ЕСИА/Краткая памятка по настройке ЭЦП: различия между версиями

Материал из ALT Linux Wiki
(Новая страница: «Шаг 0: устанавливаем пакет, который установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП) sudo apt-get install cryptopro-preinstall Шаг 1: переходим в папку со скачанным КриптоПРО cd ~/CSP-5.0.11455_linux-amd64_rpm устанавливаем необходим...»)
 
Нет описания правки
Строка 1: Строка 1:
{{Note|Знак # означает выполнение с правами суперпользователя. Предварительно переключитесь в контекст суперпользователя командой
su -
или используйте sudo (по умолчанию не настроено)
}}
Шаг 0:
Шаг 0:
устанавливаем пакет, который установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП)
устанавливаем пакет, который установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП)
  sudo apt-get install cryptopro-preinstall
  # apt-get install cryptopro-preinstall


Шаг 1:
Шаг 1:
Строка 7: Строка 12:
  cd ~/CSP-5.0.11455_linux-amd64_rpm
  cd ~/CSP-5.0.11455_linux-amd64_rpm
устанавливаем необходимые модули (выбираем все, кроме КС2)
устанавливаем необходимые модули (выбираем все, кроме КС2)
  sudo ./install_gui.sh
  # ./install_gui.sh
вводим лицензионный ключ
вводим лицензионный ключ


Шаг 2:
Шаг 2:
качаем КриптоПро ЭЦП Browser plug-in https://cryptopro.ru/products/cades/plugin/get_2_0
качаем КриптоПро ЭЦП Browser plug-in https://cryptopro.ru/products/cades/plugin/get_2_0
  cd /cades-linux-amd64
  # cd /cades-linux-amd64
устанавливаем все 3 пакета из архива под нашу систему
устанавливаем все 3 пакета из архива под нашу систему
  sudo apt-get install cprocsp-pki-{cades,plugin,phpcades}-*.rpm
  # apt-get install cprocsp-pki-{cades,plugin,phpcades}-*.rpm


Шаг 3: ХромиумГост не видит плагин Госуслуг. FIX
Шаг 3: ХромиумГост не видит плагин Госуслуг. FIX
размещаем ссылку для корректной работы связи расширения браузера с библиотекой установленного плагина (для Chromium,Yandex)
размещаем ссылку для корректной работы связи расширения браузера с библиотекой установленного плагина (для Chromium,Yandex)
  sudo ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/
  # ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/


Шаг 4:
Шаг 4:
Строка 27: Строка 32:
Шаг 5:  
Шаг 5:  
скачаем и устанавливаем плагин для Госуслуг https://ds-plugin.gosuslugi.ru/plugin/upload/
скачаем и устанавливаем плагин для Госуслуг https://ds-plugin.gosuslugi.ru/plugin/upload/
  sudo apt-get install IFCPlugin-x86_64.rpm
  # apt-get install IFCPlugin-x86_64.rpm


Шаг 6:
Шаг 6:
Строка 37: Строка 42:
Загрузить правильный файл конфигурации для IFCPlugin в Загрузки текущего пользователя
Загрузить правильный файл конфигурации для IFCPlugin в Загрузки текущего пользователя
https://www.cryptopro.ru/sites/default/files/public/faq/ifcx64.cfg
https://www.cryptopro.ru/sites/default/files/public/faq/ifcx64.cfg
  cd ~/Загрузки/
  # cd ~/Загрузки/
и заменим им стоковый
и заменим им стоковый
  sudo cp /etc/ifc.cfg /etc/ifc.cfg.bak
  # cp /etc/ifc.cfg /etc/ifc.cfg.bak
  sudo rm /etc/ifc.cfg
  # rm /etc/ifc.cfg
  sudo cp ~/Загрузки/ifcx.cfg /etc/ifc.cfg
  # cp ~/Загрузки/ifcx.cfg /etc/ifc.cfg
делаем владельцем файла пользователя root
делаем владельцем файла пользователя root
  sudo chown root:root /etc/ifc.cfg
  # chown root:root /etc/ifc.cfg


Шаг 8: КриптоПРО не запускается у другого пользователя благодаря включенному усилению защиты linux от некоторых уязвимостей (только для унаследованных версий КриптоПро, актуальным не требуется)
Шаг 8: КриптоПРО не запускается у другого пользователя благодаря включенному усилению защиты linux от некоторых уязвимостей (только для унаследованных версий КриптоПро, актуальным не требуется)


проверяем включено ли усиление защиты
проверяем включено ли усиление защиты
  sudo sysctl fs.protected_regular
  # sysctl fs.protected_regular
защита включена, если такая команда возвращает не ноль:
защита включена, если такая команда возвращает не ноль:
  fs.protected_regular = 1
  fs.protected_regular = 1
Для корректной работы КриптоПРО у нескольких пользователей выставляем права 1777 (владелец root)
Для корректной работы КриптоПРО у нескольких пользователей выставляем права 1777 (владелец root)
  sudo chown -R root /var/opt/cprocsp/tmp
  # chown -R root /var/opt/cprocsp/tmp
  sudo chmod -R 1777 /var/opt/cprocsp/tmp
  # chmod -R 1777 /var/opt/cprocsp/tmp
либо
либо


Добавить в ACL отдельную запись для суперпользователя root:
Добавить в ACL отдельную запись для суперпользователя root:
  sudo setfacl -R -m u:root:rwx /var/opt/cprocsp/tmp
  # setfacl -R -m u:root:rwx /var/opt/cprocsp/tmp


Шаг 9:  
Шаг 9:  
Строка 70: Строка 75:


добавляем сайты в список надежных-узлов для всех пользователей
добавляем сайты в список надежных-узлов для всех пользователей
  sudo /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\trustedsites" -add multistring "TrustedSites" "https://*.sberbank-ast.ru" "https://*.zakupki.gov.ru" "https://*.gosuslugi.ru" "https://*.rts-tender.ru"
  # /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\trustedsites" -add multistring "TrustedSites" "https://*.sberbank-ast.ru" "https://*.zakupki.gov.ru" "https://*.gosuslugi.ru" "https://*.rts-tender.ru"


Шаг 10:
Шаг 10:
при установке СКЗИ многие порталы РФ переходят на подключение по "ГОСТ TLS" и выдают сообщение "Подключение не защищено", если в хранилище доверенных сертификатов отсутствует сертификат Минцифры
при установке СКЗИ многие порталы РФ переходят на подключение по "ГОСТ TLS" и выдают сообщение "Подключение не защищено", если в хранилище доверенных сертификатов отсутствует сертификат Минцифры
  sudo cp russian_trusted_root_ca_pem.crt /usr/share/pki/ca-trust-source/anchors
  # cp russian_trusted_root_ca_pem.crt /usr/share/pki/ca-trust-source/anchors
  sudo cp russian_trusted_sub_ca_pem.crt /usr/share/pki/ca-trust-source/anchors
  # cp russian_trusted_sub_ca_pem.crt /usr/share/pki/ca-trust-source/anchors
обновляем общесистемное хранилище сертификатов
обновляем общесистемное хранилище сертификатов
  sudo update-ca-trust
  # update-ca-trust
устанавливаем сертификат Минцифры в доверенные корневые центры сертификации
устанавливаем сертификат Минцифры в доверенные корневые центры сертификации



Версия от 15:44, 8 мая 2024

Примечание: Знак # означает выполнение с правами суперпользователя. Предварительно переключитесь в контекст суперпользователя командой
su -

или используйте sudo (по умолчанию не настроено)


Шаг 0: устанавливаем пакет, который установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП)

# apt-get install cryptopro-preinstall

Шаг 1: переходим в папку со скачанным КриптоПРО

cd ~/CSP-5.0.11455_linux-amd64_rpm

устанавливаем необходимые модули (выбираем все, кроме КС2)

# ./install_gui.sh

вводим лицензионный ключ

Шаг 2: качаем КриптоПро ЭЦП Browser plug-in https://cryptopro.ru/products/cades/plugin/get_2_0

# cd /cades-linux-amd64

устанавливаем все 3 пакета из архива под нашу систему

# apt-get install cprocsp-pki-{cades,plugin,phpcades}-*.rpm

Шаг 3: ХромиумГост не видит плагин Госуслуг. FIX размещаем ссылку для корректной работы связи расширения браузера с библиотекой установленного плагина (для Chromium,Yandex)

# ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/

Шаг 4: добавляем расширение плагина Cades в браузер из магазина Opera и Chrome (из обоих, если в Яндекс браузер)

https://addons.opera.com/en/extensions/details/cryptopro-extension-for-cades-browser-plug-in/
https://chrome.google.com/webstore/detail/cryptopro-extension-for-c/iifchhfnnmpdbibifmljnfjhpififfog

Шаг 5: скачаем и устанавливаем плагин для Госуслуг https://ds-plugin.gosuslugi.ru/plugin/upload/

# apt-get install IFCPlugin-x86_64.rpm

Шаг 6: устанавливаем расширение для Госуслуг: https://chrome.google.com/webstore/detail/расширение-для-плагина-го/pbefkdcndngodfeigfdgiodgnmbgcfha иногда нужно включить расширение в настройки-дополнения\расширения

Шаг 7: Загрузить правильный файл конфигурации для IFCPlugin в Загрузки текущего пользователя https://www.cryptopro.ru/sites/default/files/public/faq/ifcx64.cfg

# cd ~/Загрузки/

и заменим им стоковый

# cp /etc/ifc.cfg /etc/ifc.cfg.bak
# rm /etc/ifc.cfg
# cp ~/Загрузки/ifcx.cfg /etc/ifc.cfg

делаем владельцем файла пользователя root

# chown root:root /etc/ifc.cfg

Шаг 8: КриптоПРО не запускается у другого пользователя благодаря включенному усилению защиты linux от некоторых уязвимостей (только для унаследованных версий КриптоПро, актуальным не требуется)

проверяем включено ли усиление защиты

# sysctl fs.protected_regular

защита включена, если такая команда возвращает не ноль:

fs.protected_regular = 1

Для корректной работы КриптоПРО у нескольких пользователей выставляем права 1777 (владелец root)

# chown -R root /var/opt/cprocsp/tmp
# chmod -R 1777 /var/opt/cprocsp/tmp

либо

Добавить в ACL отдельную запись для суперпользователя root:

# setfacl -R -m u:root:rwx /var/opt/cprocsp/tmp

Шаг 9: Для управления списком надежных веб-узлов в КриптоПро ЭЦП Browser plug-in на Unix-платформах служит страница /etc/opt /cprocsp/trusted_sites.html добавить по одному

https://*.sberbank-ast.ru
https://*.zakupki.gov.ru
https://*.gosuslugi.ru
https://*.rts-tender.ru

либо

добавляем сайты в список надежных-узлов для всех пользователей

# /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\trustedsites" -add multistring "TrustedSites" "https://*.sberbank-ast.ru" "https://*.zakupki.gov.ru" "https://*.gosuslugi.ru" "https://*.rts-tender.ru"

Шаг 10: при установке СКЗИ многие порталы РФ переходят на подключение по "ГОСТ TLS" и выдают сообщение "Подключение не защищено", если в хранилище доверенных сертификатов отсутствует сертификат Минцифры

# cp russian_trusted_root_ca_pem.crt /usr/share/pki/ca-trust-source/anchors
# cp russian_trusted_sub_ca_pem.crt /usr/share/pki/ca-trust-source/anchors

обновляем общесистемное хранилище сертификатов

# update-ca-trust

устанавливаем сертификат Минцифры в доверенные корневые центры сертификации

Шаг 11: для возможности обращения в техподдержку качаем и устанавливаем плагин фиксации действий пользователя

https://zakupki.gov.ru/epz/main/public/document/view.html?searchString=&sectionId=1767&strictEqual=false

Шаг 12: для успешной работы данного плагина в Alt необходимо внести правки

sed -i 's/\/home\/\$userName/\$pathHomeUser/' /opt/RecordSupport/scripts/autoSetStartApplication.sh
sed -i 's/.profile/.xprofile/' /opt/RecordSupport/scripts/autoSetStartApplication.sh