Какие Рутокены работают с Astra Linux

...

Рутокен  S– модель для надежного хранения контейнеров ГОСТ-криптопровайдеров: КриптоПро, VipNet и других. Сертифицированы во ФСТЭК.

...

Широко используется в системе ЕГАИС с 2016 года. В активном пользовании более полумиллиона устройств с квалифицированной электронной подписью.

Более подробная информация: https://dev.rutoken.ru/pages/viewpage.action?pageId=66814078

Тестирование электронной подписи в Astra Linux:
Кроме двухфакторной аутентификации, можно проверять также подписание документов.

...

1) КриптоАРМ eSign или КриптоАРМ ГОСТ 
2) Утилиту csptestf из состава КриптоПро CSP. Подробно в разделе на Подпись средствами «КриптоПро CSP»

Для Рутокен ЭЦП 2.0 подписание можно проверить несколькими способами:

1) КриптоАРМ eSign или КриптоАРМ ГОСТ 
2) Тестовый центр регистрации Рутокен + Рутокен Плагин 
3) OpenSSL + Рутокен engine 
4) Утилиту csptestf из состава КриптоПро CSP. Подробно в разделе на Подпись средствами «КриптоПро CSP»

Рутокен для Байкала и Эльбруса

Рутокен Lite и Рутокен ЭЦП одинаково хорошо работают на всех платформах, где есть USB-интерфейс.
Сейчас для Эльбруса и Байкала Рутокены подписывают через программы:
1) Тестовый центр регистрации Рутокен + Рутокен Плагин 
2) Утилита из КриптоПро CSP 5.0

Установка

...

Для выполнения действий данной инструкции необходимо установить следующее программное обеспечение:

• библиотека libccid, librtpkcs11ecp.so;
• пакеты libpcsclite1 и pcscd;
• opensc;

• pcsc-tools
  

  Информация

  title	pcsc-tools

  устанавливается из пакетов по ссылкам ниже

  libpcsc-perl pcsc-tools_1.4.27-1_amd64

  .

  deb

  
  
  

Для установки в терминале введите команду:$

sudo apt

...

 install libccid pcscd libpcsclite1 pcsc-tools opensc

Для установки библиотеки librtpkcs11ecp.so следует перейти по указанной ссылке и скачать необходимую версию:
https://www.rutoken.ru/support/download/pkcs/

dpkg -i

sudo apt install ./librtpkcs11ecp_1.8.2.0-1_amd64.deb

Проверка работы Рутокен в системе

...

Для проверки работы Рутокена:
Подключите устройство к компьютеру.

Способ №1

Введите команду: $

pcsc_scan

Способ №2

Введите команду: #pkcs11

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T

Способ №3

графическая утилита XCA:

XCA: графический интерфейс для работы с токенами

Изменение PIN-кода Рутокен

...

Для изменения pin-кода Рутокена введите команду:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --login --pin ваш_старый_пин --change-pin --new-pin ваш_новый_пин

После чего система оповестит Вас о том, что PIN-код успешно изменен:
Using slot 0 with a present token (0x0)
PIN successfully changed 

Проверка наличия сертификатов и ключевых пар на Рутокен ЭЦП

...

Проверка

Чтобы проверить наличие сертификатов и ключевых пар на Рутокене введите команду:#pkcs11

 pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O -l

В результате в окне терминала отобразится информация обо всех сертификатах и ключевых парах, хранящихся на Рутокене:

...

Если после строчки выводится информация о ключах и сертификатах, то необходимо считать сертификат:

Извлечение сертификата из токена

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -r -y cert  --id {id}

...

 > название_вашего_сертификата.crt

вместо {id} нужно подставить ID который вы увидите в выводе команды

...

нет ничего, значит устройство пустое. Следует обратиться к администратору или создать ключи и сертификат самостоятельно.

Создание самоподписанного сертификата

Для генерации ключевой пары в терминале следует ввести команду:

...

Для создания самоподписанного сертификата в терминале следует ввести команду:$

...

engine "pkcs11" set.
Enter PKCS#11 token PIN for Rutoken ECP <no label>:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Moscow
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Rusbitech   
Organizational Unit Name (eg, section) []: Astra
Common Name (e.g. server FQDN or YOUR name) []:Makhmadiev Shuhrat
Email Address []:shuhrat@astralinux.ru

OpenSSL> exit

Создав свой личный сертификат, его следует загрузить на рутокен:

Загрузка сертификата на токен

...

Загрузка сертификата на токен

Создав свой личный сертификат, его следует загрузить на рутокен:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w название_вашего_сертификата.crt -a "Имя_сертификата_в_токене" --id 45

Проверка ключей и сертификатов в Рутокене:

Локальная аутентификация в Astra Linux по Рутокену

Установка дополнительный пакетов

Пуск - Настройки - Менеджер пакетов

...

Либо воспользовавшись терминалом FLY:$

sudo apt

...

 install opensc libengine-pkcs11-openssl libp11-2 libpam-pkcs11 libpam-p11 pcscd libccid

Регистрация сертификата в системе

Конвертируем сертификат в текстовый формат

OpenSSL> x509 -in название_вашего_сертификата.crt -out cert.pem -inform DER -outform PEM

...

Теперь нам необходимо прочитать с токена сертификат с нужным ID и записать его в файл доверенных сертификатов: 
Добавляем сертификат в список доверенных сертификатов:

mkdir ~/.eid
chmod 0755 ~/.eid

...

cat Ваш_сертификат_из_токена.pem >> ~/.eid/authorized_certificates
chmod 0644 ~/.eid/authorized_certificates

Для привязки токена к определенному пользователю необходимо указать его домашнюю директорию, например таким образом:

mkdir /home/user/.eid
chmod 0755 /home/user/.eid

...

cat Ваш_сертификат_из_токена.pem >> ~/.eid/authorized_certificates
chmod 0644 /home/user/.eid/authorized_certificates

...

Настройка аутентификации

Пуск - утилиты - Терминал Fly

...

записываем в файл следующую информацию:

сохраняем файл, нажимаем нажав Alt + X, а затем Y
после этого выполняем

...

, после чего выполнить команду:

sudo pam-auth-update

в появившемся окне

...

отметить пункт Pam_p11 и

...

нажать OK 

Проверка

Пуск - утилиты - Терминал Fly

...

Вход выполняется с подключенным токеном к компьютеру. При графическом входе в поле Login вводится имя пользователя, в поле Password вводится <PIN пользователя>. При консольном входе все аналогично, только в момент ввода пароля будет сообщено, что требуется <PIN пользователя>.

Блокировка компьютера при извлечении токена

В состав пакета libpam-pkcs11 входит утилита pkcs11_eventmgr, которая позволяет выполнять различные действия при возникновении событий PKCS#11.

...

После этого добавьте приложение pkcs11_eventmgr в автозагрузку и перезагрузитесь.

Очистка всех данных с Рутокена

Для очистки всех данных воспользуйтесь командой:

pkcs15-init --erase-card

...

Инициализация утилитой pkcs11-tool:

...

...

...

Также для очистки всех данных воспользуйтесь командами:

...

...

...

...

...

...

...

ПО для Рутокен Web

Утилита администрирования Рутокен (rtAdmin)

...

Утилита rtAdmin предназначена для автоматизации процедур форматирования и администрирования устройств Рутокен: смены метки токена, PIN-кодов и их параметров, управления разделами Flash-памяти.

При работе с утилитой рекомендуется не подключать более одного устройства.

Поддерживаемые модели

• Рутокен Lite
• Рутокен Lite SC
• Рутокен ЭЦП
• Рутокен ЭЦП 2.0
• Рутокен ЭЦП SC
• Рутокен ЭЦП PKI
• Рутокен ЭЦП Flash
• Рутокен ЭЦП 2.0 Flash/touch
• Рутокен PINPad

Ссылки на загрузку:

rtadmin.zip

https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615

Примеры использования

1. Отформатировать один токен с параметрами по умолчанию (для поточного выполнения убрать флаг -q)

   ./rtadmin -f -q

   
   

2. Отформатировать токен, задав имя токена RutokenLabel, PIN-код пользователя 123456789 и PIN-код администратора 987654321.

   ./rtadmin -f -z /usr/lib/librtpkcs11ecp.so -L RutokenAstra -u 123456789 -a 98765432 1 -q

   
   

Параметры

Утилита запускается из командной строки и имеет следующие параметры:

ПО для Рутокен Web Плагин

...

Рутокен Плагин (https://www.rutoken.ru/products/all/rutoken-plugin/) — компонент для любых браузеров и операционных систем для прямой работы с криптографией на устройстве. 

Не требует административных прав при установкеПлагин Рутокен Web позволяет браузеру опознавать устройство и работать с ним. С помощью инструмента администрирования можно просмотреть содержимое USB-токена Рутокен Web,
 сменить PIN-, и PUK- коды, а также код восстановления. Для того чтобы установить плагин Рутокен Web, необходимо загрузить соответствующий установочный файл, 
запустить его и следовать указаниям на экране. После завершения процесса установки необходимо подключить USB-токен в свободный USB-порт компьютера.

Дополнительные источники информации

...

При возникновении вопроса, на который вам не удалось найти ответ в этой инструкции, рекомендуем
обратиться к следующим дополнительным источникам информации:

...

https://dev.rutoken.ru
Портал разработчиков содержит техническую информацию об устройствах Рутокен и руководства по
их интеграции.База знаний

https://kb.rutoken.ru/display/kb
База знаний содержит инструкции по решению большинства ошибок, полезные статьи и ответы на
часто задаваемые вопросы. Здесь вы можете найти нужную информацию по ключевым словам.

https://forum.rutoken.ru
Форум содержит ответы на вопросы пользователей. Здесь вы можете задать свой вопрос
разработчикам и сотрудникам службы технической поддержки Рутокен.

Рутокен и Госуслуги без использования КриптоПро:

https://dev.rutoken.ru/pages/viewpage.action?pageId=78479384

Служба технической поддержки Рутокен:
https://www.rutoken.ru/support/feedback
сервис диагностики:
https://help.rutoken.ru
e-mail:
hotline@rutoken.ru
тел.: +7 495 925-77-90

...