Аутентификация на сетевом оборудовании через SSH с помощью публичных ключей / Блог компании Инфосистемы Джет / Хабр

Аутентификация на сетевом оборудовании через SSH с помощью публичных ключей / Блог компании Инфосистемы Джет / Хабр Сертификаты
Содержание
  1. Введение.
  2. Почему возникает ошибка при генерации ключа егаис?
  3. Введение
  4. Настройка доступа в личный кабинет ЕГАИС.
  5. Получение ключа доступа (RSA сертификата) для организаций и ИП.
  6. Получение ключа доступа (RSA сертификата) для транспортного средства.
  7. Загрузка универсального транспортного модуля (УТМ).
  8. Добавление контрагентов.
  9. Выгрузка журнала учёта розничной продажи.
  10. Добавление номенклатуры.
  11. Переотправка ТТН и актов.
  12. Cisco nexus 9.3
  13. Huawei usg (6000)
  14. Mac os x
  15. Putty
  16. Securecrt
  17. Генерирование rsa-пары в securecrt
  18. Генерирование публичных ключей на mac os x средствами операционной системы
  19. Использование секретного ключа для подключения по ssh
  20. Исправление ошибок при генерации rsa ключа егаис
  21. Конвертирование rsa-ключа из формата putty private key (putty) в формат openssh (securecrt)
  22. Конвертирование rsa-ключа из формата vandyke private key (securecrt) в формат putty private key (putty)
  23. Общие рекомендации для успешной генерации транспортного rsa ключа егаис
  24. Ошибка в методе createcertificaterequest error: ckr_pni_incorrect
  25. Получить rsa-ключ | сбис помощь
  26. Применение публичного ключа на оборудовании
  27. Создание публичного rsa-ключа
  28. Список источников:
  29. Заключение
  30. . Заключение.

Введение.

В инструкции содержится информация о том, как настроить доступ в личный кабинет ЕГАИС, а также будут рассмотрены все его возможности: получение RSA сертификата для организации, ИП и транспортного средства, добавление контрагентов и номенклатуры, выгрузка журнала розничной продажи, переотправка ТТН и актов.

Перед настройкой доступа к личному кабинету ЕГАИС, нужно убедиться, что для аппаратного ключа Рутокен ЭЦП 2.0 или JaCarta-2 SE установлен соответствующий драйвер (Панель управления Рутокен или Единый клиент JaCarta), а также записан и действует ГОСТ сертификат, полученный в аккредитованном удостоверяющем центре (УЦ):

Список таких УЦ можно посмотреть на сайте Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.

Почему возникает ошибка при генерации ключа егаис?

Ошибка при генерации транспортного ключа для ЕГАИС иногда возникает из-за неполадок
на сайте ЕГАИС. Но это происходит крайне редко.

В основном ошибки при генерации связаны с некорректными настройками компьютера.

Введение

Кроме стандартной аутентификации по паролю (password/keyboard) в протоколе SSH существует также аутентификация по публичному ключу (RSA).

Для справки

RSA (

https://ru.wikipedia.org/wiki/RSA

) — криптографический алгоритм с открытым ключом. Существует публичный открытый ключ (public key) и частный секретный ключ (private key). Обычно они используются для шифрования или цифровой подписи: сообщение зашифровывается с помощью открытого ключа и расшифровывается с помощью секретного ключа. То есть прочитать сообщение может только владелец частного ключа. Сообщение можно подписать контрольной суммой с использованием частного ключа, а любой обладатель открытого ключа сможет убедиться, что сообщение было зашифровано с помощью секретного ключа.


Аутентификация с помощью RSA-ключей состоит из нескольких этапов:

Почему только RSA? Почему не DSA? К сожалению, ответа на этот вопрос я не нашел (и не особо искал). Но официально на оборудовании Cisco поддерживается только RSA.

Документ Secure Shell Configuration Guide, Cisco IOS Release 15E:

Secure Shell Configuration Guide, Cisco IOS Release 15E
Restrictions for Secure Shell Version 2 Support
Rivest, Shamir, and Adleman (RSA) key generation is an SSH server-side requirement. Devices that act as SSH clients need not generate RSA keys.

Попытка ввести данные DSA-ключа:

Настройка доступа в личный кабинет ЕГАИС.

Доступ в личный кабинет возможен при соблюдении следующих условий:

  • Использование браузера Internet explorer версии 9 и выше.
  • Наличие установленного программного компонента ФСРАР-Крипто 3.
  • Подключенный аппаратный ключ.

Получение ключа доступа (RSA сертификата) для организаций и ИП.

Для каждого обособленного подразделения организации, а также ИП, формируется уникальный ключ доступа, который используется УТМ для защищённого соединения с ЕГАИС.

Чтобы получить такой ключ для продуктивного контура нужно перейти в раздел “Получить ключ доступа”. В данном разделе содержатся ссылки на различную документацию, а также отображаются все зарегистрированные места осуществления деятельности. Для каждого места можно сформировать RSA сертификат и перенести остатки на другой КПП:

Информация о переносе остатков содержится в “Инструкции по запросу доступа для переноса остатков алкогольной продукции”.

Если нужное подразделение организации или ИП не отображается в списке, то его можно добавить в разделе “Контрагенты”.

Для формирования ключа доступа нужно нажать кнопку “Сформировать ключ” и в появившемся окне указать ПИН-коды RSA и ГОСТ, подтвердить достоверность указанных сведений (поставить галочку) и нажать кнопку “Сформировать ключ”:

Появится еще один запрос ПИН-кода RSA, нужно его ввести и нажать кнопку “Ок”:

В течение нескольких минут сертификат будет сформирован и записан на аппаратный ключ (браузер Internet explorer на это время может зависнуть):

Для получения RSA сертификата для тестового контура ЕГАИС, нужно перейти в раздел “Тестовый транспортный модуль”, в нижней части страницы развернуть список “Получить тестовый RSA ключ”, выбрать нужную запись и нажать кнопку “Сформировать ключ”:

В появившемся окне нужно ввести ПИН-код RSA и нажать кнопку “Сформировать ключ”:

Про сертификаты:  Экологический сертификат соответствия

Появится окно, в котором нужно ещё раз ввести ПИН-код для начала процесса формирования и записи сертификата.

На аппаратном ключе должен отображаться записанный RSA сертификат. Для Рутокен ЭЦП 2.0, например, нужно запустить программу Панель управления Рутокен, перейти на вкладку “Сертификаты”. В списке должен быть сертификат с именем, состоящим из 12 цифр, которые являются идентификатором организации в ФСРАР (ФСРАР ИД):

Срок действия RSA сертификата составляет 1 год. По окончании действия его нужно повторно записать.

Получение ключа доступа (RSA сертификата) для транспортного средства.

В разделе “Получить ключ для транспортного средства” можно записать RSA сертификаты для транспортных средств, которые используются для перевозки этилового спирта и спиртосодержащей продукции на территории РФ. Для этого нужно выбрать транспорт и нажать кнопку “Направить запрос в МРУ”:

После обработки запроса системой надпись на кнопке изменится на “Сформировать ключ”. После этого можно приступить непосредственно к записи RSA сертификата для продуктивного контура, аналогично, как и для организации или ИП.

Для получения тестового RSA сертификата для транспортного средства, нужно перейти в раздел “Получить тестовый ключ для транспортного средства”, выбрать из списка транспорт и нажать кнопку “Сформировать ключ” для записи сертификата на аппаратный ключ:

Загрузка универсального транспортного модуля (УТМ).

Ссылки для скачивания УТМ для продуктивного контура находятся в разделе “Транспортный модуль”. Доступны версии для операционных систем Windows, Debian, Ubuntu. Также в этом разделе находятся ссылки на различную документацию к УТМ:

Дистрибутивы УТМ для тестового контура и документация к нему доступны в разделе “Тестовый транспортный модуль”:

Также ссылки для скачивания УТМ и документации доступны на этом сайте в разделе УТМ.

Добавление контрагентов.

Добавить контрагента в ЕГАИС можно в разделе “Контрагенты”. Для этого нужно нажать соответствующую кнопку, заполнить и сохранить необходимые реквизиты:

После добавления контрагента, он будет отображаться в таблице. Информация о нём проверяется в ФНС. По окончанию проверки статус в таблице изменится на “Подтверждена ФНС” и контрагент будет добавлен в ЕГАИС:

Выгрузка журнала учёта розничной продажи.

Для розничных организаций, использующих технические средства для отправки сведений о реализуемой алкогольной продукции в ЕГАИС, автоматически формируется журнал учёта розничной продажи. Для его выгрузки необходимо перейти в раздел “Журнала учёта розничной продажи”, указать КПП, дату и нажать кнопку “Открыть”:

В остальных случаях данный журнал введётся вручную или с использованием сторонних программных средств.

Добавление номенклатуры.

Для добавления номенклатуры в справочник алкогольной продукции ЕГАИС нужно предварительно зарегистрировать её в Федеральном реестре алкогольной продукции (ФРАП) для получения регистрационного номера (кода реестра). После этого в разделе “Добавление номенклатуры” нужно указать ИНН и КПП и нажать кнопку “Проверить”:

Далее необходимо выбрать, является ли продукция иностранной:

На следующем этапе нужно внести информацию о новой продукции:

Для этого нужно указать регистрационный номер ФРАП и нажать кнопку “Проверить номер ФРАП”. После проверки номера в поля “Полное наименование” и “Код вида продукции” автоматически загрузится информация из ФРАП. Останется только заполнить поля “Краткое наименование”, “Крепость” и, в случае, если продукция является фасованной, “Ёмкость”.

Переотправка ТТН и актов.

Для повторного получения ТТН или акта по ней необходимо перейти в раздел “Переотправка накладных/актов”, в котором достаточно указать ФСРАР ИД получателя документа и идентификатор ТТН в ЕГАИС:

После этого нужно нажать кнопку “Отправить ТТН” или “Отправить акт” для повторного получения ТТН или акта соответственно.

Cisco nexus 9.3


Вариант 1: предустанавливаем файл публичного ключа на устройство и привязываем файл публичного ключа к пользователю.

Huawei usg (6000)

Конфигурация полностью аналогична настройкам на маршрутизаторе, но имеет некоторые особенности.

По умолчанию уровень привилегий после журналирования с использованием сертификатов равен 0 и повышению не поддается. Поэтому уровень приоритета задается с помощью

Mac os x


Настройка стандартного клиента для использования публичных ключей:

Putty

В настройках SSH (Connection → SSH → Auth) в поле “Private key file for authentication” укажите файл Putty Private Key (*.ppk):

Securecrt

В окне настроек SSH есть список Authentication. В нём необходимо увеличить приоритет PublicKey до самого высокого — сделать верхним в списке.

Затем перейдите в параметры PublicKey и выберите файл приватного ключа. Самый верхний переключатель позволяет использовать глобальные настройки секретного ключа или сеансовые настройки — другой секретный ключ (ключ не по умолчанию) — только для этого подключения.


Настраиваем глобальный публичный ключ: в меню Options → Global options → Категория SSH2.

Генерирование rsa-пары в securecrt

SecureCRT → Tools → Create Public Key…:

Чуть-чуть теории → кнопка “Next >”:

Тип сертификата RSA/DSA → Выбираем RSA → кнопка “Next >”:

Генерирование публичных ключей на mac os x средствами операционной системы


Будем использовать встроенную утилиту ssh-keygen (man ssh-keygen).

Про сертификаты:  Сертификат взрывозащиты зависит от группы взрывозащищенности | RoTEST

Генерируем RSA-ключ с длиной 2048 бит с указанием имени ключа, путем к папке с местом хранения ключа:

Использование секретного ключа для подключения по ssh

Этот раздел посвящен настройке SSH-клиентов для аутентификации по RSA-ключам на сетевом оборудовании (или другом оборудовании, при условии, что оборудование и ПО поддерживает аутентификацию по публичным ключам).

Мы рассмотрим настройку использования публичного ключа в самых популярных программах: SecureCRT и PuTTY.

Исправление ошибок при генерации rsa ключа егаис

Исправление типичных ошибок при генерации RSA ключа ЕГАИС

При генерации RSA ключа (транспортного ключа) в личном кабинете ЕГАИС  могут возникать ошибки.

Попробуем разобрать типовые ошибки, которые возникают при генерации транспортных RSA ключей ЕГАИС.

Почему возникает ошибка при генерации ключа ЕГАИС?

Ошибка при генерации транспортного ключа для ЕГАИС иногда возникает из-за неполадок на сайте ЕГАИС. Но это происходит крайне редко.

В основном ошибки при генерации связаны с некорректными настройками компьютера.

Общие рекомендации для успешной генерации транспортного RSA ключа ЕГАИС

Необходимые требования и рекомендации:

  • Для корректной работы в личном кабинете ЕГАИС рекомендуется отключить все защитники и антивирусные программы на компьютере
  • Операционная система должна быть MS Windows и свежее чем XP (подойдет Vista/7/8/8/1/10, серверные ОС тоже поддерживаются, начиная с 2008). Крайне желательно наличие установленных актуальных обновлений.
  • Браузер Internet Explorer версии не ниже, чем 9.
  • Установлена актуальная версия крипто плагина ФСРАР Крипто (версия не ниже чем 2.00). 
  • Установлены и настроены драйвера носителя для ЕГАИС.
  • Во время работы в личном кабинете ЕГАИС и при работе УТМ ЕГАИС должен быть вставлен только один ключ для ЕГАИС.

Ошибка при генерации RSA ключа “Выберете устройство чтения смарт карт…”

Если при генерации ключа ЕГАИС вместо окна запроса пин-кода Вы увидели окно “Выберете устройство чтения смарт карт” или “Обнаружена смарт-карта, но она не может использоваться для текущей операции…” или “Смарт-карта не может выполнить запрошенную операцию либо операция требует другой смарт-карты”, значит нужно скорректировать настройки компьютера.

Аутентификация на сетевом оборудовании через SSH с помощью публичных ключей / Блог компании Инфосистемы Джет / Хабр

Данная ошибка возникает в результате некорректных настроек на ПК, запрещающие формировать ключ.

Если Вы используете носитель Рутокен ЭЦП 0, то вам необходимо выполнить следующие операции:

Выберите пункт Панель управления Рутокен (можно запустить через ярлык на рабочем столе, меню Пуск – Программы (или Все программы) – Рутокен – Панель управления Рутокен).

Перейдите на вкладку «Настройки» и выберите пункт «Настройка…»

Аутентификация на сетевом оборудовании через SSH с помощью публичных ключей / Блог компании Инфосистемы Джет / Хабр

Установите напротив строки Рутокен ЭЦП значение Microsoft Base Smart Card Crypto Provider.

Аутентификация на сетевом оборудовании через SSH с помощью публичных ключей / Блог компании Инфосистемы Джет / Хабр

Пробуйте сгенерировать транспортный ключ ЕГАИС еще раз.

Если не получилось – сделайте перенастройку еще раз. Выберете другой криптопровайдер, нажмите ОК, и снова выберете Microsoft Base Smart Card Crypto Provider.

Если опять не получилось – обновите драйвер для Рутокен ЭЦП. Скачать драйвер можно с сайта разработчика. После обновления проверьте настройки криптопровайдера и пробуйте еще раз.

В крайне редких случаях, если генерация ключа не проходит, помогает утилита восстановления работоспособности Рутокен(позволяет правильно определить драйвера носителя в системе).

Ошибка в методе createCertificateRequest Error: CKR_PNI_INCORRECT

В данной ошибке указано, что неверно введен пин-код. 

Аутентификация на сетевом оборудовании через SSH с помощью публичных ключей / Блог компании Инфосистемы Джет / Хабр

Проверьте правильность ввода пин-кодов. Если на вашем носителе установлен пин-код по умолчанию. Напоминаем стандартные пин коды:

  • для JaCrata пин RSA – 11111111, пин ГОСТ – 0987654321
  • для Рутокен пин RSA – 12345678, пин ГОСТ – 12345678

В случае, когда не проходит стандартный пин код, возможно они у вас были заменены на нестандартные пароли или скорее всего носитель заблокировался. В данной ситуации для разблокировки носителя обратиться в удостоверяющие центр, где был изготовлен данный ключ.

Ошибка в методе createCertificateRequest Error: CKR_ATTRIBUTE_TYPE_INVALID

Такая ошибка была нами зафиксирована при использовании ключа JaCarta SE.

Аутентификация на сетевом оборудовании через SSH с помощью публичных ключей / Блог компании Инфосистемы Джет / Хабр

Для исправления ошибки необходимо инициализировать раздел PKI на носителе. Для этого откройте Единый клиент JaCarta желательно включить интерфейс Администратора (снизу слева кнопка “Переключиться в режим администрирования”).

Перейдите вверху во вкладку PKI и нажмите “Инициализировать”. При запросе пин-кода введите пин-код Администратора 00000000, пин-код Пользователя 11111111.

После успешной инициализации попробуйте снова сгенерировать транспортный ключ.

Конвертирование rsa-ключа из формата putty private key (putty) в формат openssh (securecrt)

Чтобы использовать в SecureCRT RSA-ключи, которые сгенерированы в PuTTYgen и сохранены в формате Putty Private Key (*.ppk), экспортируем их с помощью PuTTYgen в формат OpenSSH:

  1. Запускаем PuTTYgen.
  2. Загружаем существующий RSA-ключ в формате Putty Private Key (*.ppk) → Кнопка “Load”.
  3. Сохраняем файл публичного ключа → “Save public key”.
  4. Экспортируем секретный ключ в формат OpenSSH: меню PuTTYgen → “Conversions” → “Export OpenSSH key”.
  5. Используем в SecureCRT файлы в формате OpenSSH. Файл с публичным ключом имеет расширение .pub, файл с секретным ключом не имеет расширения.

Конвертирование rsa-ключа из формата vandyke private key (securecrt) в формат putty private key (putty)

Чтобы использовать в PuTTY RSA-ключи, которые сгенерированы в SecureCRT и сохранены в формате VanDyke Private Key (файл публичного ключа — *.pub, файл секретного ключа *. (без расширения)), экспортируем их с помощью SecureCRT в формат OpenSSH, а затем с помощью PuTTYgen экспортируем в формат Putty Private Key (*.ppk):

  1. Запускаем SecureCRT.
  2. Меню “Tools” → “Convert Private Key to OpenSSH format…”
  3. Выбираем исходный файл с ключами VanDyke Private Key.
  4. Сохраняем OpenSSH-ключи с новым именем.
  5. Запускаем PuTTYgen.
  6. Загружаем существующий RSA-ключ в формате OpenSSH (*.): PuTTYgen Menu → “Conversions” → “Import key”.
  7. Сохраняем файл в формате Putty: “Save private key”.
Про сертификаты:  Инструкция по установке сертификата удостоверяющего центра, выдавшего ЭЦП

Общие рекомендации для успешной генерации транспортного rsa ключа егаис


Для успешной генерации транспортных ключей на сайте ЕГАИС необходимо соблюсти некоторые требования и рекомендации:

Для настройки рабочего места для доступа личный кабинет ЕГАИС Вы можете воспользоваться нашей статьей.

Ошибка в методе createcertificaterequest error: ckr_pni_incorrect

В этой ошибке прямым текстом, правда по иностранному, написано, что неверно введен пин-код. 

Проверьте правильность ввода пин-кодов. Если на вашем носителе установлен пин-код по умолчанию. и Вы его не помните, то напоминаем:

  • для JaCrata пин RSA – 11111111, пин ГОСТ – 0987654321
  • для Рутокен пин RSA – 12345678, пин ГОСТ – 12345678


Если не подходят стандартные пин-коды и пин-код, который установили Вы, то скорее всего носитель заблокировался. Для разблокировки носителя обратитесь к тому, у кого получали ключи, должны помочь.

Если Вы самостоятельно не можете справится с пин-кодом для ключа ЕГАИС – обратитесь к нашим специалистам (достаточно просто написать в чат на сайте). Обычно мы справляемся с этой задачей за 5-15 минут.

Получить rsa-ключ | сбис помощь

Получить RSA-ключ

Для работы в системе ЕГАИС помимо электронной подписи требуется RSA-ключ. Получить его можно в личном кабинете ЕГАИС. Для входа используйте браузер Internet Explorer 11 версии.

Если не удалось войти в личный кабинет ЕГАИС или на компьютере установлена операционная система Windows XP, которая не поддерживает браузер Internet Explorer 11 версии, сгенерируйте RSA-ключ через УТМ.

Нашли неточность? Выделите текст с ошибкой и нажмите ctrl enter.

Применение публичного ключа на оборудовании

Как на различном оборудовании привязать открытый ключ к пользователю?

Процесс привязки публичного ключа к пользователю не стандартный и меняется от оборудования к оборудованию, поэтому приведены примеры для каждого типа оборудования, которое чаще всего применяется в сети.

Создание публичного rsa-ключа


Пару RSA-ключей можно создать с помощью различных утилит: SecureCRT, PuTTYgen или любым другим ПО. При создании ключа можно задать Passphrase (защита ключа с помощью пароля).

Список источников:

  1. Википедия RSA
  2. Conversion from Putty to SecureCRT with auth. keys, SecureCRT Forum
  3. Secure Shell Configuration Guide, Cisco IOS Release 15E
  4. Скачивание PuTTYgen
  5. Huawei, официальная документация — описание различных форматов ключей для импортирования на маршрутизатор Huawei
  6. Huawei USG 6000, настройка аутентификации по публичным ключам (CLI: Example for Logging In to the CLI Using STelnet (RSA Authentication))
  7. Nexus 9000 Configuration guide SSH public key
  8. man ssh-keygen — всё про генерацию ключей на mac os x.
  9. SSH config file на MAC OS X
  10. Как указывать другой публичный ключ в параметрах SSH
  11. Как указывать сторонний публичный ключ в параметрах SSH config
  12. Как преобразовать openssh public key в формат RFC4716

Заключение

RSA-ключи могут использоваться для замены аутентификации по паролю, но не во всех случаях:

Незащищенные паролем публичные ключи удобно применять в стендовом оборудовании. Недостаток: приходится рассылать коллегам и партнерам связку приватных и публичных ключей.

На некотором оборудовании одному пользователю может соответствовать несколько пар публичных ключей, на другом оборудовании одному пользователю соответствует только один публичный ключ.

Также разнятся форматы, в которых хранится пара из публичного и секретного ключа. Но это руководство поможет вам экспортировать ключи в разные форматы.

Сегодня оптимально использовать ключи длиной 2048 бит, но для некоторого оборудования это максимально возможная длина ключа (быть может, в новых прошивках это исправят). Например:

[R1]rsa peer-public-key test-key2 encoding-type pem
Enter "RSA public key" view, return system view with "peer-public-key end".
NOTE: The number of the bits of public key must be between 769 and 2048.
[R1-rsa-public-key]


Рекомендуется использовать публичные ключи для замены паролей, если пароли вводятся с помощью скриптов (пример: autologon в SecureCRT).

Рекомендуется использовать публичные ключи для защиты от передачи пароля по сети.

Некоторое ПО по умолчанию использует публичные ключи для аутентификации по SSH вместо пароля (пример: Ansible).

. Заключение.

В данной инструкции были подробно описаны все основные возможности личного кабинета ЕГАИС на данный момент. По мере внесения различных изменений в его функциональность, данная статья будет обновляться.

Оцените статью
Мой сертификат
Добавить комментарий