Rutoken — ALT Linux Wiki

Rutoken — ALT Linux Wiki Сертификаты
Содержание
  1. Esmart token гост[править]
  2. Авторизация на сайте госуслуг[править]
  3. В графическом интерфейсе[править]
  4. Генерирование ключей и получение сертификата[править]
  5. Добавление (запись) сертификатов[править]
  6. Значения pin-кодов на рутокен по умолчанию[править]
  7. Изменение pin-кода[править]
  8. Инициализация токена[править]
  9. Название пакета[править]
  10. Настройка аутентификации[править]
  11. Получение подписанного сертификата[править]
  12. Проверка наличия сертификатов и ключевых пар[править]
  13. Проверка работы рутокен эцп в системе[править]
  14. Проверка работы[править]
  15. Проверка электронной подписи[править]
  16. Просмотр сертификатов[править]
  17. Разблокировка pin-кода[править]
  18. Смена pin-кода[править]
  19. Создание запроса на сертификат[править]
  20. Создание и проверка подписи[править]
  21. Создание ключа[править]
  22. Создание ключевой пары[править]
  23. Создание контейнера[править]
  24. Создание отсоединенной (detached) электронной подписи[править]
  25. Создание присоединенной (attached) электронной подписи[править]
  26. Создание электронной подписи в zip контейнере[править]
  27. Удаление ключа[править]
  28. Удаление объекта[править]
  29. Управление считывателями[править]
  30. Установка «рутокен плагин»[править]
  31. Установка плагина ifcplugin[править]
  32. Утилита pkcs11-tool[править]

Esmart token гост[править]

Для генерации ключей, формирования запроса на сертификат и записи сертификата на ESMART Token ГОСТ можно воспользоваться утилитой PKIClientCli: ESMART#Утилита_PKIClientCli

Авторизация на сайте госуслуг[править]

Для авторизации на сайте Госуслуг с помощью электронной подписи следует:

  1. В браузере Firefox на странице авторизации Госуслуг нажать на ссылку «Вход с помощью электронной подписи»:
    Авторизация на сайте Госуслуг
  2. Подключить токен с ключом к компьютеру, нажать кнопку «Готово»:
    Авторизация на сайте Госуслуг с помощью электронной подписи
  3. Выбрать сертификат ключа проверки электронной подписи, щёлкнув левой кнопкой мыши по строке с сертификатом:
    Выбор сертификата ключа проверки электронной подписи
  4. Ввести Пин-код пользователя и нажать кнопку «Продолжить»:
    Ввод пин-кода

В графическом интерфейсе[править]

Для экспорта файла с запросом на подпись, укажите путь к каталогу, доступному на запись и нажмите кнопку «OK» или «Применить». В указанном каталоге появится файл с именем, состоящим из указанного Общего имени (CN) и расширения .csr.

Отправьте этот файл в удостоверяющий центр для выдачи подписанного сертификата.

Генерирование ключей и получение сертификата[править]

Для получения сертификата необходимо:

  1. Сгенерировать ключ на токене в формате, совместимом с форматом плагина Госуслуг, то есть через библиотеку PKCS#11.
  2. Сформировать запрос на квалифицированный сертификат.
  3. Транспортировать запрос в аккредитованный УЦ (тестовый УЦ не подойдет).
  4. Получить сертификат и записать его на токен в формате, совместимом с форматом плагина Госуслуг, то есть через библиотеку PKCS#11.

Добавление (запись) сертификатов[править]

Добавление сертификата, без привязки к ключам (только проверка ЭЦП):

Ассоциировать сертификат с контейнером, сертификат попадет в пользовательское хранилище uMy:

Запись сертификата клиента в контейнер:

Добавление сертификата УЦ из файла certne_ucw.cer в хранилище машины (с правами root):

Добавление корневых сертификатов из файла cert.p7b (под root):

Необходимо последовательно добавить все сертификаты.

Значения pin-кодов на рутокен по умолчанию[править]

У Рутокен:
PIN-коды Рутокен S/Lite/ЭЦП 2.0, установленные по умолчанию — Пользователь: 12345678; Администратор: 87654321

У Рутокен Web:
PIN на скретч-карте.

Подробнее о КриптоПро: КриптоПро
Для поддержки Рутокен в качестве ключевого носителя в СКЗИ «КриптоПро CSP» необходимо установить модуль поддержки (из архива КриптоПро):

Изменение pin-кода[править]

Для изменения PIN-кода введите команду:

где
pin — текущий PIN-код устройства;
new-pin — новый PIN-код устройства.

Инициализация токена[править]

Внимание! При инициализации все данные с токена будут удалены!

Для инициализации токена следует выполнить команду (необходимо ввести so-pin карты 2 раза или передать его в качестве параметра –so-pin):

Название пакета[править]

alterator-sslkey

Модуль Управление ключами SSL позволяет управлять персональными ключами и сертификатами SSL, используемыми для обеспечения безопасных соединений между узлами (например, для установки соединения по безопасному каналу VPN).

Модуль Управление ключами SSL доступен как в GUI: раздел Система ▷ Управление ключами SSL

Настройка аутентификации[править]

С помощью следующих инструкций можно настроить аутентификацию в системе с помощью сертификата и ключа на Рутокен ЭЦП:

Про сертификаты:  Подарочный сертификат в СПА | Магазин впечатлений и эмоций EVOI

Также с его помощью может быть реализована двухфакторная аутентификация.

Получение подписанного сертификата[править]

Ключ без сертификата будет показан в списке доступных ключей с пометкой «(Нет сертификата)». После получения сертификата (в файле *.cert, *.crt или *.pem) выберите соответствующий ключ, нажмите на кнопку «Изменить…».

Проверка наличия сертификатов и ключевых пар[править]

Просмотреть имеющуюся на токене информацию можно при помощи команды (требуется пароль от токена):

В результате в окне терминала отобразится информация обо всех сертификатах и ключевых парах, хранящихся на Рутокене.

Чтобы открыть сертификат или ключевую пару скопируйте ID необходимого объекта и введите команду:

В результате в окне Терминала отобразится полная информация об указанном объекте.

Чтобы скопировать сертификат в файл введите команду:

Проверка работы рутокен эцп в системе[править]

Проверяем работу токена, он должен быть виден в списке:

Список поддерживаемых механизмов:

$ pkcs11-tool -v --module /usr/lib64/pkcs11/librtpkcs11ecp.so --list-mechanisms
Using slot 0 with a present token (0x0)
Supported mechanisms:
  RSA-PKCS-KEY-PAIR-GEN, keySize={512,2048}, hw, generate_key_pair
  RSA-PKCS, keySize={512,2048}, hw, encrypt, decrypt, sign, verify
  RSA-PKCS-OAEP, keySize={512,2048}, hw, encrypt, decrypt
  MD5, digest
  SHA-1, digest
  GOSTR3410-KEY-PAIR-GEN, hw, generate_key_pair
  GOSTR3410, hw, sign, verify
  mechtype-0x1204, hw, derive
  GOSTR3411, hw, digest
  GOSTR3410-WITH-GOSTR3411, hw, digest, sign
  mechtype-0x1224, hw, wrap, unwrap
  mechtype-0x1221, hw, encrypt, decrypt
  mechtype-0x1222, hw, encrypt, decrypt
  mechtype-0x1220, hw, generate
  mechtype-0x1223, hw, sign, verify
  mechtype-0x1211, sign, verify

Проверка работы[править]

Проверяем работу токена, он должен быть виден в списке:

Просмотреть имеющуюся на токене информацию можно при помощи команды (требуется пароль от токена):

Проверка электронной подписи[править]

Проверка электронной подписи выполняется во вкладке «Проверка».

Просмотр сертификатов[править]

Просмотр сертификатов:

Просмотр сертификатов в локальном хранилище uMy:

Просмотр сертификатов в контейнере:

$ certmgr -list -container '\.Aktiv Rutoken ECP - CP 00 00Rutoken'
Certmgr 1.1 (c) "Crypto-Pro",  2007-2021.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : E=ivanov@mail.mail, CN=Иванов Иван Иванович, SN=Иванов, G=Иван Иванович, C=RU, S=39 Калининградская обл., L=Калининград, STREET=Пр-т Победы 14 кв.3
Serial              : 0x120032F1A2A438324D0C0EFA2900000032F1A2
SHA1 Hash           : 85b37ce3e2fce0f86f7847000eafca0a9c5df274
SubjKeyID           : c16fc96ae4670ac21b219434caae3a9f68b54ca2
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2021 (512 bits)
Not valid before    : 05/03/2021  10:56:32 UTC
Not valid after     : 05/06/2021  11:06:32 UTC
PrivateKey Link     : Certificate from container. No link to key
CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2021_CRYPTO-PRO Test Center 2.crt
OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO Test Center 2.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.4
                      1.3.6.1.5.5.7.3.2
                      1.3.6.1.4.1.311.10.3.12
=============================================================================

[ErrorCode: 0x00000000]

Просмотр корневых сертификатов:

Разблокировка pin-кода[править]

Для того чтобы разблокировать PIN-код необходимо выполнить команду (потребуется ввести so-pin карты, а затем дважды ввести новый PIN-код):

Смена pin-кода[править]

Для смены PIN-кода необходимо выполнить команду (потребуется ввести текущий PIN-код, а затем дважды ввести новый):

Создание запроса на сертификат[править]

Создание запроса на получение сертификата средствами КриптоПро:

Например:

$ cryptcp -creatrqst 
-dn "E=ivanov@mail.mail,CN=Иванов Иван Иванович,SN=Иванов,G=Иван Иванович,C=RU,L=Калининград,ST=39 Калининградская обл.,street=Пр-т Победы 14 кв.3" 
-provtype 80 -nokeygen 
-cont '\.Aktiv Co. Rutoken S 00 00Rutoken' 
-certusage "1.3.6.1.5.5.7.3.4,1.3.6.1.5.5.7.3.2" rutoken.req
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2021.
Утилита командной строки для подписи и шифрования файлов.
Запрос успешно создан и сохранен в файле.
[ErrorCode: 0x00000000]

Запрос на сертификат необходимо подписать в аккредитованном удостоверяющем центре.

Создание и проверка подписи[править]

Для создания электронной подписи файла необходимо указать сертификат и имя подписываемого файла:

$ cryptcp -sign -dn E=ivanov@mail.mail -der my_file.odt 
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2021.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:11223344556, 102301111222, Пр-т Победы 14 кв.3, Калининград, 39 Калининградская обл., RU, ivanov@mail.mail, Иван Иванович, Иванов, Иванов Иван Иванович
Действителен с 27.02.2021 13:41:47 по 27.05.2021 13:51:47

Цепочки сертификатов проверены.
Папка './':
my_file.odt... Подпись данных...    
    
Подписанное сообщение успешно создано.
[ErrorCode: 0x00000000]

На выходе появится файл my_file.odt.sig, содержащий как сам подписываемый файл, так и электронную подпись.
Для проверки прикреплённой подписи выполните команду:

Про сертификаты:  Купить Грунтовка Ceresit CT16, 10 л в Москве, цены, Строительный двор

$ cryptcp -verify my_file.odt.sig
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2021.
Утилита командной строки для подписи и шифрования файлов.

Найдено сертификатов: 2
Цепочки сертификатов проверены.
Папка './':
my_file.odt.sig... Проверка подписи...     
Автор подписи: 11223344556, 102301111222, Пр-т Победы 14 кв.3, Калининград, 39 Калининградская обл., RU, ivanov@mail.mail, Иван Иванович, Иванов, Иванов Иван Иванович
 Подпись проверена.
[ErrorCode: 0x00000000]

Для извлечения файла с данными из файла электронной подписи необходимо указать имя файла, в который будут извлечены данные, в конце команды проверки подписи:

Для создания откреплённой (detached) подписи необходимо заменить ключ -sign на -signf:

Проверка откреплённой подписи:

Внимание! Rutoken S — не является активным ключевым носителем — в нем нет аппаратной поддержки алгоритмов, а для использования RSA в opensc < 0.12 были реализованы выгрузкаприватного (!!!) ключа из Rutoken S и работа с этим ключом через openssl.

Создание ключа[править]

Для создания ключа нажмите кнопку «Новый…». В появившемся окне введите Общее имя (CN), проверьте содержимое полей Страна (C) и Местоположение (L). Остальные поля являются необязательными.

Во всех полях допустимо использование только латинских букв, знаков пунктуации (включая пробелы) и цифр.

После того, как вы заполните поля, установите флажок «(Пере)создать ключ и запрос на подпись», а затем нажмите появившуюся кнопку «Подтвердить». При этом будет сгенерирован новый ключ и файл запроса на подпись.

Создание ключевой пары[править]

Создание ключевой пары по алгоритму ГОСТ-2001 (PIN-код пользователя указывается в опции –pin, или запрашивается, если опцию не задать):

Создание ключевой пары RSA 2048 (запрашивается PIN-код пользователя):

Примечание: Рекомендуемая длина ключа RSA — не ниже 2048 бит.

Примечание: Если у вас уже имеется выписанная на токен ключевая пара RSA с привязанным к ней сертификатом, то вы можете использовать их для аутентификации.

Создание контейнера[править]

Создание контейнера на токене/смарт-карте:

При установленном пакете cprocsp-rdr-gui-gtk будет показано графическое окно, где будет предложено перемещать указатель мыши или нажимать клавиши:

Примечание: Если такой пакет не установлен, будет предложено ввести любые символы с клавиатуры.

После этого необходимо предъявить PIN-код пользователя.

После указания PIN-кода снова будет предложено перемещать указатель мыши.

Проверить наличие контейнеров можно с помощью команды:

Просмотр подробной информации о контейнере:

Удалить контейнер можно с помощью команды:

Создание отсоединенной (detached) электронной подписи[править]

Для создания подписи следует на вкладке «Подпись», в разделе «Документ» нажать кнопку «Выбрать» и выбрать электронный документ. Нажав кнопку «Просмотреть», можно просмотреть содержимое электронного документа.

Примечание: Документ будет выбран автоматически, если программа была запущена из контекстного меню файла

Далее следует выбрать сертификат, которым вы собираетесь подписать документ.

Примечание: Если окно выбора сертификатов пустое, то сертификатов для подписи у вас просто нет, и вам следует установить хотя бы один.

В выпадающем списке «Кодировка» можно выбрать кодировку подписи: base64 (по умолчанию) или DER. В выпадающем списке «Расширение» можно задать расширение для файла цифровой подписи: p7b (по умолчанию), sig или .sign.

Название файла цифровой подписи по умолчанию будет сформировано путем добавления к имени файла информации о текущей дате и времени: гг-мм-дд_чч-мм-сс_<ИМЯ_ФАЙЛА>.p7b. При необходимости это имя можно откорректировать вручную или вернуть к виду по умолчанию, нажав кнопку «Создать имя».

Про сертификаты:  Постановление Правительства РФ от 31.05.2021 N 824 "Об утверждении Положения о проведении экзамена по русскому языку как иностранному, истории России и основам законодательства Российской Федерации" (с изменениями и дополнениями) | ГАРАНТ

Для генерации электронной подписи следует нажать кнопку «Подписать».

В открывшемся окне необходимо ввести пароль на контейнер, если он был установлен, и нажать кнопку «ОК».

В результате успешного создания электронной подписи в поле «Результат» появится сообщение «Ошибок не обнаружено».

Сформированный файл подписи по умолчанию будет сохранен в тот же каталог, в котором находится файл с исходными данными.

Создание присоединенной (attached) электронной подписи[править]

Для создания присоединенной подписи необходимо при создании электронной подписи в разделе «Подпись» установить отметку в поле «Присоединённая подпись»:

В том же каталоге, в котором хранился исходный документ, появится файл содержащий как саму электронную подпись, так и исходный документ (в данном примере 21-09-30_09-58-58_test.pdf.p7b).

Создание электронной подписи в zip контейнере[править]

ALT CSP КриптоПро позволяет объединить электронный документ и соответствующую ему электронную подпись в контейнер электронного документа (<ИМЯ_ФАЙЛА>.signed.zip), представляющий собой zip-архив.

Для создания контейнера необходимо при создании электронной подписи нажать кнопку «Подписать и сжать».

В результате создания электронной подписи, будет сформирован контейнер с именем doc.odt.signed.zip, в который будут перемещены файл электронного документа (doc.odt) и файл электронной подписи (21-09-30_09-16-10_doc.odt.p7b).

Удаление ключа[править]

Ключ SSL с сертификатом показывается со сроком действия выданного сертификата. Если вы хотите удалить ключ и сертификат, выберите ключ в списке, установите флажок «Удалить ключ, сертификат и запрос на подпись» и нажмите появившуюся кнопку «Подтвердить».

Удаление объекта[править]

Для удаления объекта необходимо указать его тип и идентификатор (id) или название (label). Открытый и закрытый ключ удаляются отдельно.

Типы объектов:

  • privkey – закрытый ключ;
  • pubkey – открытый ключ;
  • cert – сертификат.

Управление считывателями[править]

Проверка видимости токена:

Просмотр доступных считывателей:

Инициализация считывателя Aktiv Co. Rutoken S 00 00 (требуется, если считыватель есть в списке видимых считывателей и отсутствует в списке настроенных), в параметре -add указывается имя, которое было получено при просмотре видимых считывателей, в параметре -name — удобное для обращения к считывателю имя, например, Rutoken (под правами root):

Установка «рутокен плагин»[править]

Рутокен Плагин представляет собой решение для электронной подписи, шифрования и двухфакторной аутентификации для Web- и SaaS-сервисов.
Плагин необходим для связи USB-устройств c браузером, он позволяет опознавать и работать с ними. Для того чтобы установить плагин, необходимо загрузить соответствующий установочный файл и запустить его

Чтобы установить «Рутокен плагин» необходимо:

  1. Загрузить «Рутокен плагин» со страницы по ссылке (выбрать пакет формата «rpm»):
    Загрузка «Рутокен плагин»
  2. Установить «Рутокен плагин». Для этого в контекстном меню скаченного файла выбрать пункт «Открыть в Установка RPM». В открывшемся окне нажать кнопку «Установить»:
    Установка пакетов RPM
    Ввести пароль администратора системы и нажать кнопку «ОК»:
    Ввод пароля администратора системы
    В открывшемся окне нажать кнопку «Установить»:
    Установка пакетов RPM
    Или установить «Рутокен плагин», выполнив из папки с загруженным пакетом команду (под правами root):
  3. Перезапустить браузер.
  4. Убедиться, что плагин установлен и включен. Сделать это можно на странице about:addons (или about:plugins в более ранних версиях Mozilla Firefox):
    Рутокен плагин

Установка плагина ifcplugin[править]

Для установки плагина для работы с порталом государственных услуг необходимо:

Утилита pkcs11-tool[править]

Должны быть установлены пакеты:

В состав opensc входит универсальная утилита pkcs11-tool, которой можно «подложить», например, библиотеку PKCS#11 для работы с Рутокен ЭЦП 2.0 и с ее помощью «управлять» Рутокенами.

Оцените статью
Мой сертификат
Добавить комментарий