JaCarta/PKI
- Токен: JaCarta PKI (определено программой JaCarta Info)
- Криптопровайдер: КриптоПро CSP
- КриптоПро CSP 5.0 R2 - OK
- КриптоПро CSP 4.0 R4 - OK
- КриптоПро CSP 3.9 R2 - 3.9.8495 - OK
- КриптоПро CSP 4.0 R2 - 4.0.9842 - OK
- КриптоПро CSP 3.6 R4 - 3.6.7777 - не работает
Значения PIN-кодов по умолчанию
PIN-коды JaCarta-2 ГОСТ, установленные по умолчанию — Пользователь: 11111111; Администратор: 00000000
Проверка работы JaCarta-2 ГОСТ
Установка КриптоПро
1. Установите метапакет cryptopro-preinstall-full для установки всех необходимых зависимостей:
# apt-get install cryptopro-preinstall-full
2. Скачайте архив с RPM-пакетами с оф.сайта КриптоПро - linux-amd64.tgz
3. Выполните под рутом из папки с распакованным архивом следующие команды:
# sh install.sh # apt-get install cprocsp-curl* lsb-cprocsp-base* lsb-cprocsp-capilite* lsb-cprocsp-kc1* cprocsp-rdr-jacarta* \ cprocsp-rdr-gui-gtk* cprocsp-rdr-rutoken* cprocsp-rdr-pcsc* lsb-cprocsp-pkcs11* lsb-cprocsp-rdr-64*
Установка драйверов и ПО JaCarta (необязательна)
1. Скачать пакет с ПО и драйверами с официального сайта aladdin-rd.ru — http://www.aladdin-rd.ru/support/downloads/39875/
2. Распаковать архив и установить из него два пакета idprotectclient и idprotectclientlib (x86_64):
# apt-get install idprotectclient*.x86_64.rpm
3. Для работы данных утилит необходима запущенная служба pcscd (для работы КриптоПро с Джакартой - не нужна????????????):
# service pcscd start
4. Из меню доступны программы (пункт «Athena IDProtect Client»):
- IDProtect Manager — просмотр информации о токене, импорт/экспорт сертификатов:
- IDProtec PINTool — смена ПИН-кодов:
КриптоПро
Подробнее о КриптоПро: КриптоПро
1. Скачайте МП с сайта Аладдина: http://www.aladdin-rd.ru/support/downloads/29369/
2. Установите RPM-пакет из архива:
# apt-get install cprocsp-rdr-jacarta-3.6.1-3.6.404-1.x86_64.rpm3. Желательно перезагрузить компьютер.
Просмотр доступных считывателей:
$ csptest -enum -info -type PP_ENUMREADERS | iconv -f cp1251
CSP (Type:80) v5.0.10001 KC1 Release Ver:5.0.11319 OS:Linux CPU:AMD64 FastCode:READY:AVX.
CryptAcquireContext succeeded.HCRYPTPROV: 32655395
GetProvParam(...PP_ENUMREADERS...) until it returns false
Len Byte NickName/Name
_____________________________
0x012a 0x03 Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00
Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00
0x012a 0x01 FLASH
FLASH
0x012a 0x00 HDIMAGE
HDD key storage
Cycle exit when getting data. 3 items found. Level completed without problems.
Total: SYS: 0,030 sec USR: 0,030 sec UTC: 0,070 sec
[ErrorCode: 0x00000000]
export PATH="$(/bin/ls -d /opt/cprocsp/{s,}bin/*|tr '\n' ':')$PATH"
Инициализация считывателя HDIMAGE (под правами root):
# /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add 'Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00' -name 'Jacarta'
Adding new reader:
Nick name: Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00
Name device: Jacarta
Succeeded, code:0x0
Создание контейнера на токене/смарт-карте:
$ csptest -keyset -provtype 80 -newkeyset -cont '\\.\Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00\Jacarta'
CSP (Type:80) v5.0.10001 KC1 Release Ver:5.0.11319 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 21797187
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "Jacarta"
Signature key is not available.
Attempting to create a signature key...
a signature key created.
Exchange key is not available.
Attempting to create an exchange key...
an exchange key created.
Keys in container:
signature key
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.9
PrivKey: Not specified - 27.05.2020 18:54:04 (UTC)
OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 27.05.2020 18:54:35 (UTC)
Total: SYS: 0,210 sec USR: 0,200 sec UTC: 45,550 sec
[ErrorCode: 0x00000000]
При установленном пакете cprocsp-rdr-gui-gtk будет показано графическое окно, где будет предложено перемещать указатель мыши или нажимать клавиши:
При установленном пакете cprocsp-rdr-gui-gtk будет показано графическое окно, где будет предложено перемещать указатель мыши или нажимать клавиши:
После этого необходимо предъявить PIN-код пользователя:
После указания PIN-кода снова будет предложено перемещать указатель мыши.
Проверить наличие контейнеров можно с помощью команды:
$ csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251
CSP (Type:80) v5.0.10001 KC1 Release Ver:5.0.11319 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 16152611
\\.\Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00\Jacarta
OK.
Total: SYS: 0,090 sec USR: 0,040 sec UTC: 4,470 sec
[ErrorCode: 0x00000000]
Просмотр подробной информации о контейнере:
$ csptestf -keyset -container '\\.\Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00\Jacarta' -info
Удалить контейнер можно с помощью команды:
$ csptestf -keyset -deletekeyset -cont '\\.\Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00\Jacarta'
Управление сертификатами
Создание запроса на получение сертификата
Создание запроса на получение сертификата средствами КриптоПро:
$ cryptcp -creatrqst -dn "список имён полей" -cont 'путь к контейнеру' <название_файла>.csr
Например:
cryptcp -creatrqst \
-dn "E=ivanov@mail.mail" \
-dn "CN=Иванов Иван Иванович" \
-dn "SN=Иванов" \
-dn "GN=Иван Иванович" \
-dn "C=RU" \
-dn "L=Калининград" \
-dn "ST=39 Калининградская обл." \
-dn "street=Пр-т Победы 14 кв.3" -provtype 80 -nokeygen \
-cont '\\.\Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00\Jacarta' \
-certusage "1.3.6.1.5.5.7.3.4,1.3.6.1.5.5.7.3.2" jacarta.req
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.
Запрос успешно создан и сохранен в файле.
[ErrorCode: 0x00000000]
Запрос на сертификат необходимо подписать в аккредитованном удостоверяющем центре.
Запись сертификата клиента в контейнер:
$ certmgr -inst -file jacarta.cer -store uMy -cont '\\.\Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00\Jacarta' -inst_to_cont
Installing:
=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : E=ivanov@mail.mail
Serial : 0x120032E7B852F4CC6681F6887500000032E7B8
SHA1 Hash : 33ba9e77ead5e56c01c71c32e53241b8904f8688
SubjKeyID : 860b17ff1114be40161396a5d536ce3dd19bb2f7
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 27/02/2019 18:56:15 UTC
Not valid after : 27/05/2019 19:06:15 UTC
PrivateKey Link : No
CA cert URL : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.4
1.3.6.1.5.5.7.3.2
=============================================================================
Запись сертификата УЦ:
# /opt/cprocsp/bin/amd64/certmgr -inst -file cc.cer -store uRoot
Installing:
=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Serial : 0x2B6E3351FD6EB2AD48200203CB5BA141
SHA1 Hash : 046255290b0eb1cdd1797d9ab8c81f699e3687f3
SubjKeyID : 15317cb08d1ade66d7159c4952971724b9017a83
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 05/08/2014 13:44:24 UTC
Not valid after : 05/08/2019 13:54:03 UTC
PrivateKey Link : No
=============================================================================
[ErrorCode: 0x00000000]