...
Оглавление | ||
---|---|---|
|
См. также: Запуск службы pcscd с ненулевыми мандатными атрибутами
Какие
...
токены Рутокен работают с Astra Linux
...
Рутокен Рутокен S– модель для надежного хранения контейнеров ГОСТ-криптопровайдеров: КриптоПро, VipNet и VipNet и других. Сертифицированы во ФСТЭК.Рутокен
Рутокен Lite – модель для надежного хранения контейнеров ГОСТ-криптопровайдеров: КриптоПро, VipNet и VipNet и других. Сертифицированы во ФСТЭК. Обладает интерфейсом CCID и не требует установки дополнительных драйверов.
Рутокен ЭЦП 2.0 – имеет встроенный криптопровайдер и высокую производительность– высокопроизводительная модель со встроенным криптопровайдером. Формирует квалифицированную электронную подпись (КЭП) при помощи сертифицированной реализации российских криптографических алгоритмов непосредственно в самом чипе устройстве, что повышает безопасность использования ЭП — ключ подписи никогда не покидает токен, его невозможно использовать или скопировать без ведома владельца. Работает с алгоритмами ГОСТ 2012. Сертифицированы в ФСБ и ФСТЭК. Широко используется Используется в системе ЕГАИС с 2016 года. В активном пользовании более полумиллиона устройств с квалифицированной электронной подписью.
Рутокен ЭЦП PKI PKI и Рутокен ЭЦП 3.0
Более подробная информация: https://dev.rutoken.ru/pages/viewpage.action?pageId=66814078Тестирование
Проверка электронной подписи в Astra Linux
...
Кроме С помощью токенов, кроме двухфакторной аутентификации, можно проверять также подписание подписи документов.:
Для Рутокен Lite/S подписание подпись документа можно проверить с помощью:
- КриптоАРМ ГОСТ.
- Утилиту csptestf из состава КриптоПро CSP. Подробно в разделе на Подпись средствами «КриптоПро CSP».
Для Рутокен ЭЦП 2.0 подписание подпись документа можно проверить с помощью:
- КриптоАРМ ГОСТ.
- Тестовый центр регистрации Рутокен + Рутокен Плагин.
- OpenSSL + Рутокен Рутокен engine.
- Утилиту csptestf из состава КриптоПро CSP. Подробно в разделе на Подпись средствами «КриптоПро CSP»
Рутокен для платформ Байкал и Эльбрус
...
Токены Рутокен Lite и Рутокен ЭЦП одинаково хорошо работают на всех платформах,
...
имеющих USB-интерфейс.
...
Для подписи с использованием Рутокен можно использовать:
- Тестовый центр регистрации Рутокен + Рутокен Плагин.
- Утилита из КриптоПро CSP 5.0.
- КриптоАРМ ГОСТ.
- Для платформы Байкал М1 под управлением Astra Linux можно использовать предлагаемый разработчиками КриптоПРО пакет cryptoarm-gost-v2.5.12.linux-aarch64.deb (доступен по ссылке: https://github.com/CryptoARM/CryptoARMGOST/releases/tag/v2.5.12).
Установка
Для выполнения действий данной инструкции необходимо установить следующее программное обеспечение:
- Программное обеспечение из репозиториев Astra Linux:
- пакетlibccid;
- пакет libpcsclite1;
- пакет
- библиотека libccid, librtpkcs11ecp.so;
- пакеты libpcsclite1 и
- pcscd;
- пакет opensc;
пакет pcsc-tools
.
Для установки в терминале введите команду:
;
- Программное обеспечение, предоставляемое разработчиком оборудования:
- пакет librtpkcs11ecp
- пакет librtpkcs11ecp
Установка пакетов может быть выполнена с помощью Графический менеджер пакетов synaptic или из командной строки командой:
Command |
---|
sudo apt install |
Command |
sudo apt install libccid pcscd libpcsclite1 pcsc-tools opensc |
Для установки библиотеки librtpkcs11ecp.so следует перейти по указанной ссылке и скачать необходимую версию:
пакета librtpkcs11ecp загрузить актуальную версию по ссылке: https://www.rutoken.ru/support/download/pkcs/ и установить пакет:
Command |
---|
sudo apt install ./librtpkcs11ecp_1.8.2.0-1*_amd64.deb |
Проверка работы Рутокен в системе
Для проверки работы Рутокена:
Подключите устройство к компьютеру.
Способ №1
...
При установке пакета устанавливается библиотека librtpkcs11ecp.so В разных обновлениях эта библиотека может размещаться в различных каталогах. Для того, чтобы определить путь до библиотеки можно использовать команду:
Command |
---|
pcsc_scan |
Способ №2
Введите команду:
Command |
---|
pkcs11-tool --module find /usr/lib/*(lib|lib64) -name librtpkcs11ecp.so -T |
...
title | путь до библиотеки librtpkcs11ecp.so может различаться |
---|
Для того чтобы определить путь до библиотеки librtpkcs11ecp.so введите команду:
Command |
---|
find /usr/*(lib|lib64) -name librtpkcs11ecp.so |
Далее в примерах предполагается, что библиотека расположена в файле /usr/lib/librtpkcs11ecp.so.
Проверка работы Рутокен в системе
Для проверки работы токена необходимо подключить токен к компьютеру.
Команда pcsc_scan
Команда для проверки:
Command |
---|
pcsc_scan |
Команда после запуска проверяет наличие подключенного токена. Если токен обнаружен - выводит информацию о нем. Далее программа ожидает подключение следующего токена. Для завершения работы программы нажать Ctrl+C.
Пример вывода команды:
Блок кода |
---|
Using reader plug'n play mechanism
Scanning present readers...
0: Aktiv Rutoken lite 00 00
Fri Mar 31 13:29:35 2023
Reader 0: Aktiv Rutoken lite 00 00
Event number: 0
Card state: Card inserted,
ATR: 3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2
ATR: 3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2
+ TS = 3B --> Direct Convention
+ T0 = 8B, Y(1): 1000, K: 11 (historical bytes)
TD(1) = 01 --> Y(i+1) = 0000, Protocol T = 1
-----
+ Historical bytes: 52 75 74 6F 6B 65 6E 6C 69 74 65
Category indicator byte: 52 (proprietary format)
+ TCK = C2 (correct checksum)
Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):
3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2 |
Команда pkcs11-tool
Команда для проверки:
Command |
---|
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T |
Пример вывода команды:
Блок кода |
---|
vailable slots:
Slot 0 (0x0): Aktiv Rutoken lite 00 00
token label : Rutoken
token manufacturer : Aktiv Co.
token model : Rutoken lite
token flags : login required, rng, SO PIN to be changed, token initialized, PIN initialized, user PIN to be changed
hardware version : 65.4
firmware version : 30.2
serial num : 419b79e8
pin min/max : 6/32 |
Графический инструмент XCA
Способ №3
графическая утилита XCA:
См.
XCA: графический интерфейс для работы с токенами
Изменение PIN-кода Рутокен
Описание настроек PIN-кодов по умолчанию см. Управление PIN-кодами Рутокена.
Для изменения pin-кода Рутокена введите команду:
Command |
---|
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --login --pin ваш_старый_пин --change-pin --new-pin ваш_новый_пин |
...
При успешном выполнении будет выдано сообщение о том, что PIN-код
...
успешно
...
изменен:
Блок кода |
---|
Using slot 0 with a present token (0x0) |
...
PIN successfully changed |
...
Работа с сертификатами и ключевыми парами
...
на Рутокен ЭЦП
Проверка наличия сертификатов
Чтобы проверить наличие сертификатов и ключевых пар на Рутокене токене введите команду:
Command |
---|
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O -l |
В результате в окне терминала выполнения команды отобразится информация обо всех сертификатах и ключевых парах, хранящихся на Рутокене:
...
Если после строчки выводится информация о ключах и сертификатах, то необходимо можно считать сертификат:
Извлечение сертификата из токена
Команда для извлечения сертификата:
Command |
---|
|
вместо вместо {id} нужно подставить ID который вы увидите в выводе команды
Если после строчки строчки
Using slot 0 with a present token (0x0)
...
Для генерации ключевой пары в терминале следует ввести команду:
Command |
---|
|
Для создания самоподписанного сертификата в терминале следует ввести команду:
Command | |||||
---|---|---|---|---|---|
| |||||
OpenSSL> req -engine pkcs11 -new -key 0:45 -keyform engine -x509 -out название_вашего_сертификата.crt -outform DER
|
...
Создав свой личный сертификат, его следует загрузить на рутокентокен:
Command |
---|
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w название_вашего_сертификата.crt -a "Имя_сертификата_в_токене" --id 45 |
Проверка ключей и сертификатов в Рутокенетокене:
Command | ||
---|---|---|
| ||
Using slot 0 with a present token (0x0) |
Локальная аутентификация в Astra Linux по
...
токену Рутокен
Установка дополнительный пакетов
...
через Быстрый фильтр или через поиск находим и отмечаем к установке следующие пакеты:
- libccid
- pcscd
- libpam-p11
- libpam-pkcs11
- libp11-2
- libengine-pkcs11-openssl
- opensc
...
Теперь нам необходимо прочитать с токена сертификат с нужным ID и записать его в файл доверенных сертификатов:
Добавляем сертификат в список доверенных сертификатов:
Command |
---|
|
...
Command |
---|
|
...
Информация |
---|
Важно помнить, что при регистрации нескольких токенов на одном компьютере, необходимо указывать пользователям раличные различные id. |
Настройка аутентификации
...
Name: Pam_p11 Default: yes Priority: 800 Auth-Type: Primary Auth: sufficient pam_p11_opensc.so so /usr/lib/librtpkcs11ecp .so |
...
в появившемся окне отметить пункт Pam_p11 и нажать OK
Проверка
Пуск - утилиты - Терминал Fly
...
Пример файла конфигурации представлен ниже:
|
После этого добавьте приложение pkcs11_eventmgr в автозагрузку и перезагрузитесь.
...
Очистка всех данных с Рутокена
...
Инициализация утилитой pkcs11-tool:
Command |
---|
$ pkcs11-tool --slot 0 --init-token --so-pin '87654321' --label 'Название_Вашего_токена' --module /usr/lib/librtpkcs11ecp.so |
...
Command |
---|
pkcs15-init --erase-card |
...
Инструмент командной строки для администрирования токенов Рутокен (rtAdmin)
Утилита rtAdmin предназначена Инструмент командной строки rtadmin предназначен для автоматизации процедур форматирования и администрирования устройств Рутокен: смены метки токена, PIN-кодов и их параметров, управления разделами Flash-памяти.
При работе с утилитой рекомендуется не подключать более одного устройства.
Поддерживаемые модели:
- Рутокен Lite
- Рутокен Lite SC
- Рутокен ЭЦП
- Рутокен ЭЦП 2.0
- Рутокен ЭЦП SC
- Рутокен ЭЦП PKI
- Рутокен ЭЦП Flash
- Рутокен ЭЦП 2.0 Flash/touch
- Рутокен PINPad
Ссылки на загрузку:
Инструмент (исполняемый файл) доступен по ссылке: https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615
...
Отформатировать один токен с параметрами по умолчанию (для поточного выполнения убрать флаг -q)
./rtadmin -f -q
Отформатировать токен, задав имя токена
RutokenLabel
, PIN-код пользователя123456789
и PIN и PIN-код администратора987654321
../rtadmin -f -z /usr/lib/librtpkcs11ecp.so -L RutokenAstra -u 123456789 -a 98765432
1 -q
...
1 | Форматирование токена | -f | - |
2 | Текущий PIN-код администратора | -o [PIN-код (≤ 32)] | 87654321 Значение по умолчанию используется только при форматировании без указания параметра -o |
3 | Текущий PINPIN-код пользователя | -с [PIN-код (≤ 32)] | 12345678 Значение по умолчанию используется только при форматировании без указания параметра -c |
4 | Устанавливаемый PIN-код администратора | -a [PIN-код (≤ 32)] | 87654321 Значение по умолчанию используется только при форматировании без указания параметра -a |
5 | Устанавливаемый PIN-код пользователя | -u [PIN-код (≤ 32)] | 12345678 Значение по умолчанию используется только при форматировании без указания параметра -u |
6 | Устанавливаемый PIN2-код (для Рутокен PINPad. Устанавливается на экране устройства) | -t | - |
7 | Генерация PIN-кода администратора (используется при форматировании) | -G [длина PIN-кода (8-32)] | - |
8 | Генерация PIN-кода пользователя (используется при форматировании) | -g [длина PIN-кода (8-32)] | - |
9 | Загрузка значений пар PIN-кодов из файла | -b [имя файла] | - |
10 | Политика смены PIN-кода пользователя | -p [кто может менять PIN-код: | 2 |
11 | Минимальная длина PIN-кода администратора | -M [длина PIN-кода (6-31 для Рутокен ЭЦП и Рутокен Lite, 1 для Рутокен S)] | 6 |
12 | Минимальная длина PIN-кода пользователя | -m [длина PIN-кода (6-31 для Рутокен ЭЦП и Рутокен Lite, 1 для Рутокен S)] | 6 |
13 | Максимальное количество попыток ввода PIN-кода администратора | -R [число попыток (3-10)] | 10 |
14 | Максимальное количество попыток ввода PIN-кода пользователя | -r [число попыток (1-10)] | 10 |
15 | Метка токена в кодировке Windows-1251 | -L [метка токена] | - |
16 | Метка токена в кодировке UTF-8 | -D D [метка токена] | - |
17 | Конвертация в UTF-8 (флаг для параметров, связанных с PIN-кодами) | -U | По умолчанию PIN-коды не конвертируются в UTF-8 |
18 | Ограничение количества выполняемых итераций до одной | -q | - |
19 | Используемая библиотека PKCS#11 | -z [путь к библиотеке] | librtPKCS11ecp.so |
20 | Путь к конфигурационному файлу | -n [путь к файлу] | - |
21 | Протоколирование | -l [путь к файлу лога] | Путь: каталог, в котором лежит утилита |
...
Дополнительные источники информации
...
При возникновении вопросавопросов, ответы на который вам которые не удалось найти ответ в этой настоящей инструкции, рекомендуем
обратиться к следующим дополнительным источникам информации:
- web-сайт производителя оборудования: https://rutoken.ru
...
- . Сайт содержит большой объем справочной информации об устройствах Рутокен
...
...
- — портал разработчиков. Содержит техническую информацию об устройствах Рутокен и руководства по
...
- их интеграции
...
- ;
- База знаний
...
...
- . Содержит инструкции по решению большинства ошибок, полезные статьи и ответы на
...
- часто задаваемые вопросы.
...
- Доступен поиск по ключевым словам.
- https://forum.rutoken.ru
...
- — форум ответов на вопросы пользователей. Здесь
...
- можно задать
...
- вопрос
...
- разработчикам и сотрудникам службы технической поддержки Рутокен
...
- ;
- Рутокен и Госуслуги без использования КриптоПро:
...
- https://dev.rutoken.ru/pages/viewpage.action?pageId=78479384;
- Служба технической поддержки Рутокен:
...
...
- Сервис диагностики:
...
- https://help.rutoken.ru;
- e-mail:
...
- hotline@rutoken.ru
- тел.: +7 495 925-77-90