Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline pashkinmv  
#1 Отправлено: : 8 декабря 2016 г. 11:03:09(UTC)
pashkinmv

Статус: Участник

Группы: Участники
Зарегистрирован: 07.12.2016(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 3 раз в 1 постах
Инструкция по установке КриптоПро CSP

1. устанавливаем необходимые стандартные библиотеки

Код:
sudo apt install lsb lsb-core alien


2. Качаем КриптоПро CSP 4.0R2 linux x64 предварительно зарегистрировавшись

3. Распаковываем и устанавливаем

Код:
cd ~/Downloads
tar -xf linux-amd64_deb.tgz
cd linux-amd64_deb
sudo ./install.sh
# GUI элементы для работы с сертификатами
sudo dpkg -i cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb 
# Поддержка алгоритмов класса 2
sudo dpkg -i lsb-cprocsp-kc2-64_4.0.0-4_amd64.deb


4. готово

p.s. удалить можно выполнив код в этой же директории:

Код:

sudo ./uninstall.sh
sudo rm -rf /opt/cprocsp
sudo rm -rf /etc/opt/cprocsp
sudo rm -rf /var/opt/cprocsp
sudo rm /opt/google/chrome/extensions/iifchhfnnmpdbibifmljnfjhpififfog.json
sudo rm /etc/chromium/native-messaging-hosts/ru.cryptopro.nmcades.json
sudo rm /etc/opt/chrome/native-messaging-hosts/ru.cryptopro.nmcades.json
sudo rm /usr/lib/firefox-addons/plugins/libnpcades.so
sudo rm /usr/share/chromium-browser/extensions/iifchhfnnmpdbibifmljnfjhpififfog.json
sudo rm /usr/share/chromium/extensions/iifchhfnnmpdbibifmljnfjhpififfog.json


Установка тестовых сертификатов

1. Качаем корневой сертификат

2. Устанавливаем его

Код:
/opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file certnew.cer




Смотрим доступные контейнеры

Код:
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn




Устанавливаем сертификат:

Код:
/opt/cprocsp/bin/amd64/certmgr -inst -store umy -file ~/Downloads/test\ 8.12.2016\ KC1\ CSP.pem -cont '\\.\HDIMAGE\70275af7-e10b-bed3-b1b3-88641f09f3a5'




Инструкция по установке КриптоПро Browser Plug-In 2.0 в Firefox v50.0.2

1. Качаем плагин версии 2.0

2. Распаковывем и устанавливаем

Код:
cd ~/Downloads
mkdir cades_linux_amd64
tar -xf cades_linux_amd64.tar.gz -C cades_linux_amd64
cd cades_linux_amd64
sudo alien -kci cprocsp-pki-2.0.0-amd64-cades.rpm
sudo alien -kci cprocsp-pki-2.0.0-amd64-plugin.rpm
# С первого раза не все файлы копируются, например не копируется /opt/cprocsp/lib/amd64/libnpcades.so
sudo alien -kci cprocsp-pki-2.0.0-amd64-plugin.rpm


3. Копируем файл libnpcades.so в папку с плагинами

Код:
sudo cp /opt/cprocsp/lib/amd64/libnpcades.so /usr/lib/firefox-addons/plugins/libnpcades.so


4. Перезапускаем/запускаем firefox

5. Открываем about:addons

6. Выбираем вкладку Plugins.

7. У плагина CryptoPro CAdES plugin ставим значение Always Activate

8. Проверяем работоспособность на demo странице, либо на странице генерации тестового сертификата

Инструкция по установке КриптоПро Browser Plug-In 2.0 в Google Chrome 54.0.2840.100 (64-bit)

Выполняем, если не выполнены пункты 1 и 2 из предыдущего раздела.

Устанавливаем плагин из магазина: CryptoPro Extension for CAdES Browser.

Дополнительная информация

Если на демо странице пишет что-то вроде:

Код:
Ошибка при открытии хранилища: The system cannot find the file specified. (0x80070002)


Значит у вас не установлено ни одного сертификата.

Список установленных компонентов:

Код:
dpkg -l | grep csp





Вывод установленных сертификатов:

Код:
/opt/cprocsp/bin/amd64/certmgr -list




Установка корневого сертификата УЦ:
Код:
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file путь_к_файлу_с_сертификатом


Перечисление доступных контейнеров:

Код:
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn


Установка личного сертификата:

Код:
/opt/cprocsp/bin/amd64/certmgr -inst -store umy -file путь_к_файлу_с_сертификатом -cont 'имя_контейнера'


Если в контейнере присутствует сертификат, то для его установки личного сертификата можно использовать команды:

Код:
/opt/cprocsp/bin/amd64/certmgr -inst -cont 'имя_контейнера'


Установить все сертификаты в хранилище Личное uMy из доступных контейнеров:

Код:
/opt/cprocsp/bin/amd64/csptestf -absorb -certs


Добавление хранилища на жёстком диске:

Код:
sudo /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add HDIMAGE store


Генерация пары закрытого/открытого ключа в хранилище:

Код:
/opt/cprocsp/bin/amd64/csptest -keyset -newkeyset -cont '\\.\HDIMAGE\main' -provtype 75 -provider "Crypto-Pro GOST R 34.10-2001 KC1 CSP"


Создание запроса на подпись сертификата:

Код:
/opt/cprocsp/bin/amd64/cryptcp -creatrqst -dn "E=email, C=RU, CN=localhost, SN=company" -nokeygen -both -ku -cont '\\.\HDIMAGE\main' main.req


Загрузка подписанного сертификата к паре закрытого/открытого ключа:

Код:
/opt/cprocsp/bin/amd64/certmgr -inst -file main.cer -store umy -cont '\\.\HDIMAGE\main'


Если при попытке сгенерировать сертификат по алгоритму *KC2*, например с Crypto-Pro GOST R 34.10-2001 KC2 CSP возникает ошибка:

Произошла ошибка при создании запроса на сертификат. Проверьте, что выбранный поставщик служб шифрования поддерживает заданные вами параметры и введены правильные данные.
Предполагаемая причина:
(нет вариантов)
Ошибка: 0x00000000 - (нет данных)


то у вас нет аппаратного датчика случайных чисел, а работает только биологический датчик случайных чисел (который может быть использован в КриптоПро КС1).

Отредактировано пользователем 20 декабря 2016 г. 10:22:50(UTC)  | Причина: Не указана

thanks 3 пользователей поблагодарили pashkinmv за этот пост.
Alexander A. Nikitkov оставлено 08.12.2016(UTC), egor.polyakov оставлено 06.03.2018(UTC), FERMA666 оставлено 14.04.2019(UTC)
Offline Alexander A. Nikitkov  
#2 Оставлено : 8 декабря 2016 г. 11:43:25(UTC)
Alexander A. Nikitkov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 22.04.2015(UTC)
Сообщений: 324
Мужчина

Сказал «Спасибо»: 4 раз
Поблагодарили: 53 раз в 53 постах
Добрый день, pashkinmv!

Благодарим за проделанную работу и энтузиазм

Цитата:
1. устанавливаем необходимые стандартные библиотеки
уже не обязательно. В данной версии csp уже присутствует соответствующий пакет. Достаточно просто # ./install.sh а затем # dpkg -i cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb

Цитата:
(хотя я устанавливал всё, что устанавливалось)
ставим только то, что реально нужно. Для стоявшей перед Вами задачи ничего больше устанавливать не требовалось.

Цитата:
Качаем плагин версии 2.0 предварительно зарегистрировавшись
доступен для скачивания без регистрации

Цитата:
Копируем файл libnpcades.so в папку с плагинами
таковое в большинстве случаев не требуется

Цитата:
Пока не победил
из "магазина" хрома наше расширение установили?

thanks 1 пользователь поблагодарил Alexander A. Nikitkov за этот пост.
pashkinmv оставлено 08.12.2016(UTC)
Offline pashkinmv  
#3 Оставлено : 8 декабря 2016 г. 12:17:09(UTC)
pashkinmv

Статус: Участник

Группы: Участники
Зарегистрирован: 07.12.2016(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 3 раз в 1 постах
Добрый день, ГОСТface_killah и спасибо за оперативный коментарий!

Автор: ГОСТface_killah Перейти к цитате
Добрый день, pashkinmv!

Благодарим за проделанную работу и энтузиазм

Цитата:
1. устанавливаем необходимые стандартные библиотеки
уже не обязательно. В данной версии csp уже присутствует соответствующий пакет. Достаточно просто # ./install.sh а затем # dpkg -i cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb
Спасибо, исправил

Автор: ГОСТface_killah Перейти к цитате

Цитата:
(хотя я устанавливал всё, что устанавливалось)
ставим только то, что реально нужно. Для стоявшей перед Вами задачи ничего больше устанавливать не требовалось.
Спасибо, исправил

Автор: ГОСТface_killah Перейти к цитате

Цитата:
Качаем плагин версии 2.0 предварительно зарегистрировавшись
доступен для скачивания без регистрации
Спасибо, исправил

Автор: ГОСТface_killah Перейти к цитате

Цитата:
Копируем файл libnpcades.so в папку с плагинами
таковое в большинстве случаев не требуется
Без этого плагин в about:addons не оттображается

Автор: ГОСТface_killah Перейти к цитате

Цитата:
Пока не победил
из "магазина" хрома наше расширение установили?
Установил, работает

Отредактировано пользователем 8 декабря 2016 г. 15:26:14(UTC)  | Причина: Не указана

Offline pashkinmv  
#4 Оставлено : 8 декабря 2016 г. 14:44:15(UTC)
pashkinmv

Статус: Участник

Группы: Участники
Зарегистрирован: 07.12.2016(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 3 раз в 1 постах
По результатам выполнения текущей инструкции после захода на страницу генерации тестовых запросов
могу генерировать тестовые сертификаты *KC1*

Однако, при попытке сгенерировать сертификат с *KC2*, например с Crypto-Pro GOST R 34.10-2001 KC2 CSP выдаёт ошибку:

Произошла ошибка при создании запроса на сертификат. Проверьте, что выбранный поставщик служб шифрования поддерживает заданные вами параметры и введены правильные данные.
Предполагаемая причина:
(нет вариантов)
Ошибка: 0x00000000 - (нет данных)


snapshot.png (130kb) загружен 103 раз(а).

Нужна помощь!

Отредактировано пользователем 8 декабря 2016 г. 14:48:42(UTC)  | Причина: Не указана

Offline pashkinmv  
#5 Оставлено : 9 декабря 2016 г. 12:47:30(UTC)
pashkinmv

Статус: Участник

Группы: Участники
Зарегистрирован: 07.12.2016(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 3 раз в 1 постах
Цитата:
По результатам выполнения текущей инструкции после захода на страницу генерации тестовых запросов
могу генерировать тестовые сертификаты *KC1*

Однако, при попытке сгенерировать сертификат с *KC2*, например с Crypto-Pro GOST R 34.10-2001 KC2 CSP выдаёт ошибку:

Произошла ошибка при создании запроса на сертификат. Проверьте, что выбранный поставщик служб шифрования поддерживает заданные вами параметры и введены правильные данные.
Предполагаемая причина:
(нет вариантов)
Ошибка: 0x00000000 - (нет данных)


snapshot.png (130kb) загружен 103 раз(а).

Нужна помощь!


Спасибо службе поддержки КриптоПро за оперативую помощь:

Цитата:
Добрый день.

В КриптоПро CSP КС2 должен быть использован аппаратный датчик случайных чисел.

У вас работает только биологический датчик случайных чисел (который может быть использован в КриптоПро КС1), поэтому возникает ошибка при попытке генерации ключей.
Offline Wearius  
#6 Оставлено : 20 ноября 2018 г. 19:52:30(UTC)
Wearius

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.11.2018(UTC)
Сообщений: 2
Украина
Откуда: Киев

Добрый день а что делать если после выполнении

Смотрим доступные контейнеры




у меня нет контейнеров?

Отредактировано пользователем 20 ноября 2018 г. 20:10:02(UTC)  | Причина: Не указана

Offline Александр Лавник  
#7 Оставлено : 21 ноября 2018 г. 10:34:34(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,677
Мужчина
Российская Федерация

Сказал «Спасибо»: 44 раз
Поблагодарили: 602 раз в 567 постах
Автор: Wearius Перейти к цитате
Добрый день а что делать если после выполнении

Смотрим доступные контейнеры




у меня нет контейнеров?

Добрый день.

Либо контейнеров действительно нет, либо не установлены необходимые пакеты для работы с внешними ключевыми носителями.

На каком носителе у Вас ключевые контейнеры (жесткий диск, флешка, токен, смарт-карта)?
Техническую поддержку оказываем тут
Наша база знаний
Offline Wearius  
#8 Оставлено : 21 ноября 2018 г. 14:11:04(UTC)
Wearius

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.11.2018(UTC)
Сообщений: 2
Украина
Откуда: Киев

Автор: Александр Лавник Перейти к цитате
Автор: Wearius Перейти к цитате
Добрый день а что делать если после выполнении

Смотрим доступные контейнеры




у меня нет контейнеров?

Добрый день.

Либо контейнеров действительно нет, либо не установлены необходимые пакеты для работы с внешними ключевыми носителями.

На каком носителе у Вас ключевые контейнеры (жесткий диск, флешка, токен, смарт-карта)?



Спасибо за ответ Александр. Контейнер обязателен для того что бы stunnel работал в режиме сервера? Если да могу я его создать и добавить к нему сертификат?
Offline Александр Лавник  
#9 Оставлено : 21 ноября 2018 г. 14:17:40(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,677
Мужчина
Российская Федерация

Сказал «Спасибо»: 44 раз
Поблагодарили: 602 раз в 567 постах
Автор: Wearius Перейти к цитате
Автор: Александр Лавник Перейти к цитате
Автор: Wearius Перейти к цитате
Добрый день а что делать если после выполнении

Смотрим доступные контейнеры




у меня нет контейнеров?

Добрый день.

Либо контейнеров действительно нет, либо не установлены необходимые пакеты для работы с внешними ключевыми носителями.

На каком носителе у Вас ключевые контейнеры (жесткий диск, флешка, токен, смарт-карта)?



Спасибо за ответ Александр. Контейнер обязателен для того что бы stunnel работал в режиме сервера? Если да могу я его создать и добавить к нему сертификат?

В основе работы stunnel лежит протокол TLS.

Естественно, для сервера необходим серверный сертификат и соответствующий ключевой контейнер.

Расширение сертификата сервера Улучшенный ключ должно содержать значение - Проверка подлинности сервера (1.3.6.1.5.5.7.3.1)

Расширение сертификата сертификата Альтернативное имя субъекта должно содержать dns-имя или wildcard dns-имени сервера.

Вместо использования расширения сертификата Альтернативное имя субъекта можно указать имя сервера в компоненте имени Общее имя (CN).

Вы можете протестировать работу, используя тестовый серверный сертификат, полученный в нашем тестовом удостоверяющем центре:

по ГОСТ 2001 - https://www.cryptopro.ru/certsrv/

по ГОСТ 2012 - https://testgost2012.cryptopro.ru/certsrv/

Чтобы в расширении Альтернативное имя субъекта сертификата сервера были записаны нужные DNS имена, нужно в форме запроса на сертификат в веб-интерфейсе в поле Атрибуты указать значение вида (несколько DNS имен указываются через символ &):

Код:
san:dns=domain1.ru&dns=domain2.ru
Техническую поддержку оказываем тут
Наша база знаний
Offline chikory  
#10 Оставлено : 18 января 2019 г. 13:01:03(UTC)
chikory

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.11.2011(UTC)
Сообщений: 35
Откуда: Екатеринбург

Добрый день.
Подскажите, а куда ставить промежуточные сертификаты? тоже в root? чтобы цепочку выстроить МКС - Подчиненный УЦ - Личный
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.