ЕСИА/Краткая памятка по настройке ЭЦП: различия между версиями

Материал из ALT Linux Wiki
(Новая страница: «Шаг 0: устанавливаем пакет, который установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП) sudo apt-get install cryptopro-preinstall Шаг 1: переходим в папку со скачанным КриптоПРО cd ~/CSP-5.0.11455_linux-amd64_rpm устанавливаем необходим...»)
 
Нет описания правки
 
(не показаны 4 промежуточные версии этого же участника)
Строка 1: Строка 1:
{{Attention| # означает выполнение от суперпользователя. Предварительно переключитесь в контекст суперпользователя командой
su -
или используйте sudo (по умолчанию не настроено)
}}
Шаг 0:
Шаг 0:
устанавливаем пакет, который установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП)
устанавливаем пакет, который установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП)
  sudo apt-get install cryptopro-preinstall
  # apt-get install cryptopro-preinstall


Шаг 1:
Шаг 1:
переходим в папку со скачанным КриптоПРО
переходим в папку со скачанным КриптоПРО
  cd ~/CSP-5.0.11455_linux-amd64_rpm
  # cd ~/CSP-5.0.11455_linux-amd64_rpm
устанавливаем необходимые модули (выбираем все, кроме КС2)
устанавливаем необходимые модули (выбираем все, кроме КС2)
  sudo ./install_gui.sh
  # ./install_gui.sh
вводим лицензионный ключ
Вводим лицензионный ключ


Шаг 2:
Шаг 2:
качаем КриптоПро ЭЦП Browser plug-in https://cryptopro.ru/products/cades/plugin/get_2_0
качаем КриптоПро ЭЦП Browser plug-in https://cryptopro.ru/products/cades/plugin/get_2_0
  cd /cades-linux-amd64
  # cd /cades-linux-amd64
устанавливаем все 3 пакета из архива под нашу систему
устанавливаем все 3 пакета из архива под нашу систему
  sudo apt-get install cprocsp-pki-{cades,plugin,phpcades}-*.rpm
  # apt-get install cprocsp-pki-{cades,plugin,phpcades}-*.rpm


Шаг 3: ХромиумГост не видит плагин Госуслуг. FIX
Шаг 3: ХромиумГост не видит плагин Госуслуг. FIX
размещаем ссылку для корректной работы связи расширения браузера с библиотекой установленного плагина (для Chromium,Yandex)
Размещаем ссылку для корректной работы связи расширения браузера с библиотекой установленного плагина (для Chromium,Yandex)
  sudo ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/
  # ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/


Шаг 4:
Шаг 4:
Строка 27: Строка 32:
Шаг 5:  
Шаг 5:  
скачаем и устанавливаем плагин для Госуслуг https://ds-plugin.gosuslugi.ru/plugin/upload/
скачаем и устанавливаем плагин для Госуслуг https://ds-plugin.gosuslugi.ru/plugin/upload/
  sudo apt-get install IFCPlugin-x86_64.rpm
  # apt-get install IFCPlugin-x86_64.rpm


Шаг 6:
Шаг 6:
Строка 37: Строка 42:
Загрузить правильный файл конфигурации для IFCPlugin в Загрузки текущего пользователя
Загрузить правильный файл конфигурации для IFCPlugin в Загрузки текущего пользователя
https://www.cryptopro.ru/sites/default/files/public/faq/ifcx64.cfg
https://www.cryptopro.ru/sites/default/files/public/faq/ifcx64.cfg
  cd ~/Загрузки/
  # cd ~/Загрузки/
и заменим им стоковый
и заменим им стоковый
  sudo cp /etc/ifc.cfg /etc/ifc.cfg.bak
  # cp /etc/ifc.cfg /etc/ifc.cfg.bak
  sudo rm /etc/ifc.cfg
  # rm /etc/ifc.cfg
  sudo cp ~/Загрузки/ifcx.cfg /etc/ifc.cfg
  # cp ~/Загрузки/ifcx.cfg /etc/ifc.cfg
делаем владельцем файла пользователя root
делаем владельцем файла пользователя root
  sudo chown root:root /etc/ifc.cfg
  # chown root:root /etc/ifc.cfg


Шаг 8: КриптоПРО не запускается у другого пользователя благодаря включенному усилению защиты linux от некоторых уязвимостей (только для унаследованных версий КриптоПро, актуальным не требуется)
Шаг 8: КриптоПРО не запускается у другого пользователя благодаря включенному усилению защиты linux от некоторых уязвимостей {{Note|Начиная с КриптоПро CSP 5.0.12417 Osiris (КриптоПро CSP 5.0 R3) этот недостаток устранен разработчиком}}


проверяем включено ли усиление защиты
Проверяем включено ли усиление защиты
  sudo sysctl fs.protected_regular
  # sysctl fs.protected_regular
защита включена, если такая команда возвращает не ноль:
Защита включена, если команда возвращает не ноль:
  fs.protected_regular = 1
  fs.protected_regular = 1
Для корректной работы КриптоПРО у нескольких пользователей выставляем права 1777 (владелец root)
Для корректной работы КриптоПРО у нескольких пользователей выставляем права 1777 (владелец root)
  sudo chown -R root /var/opt/cprocsp/tmp
  # chown -R root /var/opt/cprocsp/tmp
  sudo chmod -R 1777 /var/opt/cprocsp/tmp
  # chmod -R 1777 /var/opt/cprocsp/tmp
{{Note|После установки новых сертификатов придётся выполнить повторно, либо выполять по cron}}
либо
либо


Добавить в ACL отдельную запись для суперпользователя root:
Добавить в ACL отдельную запись для суперпользователя root:
  sudo setfacl -R -m u:root:rwx /var/opt/cprocsp/tmp
  # setfacl -R -m u:root:rwx /var/opt/cprocsp/tmp


Шаг 9:  
Шаг 9:  
Строка 70: Строка 76:


добавляем сайты в список надежных-узлов для всех пользователей
добавляем сайты в список надежных-узлов для всех пользователей
  sudo /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\trustedsites" -add multistring "TrustedSites" "https://*.sberbank-ast.ru" "https://*.zakupki.gov.ru" "https://*.gosuslugi.ru" "https://*.rts-tender.ru"
  # /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\trustedsites" -add multistring "TrustedSites" "https://*.sberbank-ast.ru" "https://*.zakupki.gov.ru" "https://*.gosuslugi.ru" "https://*.rts-tender.ru"


Шаг 10:
Шаг 10:
при установке СКЗИ многие порталы РФ переходят на подключение по "ГОСТ TLS" и выдают сообщение "Подключение не защищено", если в хранилище доверенных сертификатов отсутствует сертификат Минцифры
При установке СКЗИ многие порталы РФ переходят на подключение по "ГОСТ TLS" и выдают сообщение "Подключение не защищено", если в хранилище доверенных сертификатов отсутствует сертификат Минцифры
  sudo cp russian_trusted_root_ca_pem.crt /usr/share/pki/ca-trust-source/anchors
  # cp russian_trusted_root_ca_pem.crt /usr/share/pki/ca-trust-source/anchors
  sudo cp russian_trusted_sub_ca_pem.crt /usr/share/pki/ca-trust-source/anchors
  # cp russian_trusted_sub_ca_pem.crt /usr/share/pki/ca-trust-source/anchors
обновляем общесистемное хранилище сертификатов
обновляем общесистемное хранилище сертификатов
  sudo update-ca-trust
  # update-ca-trust
устанавливаем сертификат Минцифры в доверенные корневые центры сертификации
устанавливаем сертификат Минцифры в доверенные корневые центры сертификации


Шаг 11:
Шаг 11:
для возможности обращения в техподдержку качаем и устанавливаем плагин фиксации действий пользователя
Для возможности обращения в техподдержку качаем и устанавливаем плагин фиксации действий пользователя
  https://zakupki.gov.ru/epz/main/public/document/view.html?searchString=&sectionId=1767&strictEqual=false
  https://zakupki.gov.ru/epz/main/public/document/view.html?searchString=&sectionId=1767&strictEqual=false


Шаг 12:  
Шаг 12:  
для успешной работы данного плагина в Alt необходимо внести правки
Для успешной работы данного плагина в Alt необходимо внести правки
  sed -i 's/\/home\/\$userName/\$pathHomeUser/' /opt/RecordSupport/scripts/autoSetStartApplication.sh
  sed -i 's/\/home\/\$userName/\$pathHomeUser/' /opt/RecordSupport/scripts/autoSetStartApplication.sh
  sed -i 's/.profile/.xprofile/' /opt/RecordSupport/scripts/autoSetStartApplication.sh
  sed -i 's/.profile/.xprofile/' /opt/RecordSupport/scripts/autoSetStartApplication.sh

Текущая версия от 10:15, 10 мая 2024

Внимание! # означает выполнение от суперпользователя. Предварительно переключитесь в контекст суперпользователя командой 
su -

или используйте sudo (по умолчанию не настроено)


Шаг 0: устанавливаем пакет, который установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП) 

# apt-get install cryptopro-preinstall

Шаг 1: переходим в папку со скачанным КриптоПРО 

# cd ~/CSP-5.0.11455_linux-amd64_rpm

устанавливаем необходимые модули (выбираем все, кроме КС2) 

# ./install_gui.sh

Вводим лицензионный ключ

Шаг 2: качаем КриптоПро ЭЦП Browser plug-in https://cryptopro.ru/products/cades/plugin/get_2_0 

# cd /cades-linux-amd64

устанавливаем все 3 пакета из архива под нашу систему 

# apt-get install cprocsp-pki-{cades,plugin,phpcades}-*.rpm

Шаг 3: ХромиумГост не видит плагин Госуслуг. FIX Размещаем ссылку для корректной работы связи расширения браузера с библиотекой установленного плагина (для Chromium,Yandex) 

# ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/

Шаг 4: добавляем расширение плагина Cades в браузер из магазина Opera и Chrome (из обоих, если в Яндекс браузер) 

https://addons.opera.com/en/extensions/details/cryptopro-extension-for-cades-browser-plug-in/
https://chrome.google.com/webstore/detail/cryptopro-extension-for-c/iifchhfnnmpdbibifmljnfjhpififfog

Шаг 5: скачаем и устанавливаем плагин для Госуслуг https://ds-plugin.gosuslugi.ru/plugin/upload/ 

# apt-get install IFCPlugin-x86_64.rpm

Шаг 6: устанавливаем расширение для Госуслуг: https://chrome.google.com/webstore/detail/расширение-для-плагина-го/pbefkdcndngodfeigfdgiodgnmbgcfha иногда нужно включить расширение в настройки-дополнения\расширения

Шаг 7: Загрузить правильный файл конфигурации для IFCPlugin в Загрузки текущего пользователя https://www.cryptopro.ru/sites/default/files/public/faq/ifcx64.cfg 

# cd ~/Загрузки/

и заменим им стоковый 

# cp /etc/ifc.cfg /etc/ifc.cfg.bak
# rm /etc/ifc.cfg
# cp ~/Загрузки/ifcx.cfg /etc/ifc.cfg

делаем владельцем файла пользователя root 

# chown root:root /etc/ifc.cfg

Шаг 8: КриптоПРО не запускается у другого пользователя благодаря включенному усилению защиты linux от некоторых уязвимостей

Примечание: Начиная с КриптоПро CSP 5.0.12417 Osiris (КриптоПро CSP 5.0 R3) этот недостаток устранен разработчиком


Проверяем включено ли усиление защиты 

# sysctl fs.protected_regular

Защита включена, если команда возвращает не ноль: 

fs.protected_regular = 1

Для корректной работы КриптоПРО у нескольких пользователей выставляем права 1777 (владелец root) 

# chown -R root /var/opt/cprocsp/tmp
# chmod -R 1777 /var/opt/cprocsp/tmp
Примечание: После установки новых сертификатов придётся выполнить повторно, либо выполять по cron

либо

Добавить в ACL отдельную запись для суперпользователя root: 

# setfacl -R -m u:root:rwx /var/opt/cprocsp/tmp

Шаг 9: Для управления списком надежных веб-узлов в КриптоПро ЭЦП Browser plug-in на Unix-платформах служит страница /etc/opt /cprocsp/trusted_sites.html добавить по одному 

https://*.sberbank-ast.ru
https://*.zakupki.gov.ru
https://*.gosuslugi.ru
https://*.rts-tender.ru

либо

добавляем сайты в список надежных-узлов для всех пользователей 

# /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\trustedsites" -add multistring "TrustedSites" "https://*.sberbank-ast.ru" "https://*.zakupki.gov.ru" "https://*.gosuslugi.ru" "https://*.rts-tender.ru"

Шаг 10: При установке СКЗИ многие порталы РФ переходят на подключение по "ГОСТ TLS" и выдают сообщение "Подключение не защищено", если в хранилище доверенных сертификатов отсутствует сертификат Минцифры 

# cp russian_trusted_root_ca_pem.crt /usr/share/pki/ca-trust-source/anchors
# cp russian_trusted_sub_ca_pem.crt /usr/share/pki/ca-trust-source/anchors

обновляем общесистемное хранилище сертификатов 

# update-ca-trust

устанавливаем сертификат Минцифры в доверенные корневые центры сертификации

Шаг 11: Для возможности обращения в техподдержку качаем и устанавливаем плагин фиксации действий пользователя 

https://zakupki.gov.ru/epz/main/public/document/view.html?searchString=&sectionId=1767&strictEqual=false

Шаг 12: Для успешной работы данного плагина в Alt необходимо внести правки 

sed -i 's/\/home\/\$userName/\$pathHomeUser/' /opt/RecordSupport/scripts/autoSetStartApplication.sh
sed -i 's/.profile/.xprofile/' /opt/RecordSupport/scripts/autoSetStartApplication.sh
Криптография