| Оглавление |
|---|
| Предупреждение |
|---|
Настоящая инструкция применима только при использовании сертифицированных версий СКЗИ КриптоПро. |
...
| Оглавление |
|---|
Про ifcp плагин
| Информация | ||
|---|---|---|
| ||
|
Введение
IFCP - расширение (плагин) для web-браузеров, разработанное Ростелекомом, и предназначенное для работы с порталом государственных услуг (далее - Госуслуги). Для использования IFCP в хранилище uMy
...
должны быть добавлены личные сертификаты
...
. См. инструкцию: Работа с КриптоПро CSP
...
. Для входа в Госуслуги с использованием электронной подписи следует использовать КриптоПро версии 5.0.13000-7 в сочетании с Яндекс.Браузер.
| Предупреждение |
|---|
| Для использования плагина IFCP должно быть разрешено исполнение кода в стеке, подробнее см. Нарушение работы некоторых программ после установки оперативного обновления Astra Linux Special Edition 1.7.6. |
Установка плагина для работы с порталом государственных услуг
Для аутентификации через
...
ЕСИА https://esia.gosuslugi.ru/ следует:
...
- При работе с Яндекс.Браузер включить поддержку протоколов TLS по ГОСТ. См. https://yandex.ru/support2/browser-corporate/ru/tls/tls.
- Загрузить IFCP с сайта Госуслуг в формате «deb» — файл IFCPlugin-x86_64.deb
...
- Установить загруженный плагин:
Command sudo dpkg -i IFCPlugin-x86_64.deb
...
- В браузерах добавить расширение для Госуслуг
...
...
- Для правильной работы плагина
...
- создать символические ссылки:
- Для
...
- браузеров Яндекс.Браузер и Chromium:
Command sudo ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts
- браузеров Яндекс.Браузер и Chromium:
...
| Command |
|---|
| sudo ln -s /opt/cprocsp/lib/amd64/libcppkcs11.so.4.0.4 /usr/lib/mozilla/plugins/lib/libcppkcs11.so |
Примечание: libcppkcs11.so.4.0.Х может отличаться, в зависимости от версии КриптоПро CSP.
Настройка конфигурационных файлов
5) Добавить в конфигурационный файл IFCplugin /etc/ifc.cfg :
...
Для ifc pluginа версии 3.0.4.0 - 3.0.7.0 конфигурационный файл следует заменить на:
| Блок кода |
|---|
log = {
level = "DEBUG";
}
config = {
cert_from_registry = "false";
set_user_pin = "false";
}
params =
(
{
name = "CPPKCS11_2001";
alias = "CPPKCS11_2001";
type = "pkcs11";
alg = "gost2001";
model = "CPPKCS 3";
lib_linux = "libcppkcs11.so";
},
{
name = "CPPKCS11_2012_256";
alias = "CPPKCS11_2012_256";
type = "pkcs11";
alg = "gost2012_256";
model = "CPPKCS 3";
lib_linux = "libcppkcs11.so";
},
{
name = "CPPKCS11_2012_512";
alias = "CPPKCS11_2012_512";
type = "pkcs11";
alg = "gost2012_512";
model = "CPPKCS 3";
lib_linux = "libcppkcs11.so";
}
); |
...
Можно воспользоваться готовым конфигурационным файлом от КриптоПро для ifcp plugin:
Для настройки конфигурации IFCP необходимо использовать готовый конфигурационный файл, предоставляемый КриптоПро по ссылке: https://www.cryptopro.ru/sites/default/files/public/faq/ifcx64.cfg
...
. Загрузить и установить этот файл можно командой:
| Command |
|---|
sudo wget https://www.cryptopro.ru/sites/default/files/public/faq/ifcx64.cfg |
...
-O /etc/ifc.cfg |
...
Вход в Госуслуги
Для входа следует перейти по адресу: https://
...
6) В КриптоПро CSP для корректной работы pkcs11, настройку слотов следует сделать явной:
Для этого в конфигурационный файл /etc/opt/cprocsp/config64.ini следует в разделе PKCS11 добавить:
| Блок кода |
|---|
# [PKCS11\slot0]
# ProvGOST = "Crypto-Pro GOST R 34.10-2001 KC1 CSP"
# ProvRSA = "Microsoft Strong Cryptographic Provider"
# reader = hdimage
[PKCS11\slot17]
ProvGOST = "Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider"
Firefox = 1
Chromium = 1
Reader = "" |
Просмотр журналов
7) Для проверки работы плагина, в терминале в режиме live можно просмотреть журналы:
| Command |
|---|
| sudo tail -f /var/log/ifc/engine_logs/engine.log |
...
esia.gosuslugi.ru/ и выбрать
...
вход с помощью электронной подписи:
...
...
Подключив токен,
...
нажать кнопку "Готово", после чего система предложит выбрать
...
электронную подпись:
...
| Предупреждение |
|---|
Убедитесь, что Ваш личный сертификат добавлен (с привязкой к закрытому ключу) в хранилище пользователя uMy. Инструкция: Работа с КриптоПро CSP |
Просмотр журналов
Для проверки работы плагина, в терминале в режиме реального времени можно просмотреть журналы:
| Command |
|---|
| sudo tail -f /var/log/ifc/engine_logs/engine.log |
Возможные ошибки
...
Отсутствие сертификата в контейнере ключей
В случае если после ввода pin-кода, браузер возвращает Вас в окно выбора сертификата, следует проверить, что личный сертификат пользователя находится внутри контейнера ключей. Критично для версии КриптоПро 4r4.
Для записи сертификата в контейнер можно воспользоваться командой:
| Блок кода |
|---|
/opt/cprocsp/bin/amd64/csptest -keys -cont 'Контейнер_ключей' -keytype exchange -impcert /tmp/Ваш_Сертификат.cer |
...
Не работает плагин у доменных пользователей
Проверьте права доступа на каталоги с логами (ifc, engine_logs) и на сам файл логов /var/log/ifc/engine_logs/engine.log. У всех пользователей должны быть права на запись.
Подтверждение подлинности ЭП на сайте
...
Госуслуг
Данный сервис предназначен для подтверждения подлинности ЭП сертификатов в форматах X.509 и BASE64.
...
Можно подтвердить подлинность ЭП сертификата, изданного удостоверяющим центром, входящим в список аккредитованных удостоверяющих центров Министерства связи и массовых коммуникаций.
...
Ссылка: https://www.gosuslugi.ru/pgu/eds
Инструкция от КриптоПро
https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/275