...
* сертификаты партнёров по общению, чтобы проверять их подписи и зашифровывать для них сообщения. Ставятся либо в umy (это беспорядок, но популярный), либо в uAddressBook
Пример установки личного сертификата, выданного УЦ Министерства Обороны Российской Федерации
| Блок кода | ||
|---|---|---|
| ||
Установка сертификата клиента: $ /opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern 'rutoken' Установка сертификата удостоверяющего центра ГУЦ: $ curl https://structure.mil.ru/files/morf/military/files/guc18.cer|/opt/cprocsp/bin/amd64/certmgr -inst -store mRoot Установка промежуточного сертификата МО: curl http://structure.mil.ru/download/doc/morf/military/files/CA2018.cer|/opt/cprocsp/bin/amd64/certmgr -inst -store mca -stdin Установка списка отвызвов (CRL), ставим его с того же сайта в mca: curl http://structure.mil.ru/download/doc/morf/military/files/crl_18.crl|/opt/cprocsp/bin/amd64/certmgr -inst -store mca -stdin -crl В случае, если рабочая станция не имеет доступа к сети, следует stdin заменить на -file /tmp/ca.cer и -file /tmp/ca.crl |
...
Для доступа к Госуслугам был использован Рутокен ЭЦП 2, «КриптоПро 4.0 R3», IFCP-plugin 3.0.3
Для аутентификации через ЕСИА esia.
IFCP-plugin позволит Вам авторизоваться и изменять данные на нескольких сайтах:
Список сайтов
- Все сайты gosuslugi.ru
...
- Все сайты is-mis.ru
- Все сайты minsvyaz.ru
- Все сайты minzdrav12.ru
- Все сайты mzkbr.ru
- Все сайты orb.ru
- Все сайты poliklinika45.ru
- Все сайты r-mis.ru
- Все сайты registratura96.ru
- Все сайты rkomi.ru
- Все сайты tambov.gov.ru
- Все сайты tatar.ru
- Все сайты voskhod.ru
- localhost
Установка и настройка:
Для аутентификации через ЕСИА esia.gosuslugi.ru следует:
1) Скачать Рутокен плагин с оффициального сайта: https://www.rutoken.ru/support/download/rutoken-plugin/
2) Скачать IFCP-плагин с сайта ГосУслуг в формате «deb» — файл IFCPlugin-x86_64.deb; https://ds-plugin.gosuslugi.ru/plugin/upload/Index.spr
3) Установить плагин:
$ sudo dpkg -i IFCPlugin-x86_64.deb
3) Для правильной работы плагина, следует прописать символические ссылки:
Для браузера Chromium:
sudo ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts
Для браузера Mozilla Firefox:
sudo ln -s /opt/cprocsp/lib/amd64/libcppkcs11.so.4.0.4 /usr/lib/mozilla/plugins/lib/libcppkcs11.so
Примечание: libcppkcs11.so.4.0.Х может отличаться, в зависимости от версии КриптоПро CSP.
4) Добавить в конфигурационный файл IFCplugin /etc/ifc.cfg :
| Блок кода |
|---|
{ name = "Актив руТокен ЭЦП";
alias = "ruTokenECP";
type = "pkcs11";
alg = "gost2001";
lib_linux = "librtpkcs11ecp.so";
},
{ name = "CryptoPro CSP";
alias = "cryptoprocsp";
type = "pkcs11";
alg = "gost2001";
lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
} |
5) Для проверки работы плагина, в терминале в режиме live можно просмотреть логи:
tail -f /var/log/ifc/engine_logs/engine.log
6) Для авторизации следует пройти по адресу: esia.gosuslugi.ru и выбрать Вход с помощью электронной подписи
7) Подключив токен, следует нажать кнопку "Готово", после чего система предложит выбрать нужный сертификат ключа проверки ЭЦП:
1) Скачать Рутокен плагин с оффициального сайта: https://www.rutoken.ru/support/download/rutoken-plugin/
2) Скачать IFCP-плагин с сайта ГосУслуг в формате «deb» — файл IFCPlugin-x86_64.deb; https://ds-plugin.gosuslugi.ru/plugin/upload/Index.spr
3) Установить плагин:
$ sudo dpkg -i IFCPlugin-x86_64.deb
3) Для правильной работы плагина, следует прописать символические ссылки:
Для браузера Chromium:
sudo ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts
Для браузера Mozilla Firefox:
sudo ln -s /opt/cprocsp/lib/amd64/libcppkcs11.so.4.0.4 /usr/lib/mozilla/plugins/lib/libcppkcs11.so
Примечание: libcppkcs11.so.4.0.Х может отличаться, в зависимости от версии КриптоПро CSP.
4) Добавить в конфигурационный файл IFCplugin /etc/ifc.cfg :
| Wiki разметка |
|---|
{ name = "Актив руТокен ЭЦП";
alias = "ruTokenECP";
type = "pkcs11";
alg = "gost2001";
lib_win = "rtpkcs11ecp.dll";
lib_linux = "librtpkcs11ecp.so";
lib_mac = "librtpkcs11ecp.dylib";
},
{ name = "CryptoPro CSP";
alias = "cryptoprocsp";
type = "pkcs11";
alg = "gost2001";
lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
} |
Примечание:
Для старых версий плагина (< 3.0.0) необходимо добавить в файл /etc/ifc.cfg после раздела с Jacarta (для 64-битных систем):
{ name = "CryptoPro CSP";
alias = "cryptoprocsp";
type = "pkcs11";
lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
},1. Установите пакет cryptopro-preinstall
# apt-get install cryptopro-preinstall
2. Скачать rpm пакет crypto pro с сайта (я писал инструкцию по 5 версии)
в распакованной папке:
# apt-get install cprocsp-curl* lsb-cprocsp-base* lsb-cprocsp-capilite* lsb-cprocsp-kc1* lsb-cprocsp-rdr-64* cprocsp-cptools-gtk*
для sberbank-ast.ru и zakupki.gov.ru необходима поддержка токенов (не знаю зачем, но без него не появлялся выбор сертификата при входе):
# apt-get install cprocsp-rdr-gui-gtk* cprocsp-rdr-rutoken* cprocsp-rdr-pcsc* lsb-cprocsp-pkcs11* pcsc-lite-rutokens pcsc-lite-ccid
3. $ export PATH="$(/bin/ls -d /opt/cprocsp/{s,}bin/*|tr '\n' ':')$PATH" (без введения этой команды команды типа "csptest" или "certmgr " (и т.д.) водить соответственно /opt/cprocsp/bin/amd64/csptest /opt/cprocsp/bin/amd64/certmgr )
4. Скачать сертификаты http://zakupki.gov.ru/epz/main/public/document/view.h.., я их скачал в папку /home/user/video/, переименовал в 1.cer и 2.cer 3.cer.
5. копирование контейнеров с флешки (или 5.1 или 5.2)
5.1. $ cptools (от обычного пользователя)
нажимаем копировать нужный контейнер с флешки, затем нужно открыть окно консоли и продолжать копирование там, следую инструкции.
5.2. просто копируем папки с флешки по адресу /var/opt/cprocsp/keys/имя_пользователя
7. csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251 здесь вы увидите список контейнеров нужен приблизительно "\\.\HDIMAGE\r_copy"
8. certmgr -inst -file "/home/user/video/r.cer" -store uMy -cont '\\.\HDIMAGE\r_copy'
где
- /home/user/video/r.cer путь и имя сертификата пользователя ЕИС.
-\\.\HDIMAGE\r_copy п.7.
9. просмотр установленных сертификатов "certmgr -list"
10. устанавливаем сертификаты удостоверяющих центров.
установка
# certmgr -inst -store uRoot -file /home/user/video/1.cer
# certmgr -inst -store uRoot -file /home/user/video/2.cer
# certmgr -inst -store uRoot -file /home/user/video/3.cer
(в https://www.altlinux.org/КриптоПро
установка от обычного пользователя, я смог установить только от su от чего это зависит я не знаю)
11. Скачиваем https://github.com/deemru/chromium-gost
# apt-get install chromium-gost
на 06.08.2018 только этот браузер зашел на сайт закупок.
на sberbank-ast.ru зашел с браузеров Google Chrome, firefox gost, chromium, даже с Epiphany, на возможно зайти с firefox 59 версии и старше
12. скачиваем http://www.cryptopro.ru/products/cades/plugin/get_2_0 плагин браузер.
настраиваем по инструкции https://www.altlinux.org/КриптоПро для своего браузера.
по ссылке https://www.cryptopro.ru/sites/default/files/products.. проверяем верно ли установился плагин. должна появиться подпись.