...
https://www.cryptopro.ru/products/csp
| Предупреждение |
|---|
- При работе с Astra Linux в качестве СКЗИ разрешается использовать только сертифицированные версии КриптоПро CSP.
На момент последнего обновления настоящей статьи сертифицированы:- КриптоПро CSP версии 5.0 R2 исполнение 1-Base или 2-Base;
- КриптоПро CSP версии 5.0 исполнение 1-Base или 2-Base;;
- КриптоПро CSP версии 4.0 R4 исполнение 1-Base или 2-Base;;
СКЗИ КриптоПро CSP в исполнении 2-Base должно использоваться с аппаратно-программным модулем доверенной загрузки (АПМДЗ).-
- При эксплуатации СКЗИ необходимо соблюдать требования и рекомендации эксплуатационной документации на СКЗИ, в том числе требования по защите от несанкционированного доступа и по криптографической защите, а также требования по поддерживаемым СКЗИ аппаратно-программным платформам
. В частности, при использовании СЭП со встроенным СКЗИ необходимо проведение проверки программного обеспечения BIOS ЭВМ, на которых предполагается функционирование СКЗИ и СЭП, на соответствие методическим документам ФСБ России в области исследований программного обеспечения BIOS- .
- Контроль целостности СКЗИ и СЭП должен выполняться с использованием механизма замкнутой программной среды ОС или с использованием стандартных средств контроля целостности КриптоПро CSP.
|
Установка КриптоПро CSP
...
Архив с программным обеспечением КриптоПро CSP доступен для загрузки на официальном сайте www.cryptopro.ru. Для загрузки требуется регистрация на сайте.
...
Установка определенного сертификата с из определенного контейнера в uMy:
...
Установка сертификата удостоверяющего центра ГУЦ в mRoot (подробнее см. Корневые и отозванные сертификаты):
| Command |
|---|
| wget https://structurezgt.mil.ru/downloadupload/docsite228/morf/military/files/ca2020document_file/GUC_2022.cer -O - | sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -stdin |
Установка списка отозванных сертификатов (CRL) (список загружается с того же сайта и устанавливается в mca):
...
| Информация |
|---|
|
В опции -pattern >>> 'rutoken' может быть другим в зависимости от подключенного токена. В случае, если требуется установка сертификата УЦ и CRL на рабочую станцию, не имеющую доступа к сети, следует: - сохранить сертификаты в файлах;
- перенести файлы на рабочую станцию;
- в команде установки вместо параметра -stdin применить параметр -file с указанием имени файла.
Например:
Сохранить файлы:
- Перенести файлы на рабочую станцию;
Установить файлы на рабочей станции: | Command |
|---|
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -file ca2020GUC_2022.cer
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file crl_20guc2022.crl -crl crl |
|
| Информация |
|---|
|
- Имена хранилищ указаны в формате, используемом программой certmgr. У программы cryptcp похожий формат: -mroot и -uAddressBook.
- Из под учетной записи пользователя установка выполняется в хранилище uca, из под учетной записи администратора установка выполняется в хранилище mca:
В опции -pattern можно указать пустое значение < ' ' > чтобы установить все сертификаты в uMy. Пример: | Command |
|---|
| /opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern '' |
В случае, если личный сертификат устанавливается из файла следует использовать опцию -file : | Command |
|---|
| certmgr -inst -file cert.cer -store uMy |
Хранилища пользователей хранятся в /var/opt/cprocsp/users
|
...