Инструкция по установке КриптоПро — различия между версиями

Материал из Rosalab Wiki
Перейти к: навигация, поиск
(Подключение и установка КриптоПро)
м (оформление)
 
(не показано 19 промежуточных версий 2 участников)
Строка 1: Строка 1:
 
== Применимость ==
 
== Применимость ==
В инструкции описана установка СКЗИ КриптоПро CSP 4.0 на ROSA Fresh R7 (ROSA RED X2) для работы с рутокен. Пример указан для 64-разрядной архитектуры AMD64, для 32-разрядной i586 установка аналогична с точностью до указания установочных пакетов и папок. Для установки нужны навыки работы в файловом менеджере (для KDE-версии это Dolphin) и консоли (Konsole или F4 при работе в Dolphin)
+
В этой инструкции описана установка СКЗИ КриптоПро CSP 4.0 в ROSA Fresh R7–R10 (RED X2–X3) для работы с электронными ключами Рутокен. Пример приведён для 64-разрядной архитектуры AMD64; для 32-разрядной i586 установка аналогична с точностью до названий установочных пакетов и папок. Для установки нужны навыки работы в файловом менеджере (для KDE-версии это ''Dolphin'') и консоли (Konsole или F4 при работе в ''Dolphin'').
 +
 
 
== Получение установочных пакетов ==
 
== Получение установочных пакетов ==
Для установки СКЗИ КриптоПро CSP 4.0 для начала надо зарегистрироваться на сайте https://www.cryptopro.ru/ и со страницы загрузки https://www.cryptopro.ru/products/csp/downloads скачать версию 4.0 для linux в пакете rpm
+
Перед установкой СКЗИ КриптоПро CSP 4.0 сначала нужно зарегистрироваться на сайте https://www.cryptopro.ru/ и со страницы загрузки https://www.cryptopro.ru/products/csp/downloads скачать версию 4.0 для Linux в пакете {{pkg|rpm}}.
  
 
[[Файл:Криптопро1.png]]
 
[[Файл:Криптопро1.png]]
Строка 8: Строка 9:
  
 
== Установка базовых компонентов КриптоПро ==
 
== Установка базовых компонентов КриптоПро ==
Для установки нужно распаковать полученный архив. Это можно сделать щелкнув по скачанному пакету мышью и используя графический интерфейс или в консоли выполнив команды:
+
* Распакуйте загруженный архив. Это можно сделать, выбрав соответствующий пункт меню в графическом интерфейсе или выполнив консольные команды:
  '''cd ~/Загрузки/'''
+
cd ~/Загрузки/
  '''tar -xvf linux-amd64.tgz
+
tar -xvf linux-amd64.tgz
Должна появиться папка с установочными файлами КриптоПро, в консоли можно перейти в неё командой
+
  '''cd linux-amd64/'''
+
Далее нужно выполнить инсталляцию с правами администратора (root), для этого нужно в консоли ввести команду перехода в режим суперпользователя:
+
  '''su'''
+
и ввести пароль, после этого ввести команды инсталляции
+
'''./install.sh'''
+
'''urpmi cprocsp-rdr-rutoken-64-4.0.0-4.x86_64.rpm ifd-rutokens-1.0.1-1.x86_64.rpm cprocsp-rdr-pcsc-64-4.0.0-4.x86_64.rpm
+
также можно использовать команду '''sudo ./install.sh'''
+
  
 +
Должна появиться папка с установочными файлами КриптоПро.
 +
* В консоли перейдите в эту папку:
 +
cd linux-amd64/
  
В графическом интерфейсе для той же операции инсталляции можно запустить файловый менеджер, например Dophin в KDE с помощью выполнения команды (Alt+F2)
+
Дальнейшую установку нужно выполнять с правами администратора (root).
  '''kdesu dolphin'''
+
* Выполните в консоли команду перехода в режим администратора (<code>su</code>) и введите пароль.
и щелкнуть в открывшемся окне по файлу '''install.sh
+
* Выполните команды установки:
'''
+
urpmi -a lsb-core ccid
 +
./install.sh
 +
rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*
  
== Подключение к компьютеру ==
+
Если пароль администратора неизвестен, можно использовать команду  <code>sudo ./install.sh</code>, а затем — <code>sudo rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*</code>, введя при этом пароль текущего пользователя (если у него есть на это права).
Теперь можно подключить рутокен к USB-порту компьютера
+
 
 +
Для установки в графическом интерфейсе запустите файловый менеджер ''Dolphin'' с правами администратора, выполнив следующую команду:
 +
kdesu dolphin
 +
 
 +
В открывшемся окне щёлкните по файлу install.sh.
 +
 
 +
=== Установка пакетов поддержки устройств ===
 +
 
 +
Пакеты поддержки токенов/ридеров/плат расширения находятся в архиве КриптоПро CSP; их названия начинаются с {{pkg|cprocsp-rdr-}}. Если необходимо использовать определённое устройство (например, Рутокен ЭЦП), установите соответствующий пакет:
 +
 
 +
sudo rpm -ivh cprocsp-rdr-rutoken*
 +
 
 +
Ещё в архиве есть пакеты с драйверами ({{pkg|ifd-*}}). Их также следует установить при использовании соответствующих устройств. Например, для Рутокен S:
 +
 
 +
sudo rpm -ivh ifd-rutokens*
 +
 
 +
== Установка графических компонентов ==
 +
 
 +
Если планируется использование [http://wiki.rosalab.ru/ru/index.php/%D0%A0%D0%B5%D0%BA%D0%BE%D0%BC%D0%B5%D0%BD%D0%B4%D0%B0%D1%86%D0%B8%D0%B8_%D0%BF%D0%BE_%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B5_%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%9F%D1%80%D0%BE_%D0%AD%D0%A6%D0%9F_Browser_plugin Криптопро ЭЦП Browser Plugin] (данный этап включён в инструкцию в ссылке), ''rosa-crypto-tool'' или других программ и компонентов с графическим интерфейсом, необходимо установить ещё два пакета:
 +
urpmi pangox-compat && rpm -ivh cprocsp-rdr-gui-gtk*
 +
 
 +
Не следует устанавливать пакет {{pkg|cprocsp-rdr-gui}}, т.&nbsp;к. в связке с {{pkg|cprocsp-rdr-gui-gtk}} он нарушает работу графических компонентов.
 +
 
 +
== Подключение токена к компьютеру ==
 +
Теперь можно подключить Рутокен к USB-порту компьютера.
  
 
[[Файл:Криптопро3.jpg]]
 
[[Файл:Криптопро3.jpg]]
  
Для контроля правильности подключения дайте после него в консоли команду:
+
Для контроля правильности подключения выполните команду <code>lsusb</code>.
  '''lsusb'''
+
 
Должен быть получен результат, похожий на
+
Пример правильного вывода:
  
 
[[Файл:Криптопро4.png]]
 
[[Файл:Криптопро4.png]]
  
 
== Подключение и установка КриптоПро ==
 
== Подключение и установка КриптоПро ==
Теперь нам нужно запустить в отдельной консоли программу '''pcscd''' с правами администратора (root). В дальнейшем мы будем это делать через консоль и '''sudo''', хотя можно делать и через команду '''su''' чтоб не вводить пароль каждый раз, '''sudo''' будет индикатором того, что команда требует прав администратора.
+
 
  '''sudo pcscd -adfffff'''
+
* Запустите в отдельной консоли программу ''pcscd'' с правами администратора (root). В дальнейшем это следует делать через консоль и <code>sudo</code>, хотя можно и через команду <code>su</code>, чтобы не вводить пароль каждый раз. <code>sudo</code> будет индикатором того, что команда требует прав администратора.
После запуска не будем закрывать эту консоль (там можно будет видеть, как система общается со смарт-картой) а для последующих команд откроем еще одну консоль.
+
sudo pcscd -adfffff
Выполним в новооткрытой консоли утититу уже частично установленного в папку '''/opt''' КриптоПро:
+
 
  '''/opt/cprocsp/bin/amd64/list_pcsc'''
+
После запуска не закрывайте эту консоль — в ней можно будет видеть, как система взаимодействует со смарт-картой.
Утилита также должна уже видеть устройство:
+
 
 +
* Откройте ещё одну консоль.
 +
 
 +
* Запустите в ней утилиту уже установленного в папку /opt КриптоПро:
 +
/opt/cprocsp/bin/amd64/list_pcsc
 +
 
 +
Утилита также должна «видеть» устройство:
  
 
[[Файл:Криптопро5.png]]
 
[[Файл:Криптопро5.png]]
  
 
== Установка сертификатов ==
 
== Установка сертификатов ==
После установки пакетов появится возможность видеть контейнеры на устройстве рутокен. Например, узнать путь к требуемому контейнеру по команде:
+
После установки пакетов появится возможность просматривать контейнеры на устройстве Рутокен. Например, чтобы узнать путь к требуемому контейнеру, выполните:
  '''/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq'''
+
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq
  
 
[[Файл:Криптопро7.png]]
 
[[Файл:Криптопро7.png]]
  
Для работы с сертификатами нужно установить сертификат удостоверяющего центра (в данном случае устанавливается непосредственно корневой сертификат) и сертификат с рутокена на локальное хранилище.
+
Для работы с сертификатами нужно установить сертификат удостоверяющего центра (в данном случае устанавливается непосредственно корневой сертификат) и сертификат Рутокен на локальное хранилище.
Для этого нужно загрузить с сайта удостоверяющего центра файл, содержащий корневой сертификат (обычно файл с расширением .cer или .p7b). И, при необходимости, цепочку сертификатов (обычно файл с расширением .cer или .p7b). Также надо загрузить список отозванных сертификатов (обычно файл с расширением .crl) и установить полученные файлы командами, схожими с приведёнными ниже (подробнее о команде certmgr можно узнать [http://www.cryptopro.ru/sites/default/files/docs/certmgr.pdf здесь]):
+
 
 +
* Загрузите с сайта удостоверяющего центра файл, содержащий корневой сертификат (обычно он имеет расширение .cer или .p7b) и, при необходимости, цепочку сертификатов.
 +
 
 +
* Загрузите список отозванных сертификатов (файл с расширением .crl) и установите полученные файлы с помощью команд, аналогичных приведённым ниже.  
  
 
Установка корневого сертификата удостоверяющего центра:
 
Установка корневого сертификата удостоверяющего центра:
  '''/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/<название файла>.cer -store uRoot'''
+
/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/<название файла>.cer -store uRoot
 +
 
 
Установка списка отозванных сертификатов:
 
Установка списка отозванных сертификатов:
  '''/opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Загрузки/<название файла>.crl'''
+
/opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Загрузки/<название файла>.crl
 +
 
 
Установка цепочки промежуточных сертификатов:
 
Установка цепочки промежуточных сертификатов:
  '''/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/<название файла>.p7b -store CA'''
+
/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/<название файла>.p7b -store CA
 +
 
 
Установка сертификата с рутокена:
 
Установка сертификата с рутокена:
  '''/opt/cprocsp/bin/amd64/certmgr -inst -cont '<путь к контейнеру, начинающийся на \\.\>' -store uMy'''
+
/opt/cprocsp/bin/amd64/certmgr -inst -cont '<путь к контейнеру, начинающийся на \\.\>' -store uMy
  
'''Примечание:''' чаще всего расширение .cer соответствует сертификату, а .p7b - контейнеру, в котором может содержаться один или больше сертификатов (например их цепочка).
+
Подробнее о программе certmgr можно узнать [http://www.cryptopro.ru/sites/default/files/docs/certmgr.pdf здесь].
 +
 
 +
'''Примечание'''. Чаще всего расширение .cer соответствует сертификату, а .p7b контейнеру, в котором может содержаться один или больше сертификатов (например, их цепочка).
  
 
== Установка КриптоПро Fox ==
 
== Установка КриптоПро Fox ==
Для установки браузера firefox, умеющего работать с КриптоПро  - ''КриптоПро Fox'' нужно:
+
''КриптоПро Fox'' — версия браузера Firefox, умеющая работать с КриптоПро.
# Скачать браузер с сайта КриптоПро https://www.cryptopro.ru/products/cpfox выбрав '''Скачать КриптоПро Fox 38 для 64-разрядных Linux (CentOS 6.6+)'''
+
# Разархивировать полученный пакет и запустить программу '''cpfox'''
+
  
Для удобства работы с КриптоПро Fox можно создать ярлык для его запуска на рабочем столе. Для этого нужно кликнуть по столу правой кнопкой мыши и выбрать
+
* Скачайте браузер с [https://www.cryptopro.ru/products/cpfox сайта КриптоПро], выбрав пункт «Скачать КриптоПро Fox 45 для 64-разрядных Linux (CentOS 6.6+)».
''Создать-Ссылка на приложение'', в открывшемся окне на вкладке ''Приложение'' указать команду запуска и название ярлыка.  
+
* Разархивируйте полученный пакет.
 +
* Запустите программу ''cpfox''.
  
Для проверки правильности установки попробуйте открыть сайт https://cpca.cryptopro.ru
+
Для удобства работы с КриптоПро Fox можно создать ярлык для его запуска на рабочем столе:
Если все нормально, будет так:
+
 
 +
* Кликните по столу правой кнопкой мыши.
 +
* Выберите пункт '''Создать''' → '''Ссылка на приложение'''.
 +
* В открывшемся окне на вкладке '''Приложение''' укажите команду запуска и название ярлыка.
 +
 
 +
Для проверки правильности установки попробуйте открыть сайт https://cpca.cryptopro.ru. Если всё в порядке, вы увидите следующее:
  
 
[[Файл:Криптопро8.png]]
 
[[Файл:Криптопро8.png]]
  
обычный же firefox этот адрес открыть не сможет:
+
Обычный же Firefox этот адрес открыть не сможет:
  
 
[[Файл:Криптопро9.png]]
 
[[Файл:Криптопро9.png]]
 +
 +
== Примечания ==
 +
Для работы с другими носителями нужно установить модули поддержки соответствующих устройств. Названия модулей: {{pkg|cprocsp-rdr-<название_устройства>}}. К таким модулям относятся ({{pkg|cprocsp-rdr-}}) {{pkg|emv}}, {{pkg|esmart}}, {{pkg|inpaspot}}, {{pkg|mskey}}, {{pkg|jacarta}}, {{pkg|novacard}}, {{pkg|rutoken}}.

Текущая версия на 12:58, 22 ноября 2018

Применимость

В этой инструкции описана установка СКЗИ КриптоПро CSP 4.0 в ROSA Fresh R7–R10 (RED X2–X3) для работы с электронными ключами Рутокен. Пример приведён для 64-разрядной архитектуры AMD64; для 32-разрядной i586 установка аналогична с точностью до названий установочных пакетов и папок. Для установки нужны навыки работы в файловом менеджере (для KDE-версии это Dolphin) и консоли (Konsole или F4 при работе в Dolphin).

Получение установочных пакетов

Перед установкой СКЗИ КриптоПро CSP 4.0 сначала нужно зарегистрироваться на сайте https://www.cryptopro.ru/ и со страницы загрузки https://www.cryptopro.ru/products/csp/downloads скачать версию 4.0 для Linux в пакете rpm.

Криптопро1.png Криптопро2.png

Установка базовых компонентов КриптоПро

  • Распакуйте загруженный архив. Это можно сделать, выбрав соответствующий пункт меню в графическом интерфейсе или выполнив консольные команды:
cd ~/Загрузки/
tar -xvf linux-amd64.tgz

Должна появиться папка с установочными файлами КриптоПро.

  • В консоли перейдите в эту папку:
cd linux-amd64/

Дальнейшую установку нужно выполнять с правами администратора (root).

  • Выполните в консоли команду перехода в режим администратора (su) и введите пароль.
  • Выполните команды установки:
urpmi -a lsb-core ccid
./install.sh
rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*

Если пароль администратора неизвестен, можно использовать команду sudo ./install.sh, а затем — sudo rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*, введя при этом пароль текущего пользователя (если у него есть на это права).

Для установки в графическом интерфейсе запустите файловый менеджер Dolphin с правами администратора, выполнив следующую команду:

kdesu dolphin

В открывшемся окне щёлкните по файлу install.sh.

Установка пакетов поддержки устройств

Пакеты поддержки токенов/ридеров/плат расширения находятся в архиве КриптоПро CSP; их названия начинаются с cprocsp-rdr-. Если необходимо использовать определённое устройство (например, Рутокен ЭЦП), установите соответствующий пакет:

sudo rpm -ivh cprocsp-rdr-rutoken*

Ещё в архиве есть пакеты с драйверами (ifd-*). Их также следует установить при использовании соответствующих устройств. Например, для Рутокен S:

sudo rpm -ivh ifd-rutokens*

Установка графических компонентов

Если планируется использование Криптопро ЭЦП Browser Plugin (данный этап включён в инструкцию в ссылке), rosa-crypto-tool или других программ и компонентов с графическим интерфейсом, необходимо установить ещё два пакета:

urpmi pangox-compat && rpm -ivh cprocsp-rdr-gui-gtk*

Не следует устанавливать пакет cprocsp-rdr-gui, т. к. в связке с cprocsp-rdr-gui-gtk он нарушает работу графических компонентов.

Подключение токена к компьютеру

Теперь можно подключить Рутокен к USB-порту компьютера.

Криптопро3.jpg

Для контроля правильности подключения выполните команду lsusb.

Пример правильного вывода:

Криптопро4.png

Подключение и установка КриптоПро

  • Запустите в отдельной консоли программу pcscd с правами администратора (root). В дальнейшем это следует делать через консоль и sudo, хотя можно и через команду su, чтобы не вводить пароль каждый раз. sudo будет индикатором того, что команда требует прав администратора.
sudo pcscd -adfffff

После запуска не закрывайте эту консоль — в ней можно будет видеть, как система взаимодействует со смарт-картой.

  • Откройте ещё одну консоль.
  • Запустите в ней утилиту уже установленного в папку /opt КриптоПро:
/opt/cprocsp/bin/amd64/list_pcsc

Утилита также должна «видеть» устройство:

Криптопро5.png

Установка сертификатов

После установки пакетов появится возможность просматривать контейнеры на устройстве Рутокен. Например, чтобы узнать путь к требуемому контейнеру, выполните:

/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq

Криптопро7.png

Для работы с сертификатами нужно установить сертификат удостоверяющего центра (в данном случае устанавливается непосредственно корневой сертификат) и сертификат Рутокен на локальное хранилище.

  • Загрузите с сайта удостоверяющего центра файл, содержащий корневой сертификат (обычно он имеет расширение .cer или .p7b) и, при необходимости, цепочку сертификатов.
  • Загрузите список отозванных сертификатов (файл с расширением .crl) и установите полученные файлы с помощью команд, аналогичных приведённым ниже.

Установка корневого сертификата удостоверяющего центра:

/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/<название файла>.cer -store uRoot

Установка списка отозванных сертификатов:

/opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Загрузки/<название файла>.crl

Установка цепочки промежуточных сертификатов:

/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/<название файла>.p7b -store CA

Установка сертификата с рутокена:

/opt/cprocsp/bin/amd64/certmgr -inst -cont '<путь к контейнеру, начинающийся на \\.\>' -store uMy

Подробнее о программе certmgr можно узнать здесь.

Примечание. Чаще всего расширение .cer соответствует сертификату, а .p7b — контейнеру, в котором может содержаться один или больше сертификатов (например, их цепочка).

Установка КриптоПро Fox

КриптоПро Fox — версия браузера Firefox, умеющая работать с КриптоПро.

  • Скачайте браузер с сайта КриптоПро, выбрав пункт «Скачать КриптоПро Fox 45 для 64-разрядных Linux (CentOS 6.6+)».
  • Разархивируйте полученный пакет.
  • Запустите программу cpfox.

Для удобства работы с КриптоПро Fox можно создать ярлык для его запуска на рабочем столе:

  • Кликните по столу правой кнопкой мыши.
  • Выберите пункт СоздатьСсылка на приложение.
  • В открывшемся окне на вкладке Приложение укажите команду запуска и название ярлыка.

Для проверки правильности установки попробуйте открыть сайт https://cpca.cryptopro.ru. Если всё в порядке, вы увидите следующее:

Криптопро8.png

Обычный же Firefox этот адрес открыть не сможет:

Криптопро9.png

Примечания

Для работы с другими носителями нужно установить модули поддержки соответствующих устройств. Названия модулей: cprocsp-rdr-<название_устройства>. К таким модулям относятся (cprocsp-rdr-) emv, esmart, inpaspot, mskey, jacarta, novacard, rutoken.