ivh cprocsp-rdr-rutoken*
Ещё в архиве есть пакеты с драйверами (ifd-*). Их также следует установить при использовании соответствующих устройств. Например, для Рутокен S:
sudo rpm -ivh ifd-rutokens*
Установка графических компонентов
Если планируется использование Криптопро ЭЦП Browser Plugin (данный этап включён в инструкцию в ссылке), rosa-crypto-tool или других программ и компонентов с графическим интерфейсом, необходимо установить ещё два пакета:
urpmi pangox-compat && rpm -ivh cprocsp-rdr-gui-gtk*
Не следует устанавливать пакет cprocsp-rdr-gui, т. к. в связке с cprocsp-rdr-gui-gtk он нарушает работу графических компонентов.
Подключение токена к компьютеру
Теперь можно подключить Рутокен к USB-порту компьютера.
Для контроля правильности подключения выполните команду lsusb
.
Пример правильного вывода:
Подключение и установка КриптоПро
- Запустите в отдельной консоли программу pcscd с правами администратора (root). В дальнейшем это следует делать через консоль и
sudo
, хотя можно и через командуsu
, чтобы не вводить пароль каждый раз.sudo
будет индикатором того, что команда требует прав администратора.
sudo pcscd -adfffff
После запуска не закрывайте эту консоль — в ней можно будет видеть, как система взаимодействует со смарт-картой.
- Откройте ещё одну консоль.
- Запустите в ней утилиту уже установленного в папку /opt КриптоПро:
/opt/cprocsp/bin/amd64/list_pcsc
Утилита также должна «видеть» устройство:
Установка сертификатов
После установки пакетов появится возможность просматривать контейнеры на устройстве Рутокен. Например, чтобы узнать путь к требуемому контейнеру, выполните:
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq
Для работы с сертификатами нужно установить сертификат удостоверяющего центра (в данном случае устанавливается непосредственно корневой сертификат) и сертификат Рутокен на локальное хранилище.
- Загрузите с сайта удостоверяющего центра файл, содержащий корневой сертификат (обычно он имеет расширение .cer или .p7b) и, при необходимости, цепочку сертификатов.
- Загрузите список отозванных сертификатов (файл с расширением .crl) и установите полученные файлы с помощью команд, аналогичных приведённым ниже.
Установка корневого сертификата удостоверяющего центра:
/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/<название файла>.cer -store uRoot
Установка списка отозванных сертификатов:
/opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Загрузки/<название файла>.crl
Установка цепочки промежуточных сертификатов:
/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/<название файла>.p7b -store CA
Установка сертификата с рутокена:
/opt/cprocsp/bin/amd64/certmgr -inst -cont '<путь к контейнеру, начинающийся на \\.\>' -store uMy
Подробнее о программе certmgr можно узнать здесь.
Примечание. Чаще всего расширение .cer соответствует сертификату, а .p7b — контейнеру, в котором может содержаться один или больше сертификатов (например, их цепочка).
Установка КриптоПро Fox
КриптоПро Fox — версия браузера Firefox, умеющая работать с КриптоПро.
- Скачайте браузер с сайта КриптоПро, выбрав пункт «Скачать КриптоПро Fox 45 для 64-разрядных Linux (CentOS 6.6+)».
- Разархивируйте полученный пакет.
- Запустите программу cpfox.
Для удобства работы с КриптоПро Fox можно создать ярлык для его запуска на рабочем столе:
- Кликните по столу правой кнопкой мыши.
- Выберите пункт Создать → Ссылка на приложение.
- В открывшемся окне на вкладке Приложение укажите команду запуска и название ярлыка.
Для проверки правильности установки попробуйте открыть сайт https://cpca.cryptopro.ru. Если всё в порядке, вы увидите следующее:
Обычный же Firefox этот адрес открыть не сможет:
Примечания
Для работы с другими носителями нужно установить модули поддержки соответствующих устройств. Названия модулей: cprocsp-rdr-<название_устройства>. К таким модулям относятся (cprocsp-rdr-) emv, esmart, inpaspot, mskey, jacarta, novacard, rutoken.