Справочный центр

Дерево страниц

Сравнение версий

Старая версия 170

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

https://www.cryptopro.ru/products/csp

Предупреждение
  • При работе с Astra Linux в качестве СКЗИ разрешается использовать только сертифицированные версии КриптоПро CSP.
На момент последнего обновления настоящей статьи это:
  • КриптоПро CSP версии 5.0 R2 исполнение 1-Base или 2-Base;
  • КриптоПро CSP версии 5.0 исполнение 1-Base или 2-Base;;
  • КриптоПро CSP версии 4.0 R4 исполнение 1-Base или 2-Base;;
СКЗИ КриптоПро CSP в исполнении 2-Base должно использоваться с аппаратно-программным модулем доверенной загрузки (АПМДЗ).
  •  
  • При эксплуатации СКЗИ необходимо соблюдать требования и рекомендации эксплуатационной документации на СКЗИ, в
частности
  • том числе требования по защите от несанкционированного доступа и по криптографической защите, а также требования по поддерживаемым СКЗИ аппаратно-программным платформам
. В частности, при использовании СЭП со встроенным СКЗИ необходимо проведение проверки программного обеспечения BIOS ЭВМ, на которых предполагается функционирование СКЗИ и СЭП, на соответствие методическим документам ФСБ России в области исследований программного обеспечения BIOS
  • Контроль целостности СКЗИ и СЭП должен выполняться с использованием механизма замкнутой программной среды ОС или с использованием стандартных средств контроля целостности КриптоПро CSP.

Установка КриптоПро CSP

...

Архив с программным обеспечением КриптоПро CSP доступен для загрузки на официальном сайте www.cryptopro.ru. Для загрузки требуется регистрация на сайте.

...

Command
export PATH="$(/bin/ls -d /opt/cprocsp/{s,}bin/*|tr '\n' ':')$PATH"

Подробнее см.  Работа с переменными окружения в Astra Linux Присвоение значений переменным окружения для пользовательских сессий.

Установка дополнительных пакетов для поддержки токенов и смарт-карт

...

Ключ для обеспечения работы в режиме ЗПС Astra Linux SE доступен по ссылке: https://cryptopro.ru/sites/default/files/private/csp/cryptopro_pub_key.gpg. Для загрузки ключа требуется регистрация.

Для регистрации установки загруженного ключа:

  • установить пакет astra-digsig-oldkeys:

    Command
    sudo apt install astra-digsig-oldkeys


  • создать каталог /etc/digsig/keys/legacy/cryptopro:

    Command
    sudo mkdir -p /etc/digsig/keys/legacy/cryptopro

    Далее предполагается, что ключзагружен и помещен в созданный каталог.


  • выполнить команду:

    Command
    sudo update-initramfs -uk all


  • перезагрузить компьютер.

...

Блок кода
Nick name: HDIMAGE
Connect name: 
Reader name: HDD key storage

Nick name: CLOUD
Connect name: 
Reader name: Cloud Token

Nick name: Aktiv Rutoken lite 00 00
Connect name: 
Reader name: Aktiv Rutoken lite 00 00

Чтобы узнать модель подключенного токена модели подключенных токенов ввести команду:

Command
/opt/cprocsp/bin/amd64/csptest -card -enum -v -v

После чего система выдаст информацию о подключенном устройствеподключенных устройствах, например:

Блок кода
Aktiv Rutoken lite 00 00
  Card present, ATR=3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2 
  Unknown applet
Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,310 sec
[ErrorCode: 0x00000000]

...

Примечание

Особенности применения PIN-кодов в контейнерах:

  • если аутентификацию осуществляет само устройство (как, например, токен), то PIN при создании контейнера не создается, а предъявляется, так как он - свойство устройства. Как следствие: у всех контейнеров на токене одинаковый PIN;
  • если устройство аутентификацию не осуществляет (как, например, локальный носитель HDIMAGE), то при создании контейнера создается и PIN-код. Следствие: у всех контейнеров , PIN-код на HDIAMGE может быть разным.

...

Установка определенного сертификата с из определенного контейнера в uMy:

...

Установка сертификата удостоверяющего центра ГУЦ в mRoot (подробнее см. Корневые и отозванные сертификаты):

Command
wget https://structurezgt.mil.ru/download/doc/morfupload/militarysite228/files/ca2020document_file/GUC_2022.cer -O - | sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -stdin

Установка списка отозванных сертификатов (CRL) (список загружается с того же сайта и устанавливается в mca):

Command
wget httpshttp://structurereestr-pki.mil.ru/download/doc/morf/military/files/crl_20cdp/guc2022.crl -O - | sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -stdin -crl 

...

Информация
titleПримечание

В опции -pattern >>>  'rutoken' может быть другим в зависимости от подключенного токена.

В случае, если требуется установка сертификата УЦ и CRL на рабочую станцию, не имеющую доступа к сети, следует:

  • сохранить сертификаты в файлах;
  • перенести файлы на рабочую станцию;
  • в команде установки вместо параметра -stdin применить параметр -file с указанием имени файла.

Например:

  1. Сохранить файлы:

    Command
    wget https://structurezgt.mil.ru/downloadupload/docsite228/morf/military/files/ca2020document_file/GUC_2022.cer
    wget httpshttp://structure.milreestr-pki.ru/download/doc/morf/military/files/crl_20cdp/guc2022.crl


  2. Перенести файлы на рабочую станцию;

  3. Установить файлы на рабочей станции:

    Command

    sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -file ca2020GUC_2022.cer
    sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file crl_20guc2022.crl -crl crl




Информация
titleПримечание
  1. Имена хранилищ указаны в формате, используемом программой certmgr. У программы cryptcp похожий формат: -mroot и -uAddressBook.
  2. Из под учетной записи пользователя установка выполняется в хранилище uca, из под учетной записи администратора установка выполняется в хранилище mca:

  3. В опции -pattern можно указать пустое значение < ' ' > чтобы установить все сертификаты в uMy. Пример: 

    Command
    /opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ''


  4. В случае, если личный сертификат устанавливается из файла следует использовать опцию -file :

    Command
    certmgr -inst -file cert.cer -store uMy


  5. Хранилища пользователей хранятся в /var/opt/cprocsp/users


...

Перечень аккредитованных удостоверяющих центров

https://e-trust.gosuslugi.ru/CA/Аккредитованные удостоверяющие центры


Диагностический архив для обращения в тех. поддержку

...