Инструкция по установке КриптоПро — различия между версиями

Материал из Rosalab Wiki
Перейти к: навигация, поиск
(Установка КриптоПро Fox)
(оформление, стилевые правки, орфография/пунктуация)
Строка 1: Строка 1:
 
== Применимость ==
 
== Применимость ==
В инструкции описана установка СКЗИ КриптоПро CSP 4.0 на ROSA Fresh R7-R10 (ROSA RED X2-X3) для работы с рутокен. Пример указан для 64-разрядной архитектуры AMD64, для 32-разрядной i586 установка аналогична с точностью до указания установочных пакетов и папок. Для установки нужны навыки работы в файловом менеджере (для KDE-версии это Dolphin) и консоли (Konsole или F4 при работе в Dolphin)
+
В инструкции описана установка СКЗИ КриптоПро CSP 4.0 в ROSA Fresh R7–R10 (RED X2–X3) для работы с электронными ключами Рутокен. Пример приведён для 64-разрядной архитектуры AMD64; для 32-разрядной i586 установка аналогична с точностью до названий установочных пакетов и папок. Для установки нужны навыки работы в файловом менеджере (для KDE-версии это Dolphin) и консоли (Konsole или F4 при работе в Dolphin).
  
 
== Получение установочных пакетов ==
 
== Получение установочных пакетов ==
Для установки СКЗИ КриптоПро CSP 4.0 для начала надо зарегистрироваться на сайте https://www.cryptopro.ru/ и со страницы загрузки https://www.cryptopro.ru/products/csp/downloads скачать версию 4.0 для linux в пакете rpm
+
Перед установкой СКЗИ КриптоПро CSP 4.0 сначала нужно зарегистрироваться на сайте https://www.cryptopro.ru/ и со страницы загрузки https://www.cryptopro.ru/products/csp/downloads скачать версию 4.0 для Linux в пакете {{pkg|rpm}}.
  
 
[[Файл:Криптопро1.png]]
 
[[Файл:Криптопро1.png]]
Строка 9: Строка 9:
  
 
== Установка базовых компонентов КриптоПро ==
 
== Установка базовых компонентов КриптоПро ==
Для установки нужно распаковать полученный архив. Это можно сделать щелкнув по скачанному пакету мышью и используя графический интерфейс или в консоли выполнив команды:
+
* Распакуйте загруженный архив. Это можно сделать, выбрав соответствующий пункт меню в графическом интерфейсе или выполнив консольные команды:
  '''cd ~/Загрузки/'''
+
cd ~/Загрузки/
  '''tar -xvf linux-amd64.tgz
+
tar -xvf linux-amd64.tgz
Должна появиться папка с установочными файлами КриптоПро, в консоли можно перейти в неё командой
+
  '''cd linux-amd64/'''
+
Далее нужно выполнить инсталляцию с правами администратора (root), для этого нужно в консоли ввести команду перехода в режим суперпользователя:
+
  '''su'''
+
и ввести пароль, после этого ввести команды инсталляции
+
'''urpmi -a lsb-core ccid'''
+
'''./install.sh'''
+
'''rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*'''
+
также, если пароль суперпользователя неизвестен, можно использовать команду  '''sudo ./install.sh''' затем  '''sudo rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*''', введя при этом пароль текущего пользователя (если у него есть на это права).
+
  
 +
Должна появиться папка с установочными файлами КриптоПро.
 +
* В консоли перейдите в эту папку:
 +
cd linux-amd64/
  
В графическом интерфейсе для той же операции инсталляции можно запустить файловый менеджер, например Dophin в KDE с помощью выполнения команды (Alt+F2)
+
Дальнейшую установку нужно выполнять с правами администратора (root).
  '''kdesu dolphin'''
+
* Выполните в консоли команду перехода в режим администратора (''su'') и введите пароль.
и щелкнуть в открывшемся окне по файлу '''install.sh'''.
+
* Выполните команды установки:
 +
urpmi -a lsb-core ccid
 +
./install.sh
 +
rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*
  
Также стоит отметить пакеты поддержки устройств (токенов/ридеров/плат расширения). Эти пакеты находятся в архиве КриптоПро CSP, их названия начинаются с '''cprocsp-rdr-'''. При необходимости использования определенного устройства (например Рутокен ЭЦП) следует установить соответствующий пакет ('''sudo rpm -ivh cprocsp-rdr-rutoken*'''). Также в архиве есть пакеты с драйверами ('''ifd-*''') их также следует установить при использовании соответствующего устройства (Рутокен S -> '''sudo rpm -ivh ifd-rutokens*''').
+
Если пароль администратора неизвестен, можно использовать команду  ''sudo ./install.sh'', а затем ''sudo rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*'', введя при этом пароль текущего пользователя (если у него есть на это права).
 +
 
 +
Для установки в графическом интерфейсе запустите файловый менеджер (например, Dophin) с правами администратора, выполнив следующую команду:
 +
kdesu dolphin
 +
 
 +
В открывшемся окне щёлкните по файлу ''install.sh''.
 +
 
 +
=== Установка пакетов поддержки устройств ===
 +
 
 +
Пакеты поддержки токенов/ридеров/плат расширения находятся в архиве КриптоПро CSP; их названия начинаются с {{pkg|cprocsp-rdr-}}. Если необходимо использовать определённое устройство (например, Рутокен ЭЦП), установите соответствующий пакет:
 +
 
 +
sudo rpm -ivh cprocsp-rdr-rutoken*
 +
 
 +
Ещё в архиве есть пакеты с драйверами ({{pkg|ifd-*}}). Их также следует установить при использовании соответствующих устройств. Например, для Рутокен S:
 +
 
 +
sudo rpm -ivh ifd-rutokens*
  
 
== Установка графических компонентов ==
 
== Установка графических компонентов ==
В случае, если необходимо использование [http://wiki.rosalab.ru/ru/index.php/%D0%A0%D0%B5%D0%BA%D0%BE%D0%BC%D0%B5%D0%BD%D0%B4%D0%B0%D1%86%D0%B8%D0%B8_%D0%BF%D0%BE_%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B5_%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%9F%D1%80%D0%BE_%D0%AD%D0%A6%D0%9F_Browser_plugin Криптопро ЭЦП Browser Plugin] (данный этап включён в инструкцию в ссылке), rosa-crypto-tool или других программ и компонентов, требующих использование графики, необходимо также установить ещё два пакета:
+
 
  '''urpmi pangox-compat && rpm -ivh cprocsp-rdr-gui-gtk*'''
+
Если планируется использование [http://wiki.rosalab.ru/ru/index.php/%D0%A0%D0%B5%D0%BA%D0%BE%D0%BC%D0%B5%D0%BD%D0%B4%D0%B0%D1%86%D0%B8%D0%B8_%D0%BF%D0%BE_%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B5_%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%9F%D1%80%D0%BE_%D0%AD%D0%A6%D0%9F_Browser_plugin Криптопро ЭЦП Browser Plugin] (данный этап включён в инструкцию в ссылке), ''rosa-crypto-tool'' или других программ и компонентов с графическим интерфейсом, необходимо установить ещё два пакета:
Не следует устанавливать пакет cprocsp-rdr-gui, так как в связке с cprocsp-rdr-gui-gtk он нарушает работу графических компонентов.
+
  urpmi pangox-compat && rpm -ivh cprocsp-rdr-gui-gtk*
 +
 
 +
Не следует устанавливать пакет {{pkg|cprocsp-rdr-gui}}, т. к. в связке с {{pkg|cprocsp-rdr-gui-gtk} он нарушает работу графических компонентов.
  
 
== Подключение токена к компьютеру ==
 
== Подключение токена к компьютеру ==
Теперь можно подключить рутокен к USB-порту компьютера
+
Теперь можно подключить Рутокен к USB-порту компьютера.
  
 
[[Файл:Криптопро3.jpg]]
 
[[Файл:Криптопро3.jpg]]
  
Для контроля правильности подключения дайте после подключения рутокена в консоли команду:
+
Для контроля правильности подключения выполните команду ''lsusb''.
  '''lsusb'''
+
 
Должен быть получен результат, похожий на
+
Пример правильного вывода:
  
 
[[Файл:Криптопро4.png]]
 
[[Файл:Криптопро4.png]]
  
 
== Подключение и установка КриптоПро ==
 
== Подключение и установка КриптоПро ==
Теперь нам нужно запустить в отдельной консоли программу '''pcscd''' с правами администратора (root). В дальнейшем мы будем это делать через консоль и '''sudo''', хотя можно делать и через команду '''su''' чтоб не вводить пароль каждый раз, '''sudo''' будет индикатором того, что команда требует прав администратора.
+
 
  '''sudo pcscd -adfffff'''
+
* Запустите в отдельной консоли программу ''pcscd'' с правами администратора (root). В дальнейшем это следует делать через консоль и ''sudo'', хотя можно и через команду ''su'', чтобы не вводить пароль каждый раз. ''sudo'' будет индикатором того, что команда требует прав администратора.
После запуска не будем закрывать эту консоль (там можно будет видеть, как система общается со смарт-картой) а для последующих команд откроем еще одну консоль.
+
sudo pcscd -adfffff
Выполним в новооткрытой консоли утититу уже установленного в папку '''/opt''' КриптоПро:
+
 
  '''/opt/cprocsp/bin/amd64/list_pcsc'''
+
После запуска не закрывайте эту консоль — в ней можно будет видеть, как система взаимодействует со смарт-картой.
Утилита также должна уже видеть устройство:
+
 
 +
* Откройте ещё одну консоль.
 +
 
 +
* Запустите в ней утилиту уже установленного в папку ''/opt'' КриптоПро:
 +
/opt/cprocsp/bin/amd64/list_pcsc
 +
 
 +
Утилита также должна «видеть» устройство:
  
 
[[Файл:Криптопро5.png]]
 
[[Файл:Криптопро5.png]]
  
 
== Установка сертификатов ==
 
== Установка сертификатов ==
После установки пакетов появится возможность видеть контейнеры на устройстве рутокен. Например, узнать путь к требуемому контейнеру по команде:
+
После установки пакетов появится возможность просматривать контейнеры на устройстве Рутокен. Например, чтобы узнать путь к требуемому контейнеру, выполните:
  '''/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq'''
+
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq
  
 
[[Файл:Криптопро7.png]]
 
[[Файл:Криптопро7.png]]
  
Для работы с сертификатами нужно установить сертификат удостоверяющего центра (в данном случае устанавливается непосредственно корневой сертификат) и сертификат с рутокена на локальное хранилище.
+
Для работы с сертификатами нужно установить сертификат удостоверяющего центра (в данном случае устанавливается непосредственно корневой сертификат) и сертификат Рутокен на локальное хранилище.
Для этого нужно загрузить с сайта удостоверяющего центра файл, содержащий корневой сертификат (обычно файл с расширением .cer или .p7b). И, при необходимости, цепочку сертификатов (обычно файл с расширением .cer или .p7b). Также надо загрузить список отозванных сертификатов (обычно файл с расширением .crl) и установить полученные файлы командами, схожими с приведёнными ниже (подробнее о программе certmgr можно узнать [http://www.cryptopro.ru/sites/default/files/docs/certmgr.pdf здесь]):
+
 
 +
* Загрузите с сайта удостоверяющего центра файл, содержащий корневой сертификат (обычно он имеет расширение .cer или .p7b) и, при необходимости, цепочку сертификатов.
 +
 
 +
* Загрузите список отозванных сертификатов (файл с расширением .crl) и установите полученные файлы с помощью команд, аналогичных приведённым ниже.  
  
 
Установка корневого сертификата удостоверяющего центра:
 
Установка корневого сертификата удостоверяющего центра:
  '''/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/<название файла>.cer -store uRoot'''
+
/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/<название файла>.cer -store uRoot
 +
 
 
Установка списка отозванных сертификатов:
 
Установка списка отозванных сертификатов:
  '''/opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Загрузки/<название файла>.crl'''
+
/opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Загрузки/<название файла>.crl
 +
 
 
Установка цепочки промежуточных сертификатов:
 
Установка цепочки промежуточных сертификатов:
  '''/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/<название файла>.p7b -store CA'''
+
/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/<название файла>.p7b -store CA
 +
 
 
Установка сертификата с рутокена:
 
Установка сертификата с рутокена:
  '''/opt/cprocsp/bin/amd64/certmgr -inst -cont '<путь к контейнеру, начинающийся на \\.\>' -store uMy'''
+
/opt/cprocsp/bin/amd64/certmgr -inst -cont '<путь к контейнеру, начинающийся на \\.\>' -store uMy
  
'''Примечание:''' чаще всего расширение .cer соответствует сертификату, а .p7b - контейнеру, в котором может содержаться один или больше сертификатов (например их цепочка).
+
Подробнее о программе certmgr можно узнать [http://www.cryptopro.ru/sites/default/files/docs/certmgr.pdf здесь].
 +
 
 +
'''Примечание'''. Чаще всего расширение .cer соответствует сертификату, а .p7b контейнеру, в котором может содержаться один или больше сертификатов (например, их цепочка).
  
 
== Установка КриптоПро Fox ==
 
== Установка КриптоПро Fox ==
Для установки браузера firefox, умеющего работать с КриптоПро  - ''КриптоПро Fox'' нужно:
+
''КриптоПро Fox'' — версия браузера Firefox, умеющая работать с КриптоПро.
# Скачать браузер с сайта КриптоПро https://www.cryptopro.ru/products/cpfox выбрав '''Скачать КриптоПро Fox 45 для 64-разрядных Linux (CentOS 6.6+)'''
+
 
# Разархивировать полученный пакет и запустить программу '''cpfox'''
+
* Скачайте браузер с [https://www.cryptopro.ru/products/cpfox сайта КриптоПро], выбрав пункт «Скачать КриптоПро Fox 45 для 64-разрядных Linux (CentOS 6.6+)».
 +
* Разархивируйте полученный пакет.
 +
* Запустите программу ''cpfox''.
 +
 
 +
Для удобства работы с КриптоПро Fox можно создать ярлык для его запуска на рабочем столе:
  
Для удобства работы с КриптоПро Fox можно создать ярлык для его запуска на рабочем столе. Для этого нужно кликнуть по столу правой кнопкой мыши и выбрать
+
* Кликните по столу правой кнопкой мыши.
''Создать-Ссылка на приложение'', в открывшемся окне на вкладке ''Приложение'' указать команду запуска и название ярлыка.  
+
* Выберите пункт '''Создать''' → '''Ссылка на приложение'''.
 +
* В открывшемся окне на вкладке '''Приложение''' укажите команду запуска и название ярлыка.
  
Для проверки правильности установки попробуйте открыть сайт https://cpca.cryptopro.ru
+
Для проверки правильности установки попробуйте открыть сайт https://cpca.cryptopro.ru. Если всё в порядке, вы увидите следующее:
Если все нормально, будет так:
+
  
 
[[Файл:Криптопро8.png]]
 
[[Файл:Криптопро8.png]]
  
обычный же firefox этот адрес открыть не сможет:
+
Обычный же Firefox этот адрес открыть не сможет:
  
 
[[Файл:Криптопро9.png]]
 
[[Файл:Криптопро9.png]]
  
 
== Примечания ==
 
== Примечания ==
Для работы с другими носителями нужно установить модули поддержки нужных устройств. Названия модулей: "cprocsp-rdr-<название_устройства>". К таким модулям относятся (cprocsp-rdr-) emv, esmart, inpaspot, mskey, jacarta, novacard, rutoken.
+
Для работы с другими носителями нужно установить модули поддержки соответствующих устройств. Названия модулей: {{pkg|cprocsp-rdr-<название_устройства>}}. К таким модулям относятся ({{pkg|cprocsp-rdr-}}) {{pkg|emv}}, {{pkg|esmart}}, {{pkg|inpaspot}}, {{pkg|mskey}}, {{pkg|jacarta}}, {{pkg|novacard}}, {{pkg|rutoken}}.

Версия 21:16, 21 ноября 2018

Применимость

В инструкции описана установка СКЗИ КриптоПро CSP 4.0 в ROSA Fresh R7–R10 (RED X2–X3) для работы с электронными ключами Рутокен. Пример приведён для 64-разрядной архитектуры AMD64; для 32-разрядной i586 установка аналогична с точностью до названий установочных пакетов и папок. Для установки нужны навыки работы в файловом менеджере (для KDE-версии это Dolphin) и консоли (Konsole или F4 при работе в Dolphin).

Получение установочных пакетов

Перед установкой СКЗИ КриптоПро CSP 4.0 сначала нужно зарегистрироваться на сайте https://www.cryptopro.ru/ и со страницы загрузки https://www.cryptopro.ru/products/csp/downloads скачать версию 4.0 для Linux в пакете rpm.

Криптопро1.png Криптопро2.png

Установка базовых компонентов КриптоПро

  • Распакуйте загруженный архив. Это можно сделать, выбрав соответствующий пункт меню в графическом интерфейсе или выполнив консольные команды:
cd ~/Загрузки/
tar -xvf linux-amd64.tgz

Должна появиться папка с установочными файлами КриптоПро.

  • В консоли перейдите в эту папку:
cd linux-amd64/

Дальнейшую установку нужно выполнять с правами администратора (root).

  • Выполните в консоли команду перехода в режим администратора (su) и введите пароль.
  • Выполните команды установки:
urpmi -a lsb-core ccid
./install.sh
rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*

Если пароль администратора неизвестен, можно использовать команду sudo ./install.sh, а затем sudo rpm -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-*, введя при этом пароль текущего пользователя (если у него есть на это права).

Для установки в графическом интерфейсе запустите файловый менеджер (например, Dophin) с правами администратора, выполнив следующую команду:

kdesu dolphin

В открывшемся окне щёлкните по файлу install.sh.

Установка пакетов поддержки устройств

Пакеты поддержки токенов/ридеров/плат расширения находятся в архиве КриптоПро CSP; их названия начинаются с cprocsp-rdr-. Если необходимо использовать определённое устройство (например, Рутокен ЭЦП), установите соответствующий пакет:

sudo rpm -ivh cprocsp-rdr-rutoken*

Ещё в архиве есть пакеты с драйверами (ifd-*). Их также следует установить при использовании соответствующих устройств. Например, для Рутокен S:

sudo rpm -ivh ifd-rutokens*

Установка графических компонентов

Если планируется использование Криптопро ЭЦП Browser Plugin (данный этап включён в инструкцию в ссылке), rosa-crypto-tool или других программ и компонентов с графическим интерфейсом, необходимо установить ещё два пакета:

urpmi pangox-compat && rpm -ivh cprocsp-rdr-gui-gtk*

Не следует устанавливать пакет cprocsp-rdr-gui, т. к. в связке с {{pkg|cprocsp-rdr-gui-gtk} он нарушает работу графических компонентов.

Подключение токена к компьютеру

Теперь можно подключить Рутокен к USB-порту компьютера.

Криптопро3.jpg

Для контроля правильности подключения выполните команду lsusb.

Пример правильного вывода:

Криптопро4.png

Подключение и установка КриптоПро

  • Запустите в отдельной консоли программу pcscd с правами администратора (root). В дальнейшем это следует делать через консоль и sudo, хотя можно и через команду su, чтобы не вводить пароль каждый раз. sudo будет индикатором того, что команда требует прав администратора.
sudo pcscd -adfffff

После запуска не закрывайте эту консоль — в ней можно будет видеть, как система взаимодействует со смарт-картой.

  • Откройте ещё одну консоль.
  • Запустите в ней утилиту уже установленного в папку /opt КриптоПро:
/opt/cprocsp/bin/amd64/list_pcsc

Утилита также должна «видеть» устройство:

Криптопро5.png

Установка сертификатов

После установки пакетов появится возможность просматривать контейнеры на устройстве Рутокен. Например, чтобы узнать путь к требуемому контейнеру, выполните:

/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq

Криптопро7.png

Для работы с сертификатами нужно установить сертификат удостоверяющего центра (в данном случае устанавливается непосредственно корневой сертификат) и сертификат Рутокен на локальное хранилище.

  • Загрузите с сайта удостоверяющего центра файл, содержащий корневой сертификат (обычно он имеет расширение .cer или .p7b) и, при необходимости, цепочку сертификатов.
  • Загрузите список отозванных сертификатов (файл с расширением .crl) и установите полученные файлы с помощью команд, аналогичных приведённым ниже.

Установка корневого сертификата удостоверяющего центра:

/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/<название файла>.cer -store uRoot

Установка списка отозванных сертификатов:

/opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Загрузки/<название файла>.crl

Установка цепочки промежуточных сертификатов:

/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/<название файла>.p7b -store CA

Установка сертификата с рутокена:

/opt/cprocsp/bin/amd64/certmgr -inst -cont '<путь к контейнеру, начинающийся на \\.\>' -store uMy

Подробнее о программе certmgr можно узнать здесь.

Примечание. Чаще всего расширение .cer соответствует сертификату, а .p7b — контейнеру, в котором может содержаться один или больше сертификатов (например, их цепочка).

Установка КриптоПро Fox

КриптоПро Fox — версия браузера Firefox, умеющая работать с КриптоПро.

  • Скачайте браузер с сайта КриптоПро, выбрав пункт «Скачать КриптоПро Fox 45 для 64-разрядных Linux (CentOS 6.6+)».
  • Разархивируйте полученный пакет.
  • Запустите программу cpfox.

Для удобства работы с КриптоПро Fox можно создать ярлык для его запуска на рабочем столе:

  • Кликните по столу правой кнопкой мыши.
  • Выберите пункт СоздатьСсылка на приложение.
  • В открывшемся окне на вкладке Приложение укажите команду запуска и название ярлыка.

Для проверки правильности установки попробуйте открыть сайт https://cpca.cryptopro.ru. Если всё в порядке, вы увидите следующее:

Криптопро8.png

Обычный же Firefox этот адрес открыть не сможет:

Криптопро9.png

Примечания

Для работы с другими носителями нужно установить модули поддержки соответствующих устройств. Названия модулей: cprocsp-rdr-<название_устройства>. К таким модулям относятся (cprocsp-rdr-) emv, esmart, inpaspot, mskey, jacarta, novacard, rutoken.