ЕСИА/Краткая памятка по настройке ЭЦП: различия между версиями

Материал из ALT Linux Wiki
Нет описания правки
Нет описания правки
 
(не показаны 3 промежуточные версии этого же участника)
Строка 1: Строка 1:
{{Note|Знак # означает выполнение с правами суперпользователя. Предварительно переключитесь в контекст суперпользователя командой  
{{Attention| # означает выполнение от суперпользователя. Предварительно переключитесь в контекст суперпользователя командой  
  su -
  su -
или используйте sudo (по умолчанию не настроено)
или используйте sudo (по умолчанию не настроено)
Строка 10: Строка 10:
Шаг 1:
Шаг 1:
переходим в папку со скачанным КриптоПРО
переходим в папку со скачанным КриптоПРО
  cd ~/CSP-5.0.11455_linux-amd64_rpm
  # cd ~/CSP-5.0.11455_linux-amd64_rpm
устанавливаем необходимые модули (выбираем все, кроме КС2)
устанавливаем необходимые модули (выбираем все, кроме КС2)
  # ./install_gui.sh
  # ./install_gui.sh
вводим лицензионный ключ
Вводим лицензионный ключ


Шаг 2:
Шаг 2:
Строка 22: Строка 22:


Шаг 3: ХромиумГост не видит плагин Госуслуг. FIX
Шаг 3: ХромиумГост не видит плагин Госуслуг. FIX
размещаем ссылку для корректной работы связи расширения браузера с библиотекой установленного плагина (для Chromium,Yandex)
Размещаем ссылку для корректной работы связи расширения браузера с библиотекой установленного плагина (для Chromium,Yandex)
  # ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/
  # ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/


Строка 50: Строка 50:
  # chown root:root /etc/ifc.cfg
  # chown root:root /etc/ifc.cfg


Шаг 8: КриптоПРО не запускается у другого пользователя благодаря включенному усилению защиты linux от некоторых уязвимостей (только для унаследованных версий КриптоПро, актуальным не требуется)
Шаг 8: КриптоПРО не запускается у другого пользователя благодаря включенному усилению защиты linux от некоторых уязвимостей {{Note|Начиная с КриптоПро CSP 5.0.12417 Osiris (КриптоПро CSP 5.0 R3) этот недостаток устранен разработчиком}}


проверяем включено ли усиление защиты
Проверяем включено ли усиление защиты
  # sysctl fs.protected_regular
  # sysctl fs.protected_regular
защита включена, если такая команда возвращает не ноль:
Защита включена, если команда возвращает не ноль:
  fs.protected_regular = 1
  fs.protected_regular = 1
Для корректной работы КриптоПРО у нескольких пользователей выставляем права 1777 (владелец root)
Для корректной работы КриптоПРО у нескольких пользователей выставляем права 1777 (владелец root)
  # chown -R root /var/opt/cprocsp/tmp
  # chown -R root /var/opt/cprocsp/tmp
  # chmod -R 1777 /var/opt/cprocsp/tmp
  # chmod -R 1777 /var/opt/cprocsp/tmp
{{Note|После установки новых сертификатов придётся выполнить повторно, либо выполять по cron}}
либо
либо


Строка 78: Строка 79:


Шаг 10:
Шаг 10:
при установке СКЗИ многие порталы РФ переходят на подключение по "ГОСТ TLS" и выдают сообщение "Подключение не защищено", если в хранилище доверенных сертификатов отсутствует сертификат Минцифры
При установке СКЗИ многие порталы РФ переходят на подключение по "ГОСТ TLS" и выдают сообщение "Подключение не защищено", если в хранилище доверенных сертификатов отсутствует сертификат Минцифры
  # cp russian_trusted_root_ca_pem.crt /usr/share/pki/ca-trust-source/anchors
  # cp russian_trusted_root_ca_pem.crt /usr/share/pki/ca-trust-source/anchors
  # cp russian_trusted_sub_ca_pem.crt /usr/share/pki/ca-trust-source/anchors
  # cp russian_trusted_sub_ca_pem.crt /usr/share/pki/ca-trust-source/anchors
Строка 86: Строка 87:


Шаг 11:
Шаг 11:
для возможности обращения в техподдержку качаем и устанавливаем плагин фиксации действий пользователя
Для возможности обращения в техподдержку качаем и устанавливаем плагин фиксации действий пользователя
  https://zakupki.gov.ru/epz/main/public/document/view.html?searchString=&sectionId=1767&strictEqual=false
  https://zakupki.gov.ru/epz/main/public/document/view.html?searchString=&sectionId=1767&strictEqual=false


Шаг 12:  
Шаг 12:  
для успешной работы данного плагина в Alt необходимо внести правки
Для успешной работы данного плагина в Alt необходимо внести правки
  sed -i 's/\/home\/\$userName/\$pathHomeUser/' /opt/RecordSupport/scripts/autoSetStartApplication.sh
  sed -i 's/\/home\/\$userName/\$pathHomeUser/' /opt/RecordSupport/scripts/autoSetStartApplication.sh
  sed -i 's/.profile/.xprofile/' /opt/RecordSupport/scripts/autoSetStartApplication.sh
  sed -i 's/.profile/.xprofile/' /opt/RecordSupport/scripts/autoSetStartApplication.sh

Текущая версия от 10:15, 10 мая 2024

Внимание! # означает выполнение от суперпользователя. Предварительно переключитесь в контекст суперпользователя командой
su -

или используйте sudo (по умолчанию не настроено)


Шаг 0: устанавливаем пакет, который установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП)

# apt-get install cryptopro-preinstall

Шаг 1: переходим в папку со скачанным КриптоПРО

# cd ~/CSP-5.0.11455_linux-amd64_rpm

устанавливаем необходимые модули (выбираем все, кроме КС2)

# ./install_gui.sh

Вводим лицензионный ключ

Шаг 2: качаем КриптоПро ЭЦП Browser plug-in https://cryptopro.ru/products/cades/plugin/get_2_0

# cd /cades-linux-amd64

устанавливаем все 3 пакета из архива под нашу систему

# apt-get install cprocsp-pki-{cades,plugin,phpcades}-*.rpm

Шаг 3: ХромиумГост не видит плагин Госуслуг. FIX Размещаем ссылку для корректной работы связи расширения браузера с библиотекой установленного плагина (для Chromium,Yandex)

# ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/

Шаг 4: добавляем расширение плагина Cades в браузер из магазина Opera и Chrome (из обоих, если в Яндекс браузер)

https://addons.opera.com/en/extensions/details/cryptopro-extension-for-cades-browser-plug-in/
https://chrome.google.com/webstore/detail/cryptopro-extension-for-c/iifchhfnnmpdbibifmljnfjhpififfog

Шаг 5: скачаем и устанавливаем плагин для Госуслуг https://ds-plugin.gosuslugi.ru/plugin/upload/

# apt-get install IFCPlugin-x86_64.rpm

Шаг 6: устанавливаем расширение для Госуслуг: https://chrome.google.com/webstore/detail/расширение-для-плагина-го/pbefkdcndngodfeigfdgiodgnmbgcfha иногда нужно включить расширение в настройки-дополнения\расширения

Шаг 7: Загрузить правильный файл конфигурации для IFCPlugin в Загрузки текущего пользователя https://www.cryptopro.ru/sites/default/files/public/faq/ifcx64.cfg

# cd ~/Загрузки/

и заменим им стоковый

# cp /etc/ifc.cfg /etc/ifc.cfg.bak
# rm /etc/ifc.cfg
# cp ~/Загрузки/ifcx.cfg /etc/ifc.cfg

делаем владельцем файла пользователя root

# chown root:root /etc/ifc.cfg

Шаг 8: КриптоПРО не запускается у другого пользователя благодаря включенному усилению защиты linux от некоторых уязвимостей

Примечание: Начиная с КриптоПро CSP 5.0.12417 Osiris (КриптоПро CSP 5.0 R3) этот недостаток устранен разработчиком


Проверяем включено ли усиление защиты

# sysctl fs.protected_regular

Защита включена, если команда возвращает не ноль:

fs.protected_regular = 1

Для корректной работы КриптоПРО у нескольких пользователей выставляем права 1777 (владелец root)

# chown -R root /var/opt/cprocsp/tmp
# chmod -R 1777 /var/opt/cprocsp/tmp
Примечание: После установки новых сертификатов придётся выполнить повторно, либо выполять по cron

либо

Добавить в ACL отдельную запись для суперпользователя root:

# setfacl -R -m u:root:rwx /var/opt/cprocsp/tmp

Шаг 9: Для управления списком надежных веб-узлов в КриптоПро ЭЦП Browser plug-in на Unix-платформах служит страница /etc/opt /cprocsp/trusted_sites.html добавить по одному

https://*.sberbank-ast.ru
https://*.zakupki.gov.ru
https://*.gosuslugi.ru
https://*.rts-tender.ru

либо

добавляем сайты в список надежных-узлов для всех пользователей

# /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\trustedsites" -add multistring "TrustedSites" "https://*.sberbank-ast.ru" "https://*.zakupki.gov.ru" "https://*.gosuslugi.ru" "https://*.rts-tender.ru"

Шаг 10: При установке СКЗИ многие порталы РФ переходят на подключение по "ГОСТ TLS" и выдают сообщение "Подключение не защищено", если в хранилище доверенных сертификатов отсутствует сертификат Минцифры

# cp russian_trusted_root_ca_pem.crt /usr/share/pki/ca-trust-source/anchors
# cp russian_trusted_sub_ca_pem.crt /usr/share/pki/ca-trust-source/anchors

обновляем общесистемное хранилище сертификатов

# update-ca-trust

устанавливаем сертификат Минцифры в доверенные корневые центры сертификации

Шаг 11: Для возможности обращения в техподдержку качаем и устанавливаем плагин фиксации действий пользователя

https://zakupki.gov.ru/epz/main/public/document/view.html?searchString=&sectionId=1767&strictEqual=false

Шаг 12: Для успешной работы данного плагина в Alt необходимо внести правки

sed -i 's/\/home\/\$userName/\$pathHomeUser/' /opt/RecordSupport/scripts/autoSetStartApplication.sh
sed -i 's/.profile/.xprofile/' /opt/RecordSupport/scripts/autoSetStartApplication.sh