ЕСИА/Краткая памятка по настройке ЭЦП: различия между версиями
Pauli (обсуждение | вклад) (Новая страница: «Шаг 0: устанавливаем пакет, который установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП) sudo apt-get install cryptopro-preinstall Шаг 1: переходим в папку со скачанным КриптоПРО cd ~/CSP-5.0.11455_linux-amd64_rpm устанавливаем необходим...») |
Pauli (обсуждение | вклад) Нет описания правки |
||
| Строка 1: | Строка 1: | ||
{{Note|Знак # означает выполнение с правами суперпользователя. Предварительно переключитесь в контекст суперпользователя командой | |||
su - | |||
или используйте sudo (по умолчанию не настроено) | |||
}} | |||
Шаг 0: | Шаг 0: | ||
устанавливаем пакет, который установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП) | устанавливаем пакет, который установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП) | ||
# apt-get install cryptopro-preinstall | |||
Шаг 1: | Шаг 1: | ||
| Строка 7: | Строка 12: | ||
cd ~/CSP-5.0.11455_linux-amd64_rpm | cd ~/CSP-5.0.11455_linux-amd64_rpm | ||
устанавливаем необходимые модули (выбираем все, кроме КС2) | устанавливаем необходимые модули (выбираем все, кроме КС2) | ||
# ./install_gui.sh | |||
вводим лицензионный ключ | вводим лицензионный ключ | ||
Шаг 2: | Шаг 2: | ||
качаем КриптоПро ЭЦП Browser plug-in https://cryptopro.ru/products/cades/plugin/get_2_0 | качаем КриптоПро ЭЦП Browser plug-in https://cryptopro.ru/products/cades/plugin/get_2_0 | ||
cd /cades-linux-amd64 | # cd /cades-linux-amd64 | ||
устанавливаем все 3 пакета из архива под нашу систему | устанавливаем все 3 пакета из архива под нашу систему | ||
# apt-get install cprocsp-pki-{cades,plugin,phpcades}-*.rpm | |||
Шаг 3: ХромиумГост не видит плагин Госуслуг. FIX | Шаг 3: ХромиумГост не видит плагин Госуслуг. FIX | ||
размещаем ссылку для корректной работы связи расширения браузера с библиотекой установленного плагина (для Chromium,Yandex) | размещаем ссылку для корректной работы связи расширения браузера с библиотекой установленного плагина (для Chromium,Yandex) | ||
# ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/ | |||
Шаг 4: | Шаг 4: | ||
| Строка 27: | Строка 32: | ||
Шаг 5: | Шаг 5: | ||
скачаем и устанавливаем плагин для Госуслуг https://ds-plugin.gosuslugi.ru/plugin/upload/ | скачаем и устанавливаем плагин для Госуслуг https://ds-plugin.gosuslugi.ru/plugin/upload/ | ||
# apt-get install IFCPlugin-x86_64.rpm | |||
Шаг 6: | Шаг 6: | ||
| Строка 37: | Строка 42: | ||
Загрузить правильный файл конфигурации для IFCPlugin в Загрузки текущего пользователя | Загрузить правильный файл конфигурации для IFCPlugin в Загрузки текущего пользователя | ||
https://www.cryptopro.ru/sites/default/files/public/faq/ifcx64.cfg | https://www.cryptopro.ru/sites/default/files/public/faq/ifcx64.cfg | ||
cd ~/Загрузки/ | # cd ~/Загрузки/ | ||
и заменим им стоковый | и заменим им стоковый | ||
# cp /etc/ifc.cfg /etc/ifc.cfg.bak | |||
# rm /etc/ifc.cfg | |||
# cp ~/Загрузки/ifcx.cfg /etc/ifc.cfg | |||
делаем владельцем файла пользователя root | делаем владельцем файла пользователя root | ||
# chown root:root /etc/ifc.cfg | |||
Шаг 8: КриптоПРО не запускается у другого пользователя благодаря включенному усилению защиты linux от некоторых уязвимостей (только для унаследованных версий КриптоПро, актуальным не требуется) | Шаг 8: КриптоПРО не запускается у другого пользователя благодаря включенному усилению защиты linux от некоторых уязвимостей (только для унаследованных версий КриптоПро, актуальным не требуется) | ||
проверяем включено ли усиление защиты | проверяем включено ли усиление защиты | ||
# sysctl fs.protected_regular | |||
защита включена, если такая команда возвращает не ноль: | защита включена, если такая команда возвращает не ноль: | ||
fs.protected_regular = 1 | fs.protected_regular = 1 | ||
Для корректной работы КриптоПРО у нескольких пользователей выставляем права 1777 (владелец root) | Для корректной работы КриптоПРО у нескольких пользователей выставляем права 1777 (владелец root) | ||
# chown -R root /var/opt/cprocsp/tmp | |||
# chmod -R 1777 /var/opt/cprocsp/tmp | |||
либо | либо | ||
Добавить в ACL отдельную запись для суперпользователя root: | Добавить в ACL отдельную запись для суперпользователя root: | ||
# setfacl -R -m u:root:rwx /var/opt/cprocsp/tmp | |||
Шаг 9: | Шаг 9: | ||
| Строка 70: | Строка 75: | ||
добавляем сайты в список надежных-узлов для всех пользователей | добавляем сайты в список надежных-узлов для всех пользователей | ||
# /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\trustedsites" -add multistring "TrustedSites" "https://*.sberbank-ast.ru" "https://*.zakupki.gov.ru" "https://*.gosuslugi.ru" "https://*.rts-tender.ru" | |||
Шаг 10: | Шаг 10: | ||
при установке СКЗИ многие порталы РФ переходят на подключение по "ГОСТ TLS" и выдают сообщение "Подключение не защищено", если в хранилище доверенных сертификатов отсутствует сертификат Минцифры | при установке СКЗИ многие порталы РФ переходят на подключение по "ГОСТ TLS" и выдают сообщение "Подключение не защищено", если в хранилище доверенных сертификатов отсутствует сертификат Минцифры | ||
# cp russian_trusted_root_ca_pem.crt /usr/share/pki/ca-trust-source/anchors | |||
# cp russian_trusted_sub_ca_pem.crt /usr/share/pki/ca-trust-source/anchors | |||
обновляем общесистемное хранилище сертификатов | обновляем общесистемное хранилище сертификатов | ||
# update-ca-trust | |||
устанавливаем сертификат Минцифры в доверенные корневые центры сертификации | устанавливаем сертификат Минцифры в доверенные корневые центры сертификации | ||
Версия от 15:44, 8 мая 2024
su -
или используйте sudo (по умолчанию не настроено)
Шаг 0:
устанавливаем пакет, который установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП)
# apt-get install cryptopro-preinstall
Шаг 1: переходим в папку со скачанным КриптоПРО
cd ~/CSP-5.0.11455_linux-amd64_rpm
устанавливаем необходимые модули (выбираем все, кроме КС2)
# ./install_gui.sh
вводим лицензионный ключ
Шаг 2: качаем КриптоПро ЭЦП Browser plug-in https://cryptopro.ru/products/cades/plugin/get_2_0
# cd /cades-linux-amd64
устанавливаем все 3 пакета из архива под нашу систему
# apt-get install cprocsp-pki-{cades,plugin,phpcades}-*.rpm
Шаг 3: ХромиумГост не видит плагин Госуслуг. FIX размещаем ссылку для корректной работы связи расширения браузера с библиотекой установленного плагина (для Chromium,Yandex)
# ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/
Шаг 4: добавляем расширение плагина Cades в браузер из магазина Opera и Chrome (из обоих, если в Яндекс браузер)
https://addons.opera.com/en/extensions/details/cryptopro-extension-for-cades-browser-plug-in/ https://chrome.google.com/webstore/detail/cryptopro-extension-for-c/iifchhfnnmpdbibifmljnfjhpififfog
Шаг 5: скачаем и устанавливаем плагин для Госуслуг https://ds-plugin.gosuslugi.ru/plugin/upload/
# apt-get install IFCPlugin-x86_64.rpm
Шаг 6: устанавливаем расширение для Госуслуг: https://chrome.google.com/webstore/detail/расширение-для-плагина-го/pbefkdcndngodfeigfdgiodgnmbgcfha иногда нужно включить расширение в настройки-дополнения\расширения
Шаг 7: Загрузить правильный файл конфигурации для IFCPlugin в Загрузки текущего пользователя https://www.cryptopro.ru/sites/default/files/public/faq/ifcx64.cfg
# cd ~/Загрузки/
и заменим им стоковый
# cp /etc/ifc.cfg /etc/ifc.cfg.bak # rm /etc/ifc.cfg # cp ~/Загрузки/ifcx.cfg /etc/ifc.cfg
делаем владельцем файла пользователя root
# chown root:root /etc/ifc.cfg
Шаг 8: КриптоПРО не запускается у другого пользователя благодаря включенному усилению защиты linux от некоторых уязвимостей (только для унаследованных версий КриптоПро, актуальным не требуется)
проверяем включено ли усиление защиты
# sysctl fs.protected_regular
защита включена, если такая команда возвращает не ноль:
fs.protected_regular = 1
Для корректной работы КриптоПРО у нескольких пользователей выставляем права 1777 (владелец root)
# chown -R root /var/opt/cprocsp/tmp # chmod -R 1777 /var/opt/cprocsp/tmp
либо
Добавить в ACL отдельную запись для суперпользователя root:
# setfacl -R -m u:root:rwx /var/opt/cprocsp/tmp
Шаг 9: Для управления списком надежных веб-узлов в КриптоПро ЭЦП Browser plug-in на Unix-платформах служит страница /etc/opt /cprocsp/trusted_sites.html добавить по одному
https://*.sberbank-ast.ru https://*.zakupki.gov.ru https://*.gosuslugi.ru https://*.rts-tender.ru
либо
добавляем сайты в список надежных-узлов для всех пользователей
# /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\trustedsites" -add multistring "TrustedSites" "https://*.sberbank-ast.ru" "https://*.zakupki.gov.ru" "https://*.gosuslugi.ru" "https://*.rts-tender.ru"
Шаг 10: при установке СКЗИ многие порталы РФ переходят на подключение по "ГОСТ TLS" и выдают сообщение "Подключение не защищено", если в хранилище доверенных сертификатов отсутствует сертификат Минцифры
# cp russian_trusted_root_ca_pem.crt /usr/share/pki/ca-trust-source/anchors # cp russian_trusted_sub_ca_pem.crt /usr/share/pki/ca-trust-source/anchors
обновляем общесистемное хранилище сертификатов
# update-ca-trust
устанавливаем сертификат Минцифры в доверенные корневые центры сертификации
Шаг 11: для возможности обращения в техподдержку качаем и устанавливаем плагин фиксации действий пользователя
https://zakupki.gov.ru/epz/main/public/document/view.html?searchString=§ionId=1767&strictEqual=false
Шаг 12: для успешной работы данного плагина в Alt необходимо внести правки
sed -i 's/\/home\/\$userName/\$pathHomeUser/' /opt/RecordSupport/scripts/autoSetStartApplication.sh sed -i 's/.profile/.xprofile/' /opt/RecordSupport/scripts/autoSetStartApplication.sh