ГОСТ через Контур Диагностика

Материал из ALT Linux Wiki

Шпаргалка по настройке отечественного криптографического стека в ОС "Альт" платформы 11 средствами онлайн-сервиса СКБ "Контур"

СКБ "Контур" предлагает инструментарий для полуавтоматической настройки клиентских рабочих мест.

В целях настройки отечественного криптографического стека (КриптоПро CSP, Рутокен ЭЦП 2.0/3.0 и др.) в ОС "Альт" на 01.11.2025 нас будет интересовать сервис "Контур Диагностика"/"ЭТП и госпорталы" (https://help.kontur.ru/uc), позволяющий в полуавтоматическом режиме настроить компьютер для доступа к различным государственным информационным системам - Госуслуги, ФНС и др.

Использование данного сервиса для настройки компьютера выгодно отличается от других вариантов настройки ОС "Альт" простотой необходимых для достижения результата действий, что важно для обычного "уверенного пользователя ПК".

Статья не является рекламой, здесь лишь описан, предположительно, наиболее простой способ настройки на текущий момент. Также речь не идёт о корректности данного способа настройки. На самом деле, было бы идеально, если бы отечественный криптографический стек (как и прочие специфичные для отечественной сферы ИБ компоненты) был изначально встроен в ОС и, более того, являлся бы, где возможно, свободным ПО. Спасибо.

Настоящая шпаргалка не претендует на полноту и относится к очень узкому набору ПО (SL 11.0, встроенный браузер Chromium), но может быть пригодна и для иных случаев, а также может быть расширена.

Особенностями момента являются:

  1. Зависимость существующих браузеров от OSS-кода Chromium.
  2. Отсутствие оригинального Chromium-Gost (как он представлен на сайте КриптоПро - с интегрированными актуальными для России 4 расширениями) в репозитории p11 (заглушка chromium-gost, перенаправляющая на chromium, им не является).
  3. Отсутствие многих задействованных в процессе настройки компонентов в стабильном репозитории p11 или в ином репозитории, явно рекомендуемом вендором ОС "Альт" для реализации отечественного криптографического стека.
  4. Отсутствие необходимого и достаточного официального набора инструкций вендора в отношении криптографического стека.
  5. Текущий в настоящий момент переход в Chromium (и зависимых браузеров) к манифесту версии 3 и отказу от манифеста версии 2 (на котором были основаны расширения ранее).
  6. Отсутствие на 01.11.2025 на портале Госуслуг нового плагина "Госплагин" (манифест версии 3) для RPM-дистрибутивов и для ОС "Альт", в частности.

В процессе настройки был использован чистый Simply Linux 11.0, обновление 01.11.2025.

  • Открываем: https://help.kontur.ru/uc
  • Скачиваем и устанавливаем предлагаемое расширение "Контур.Расширение".
  • Скачиваем и устанавливаем "Диаг.Плагин (RPM)" (версия актуального плагина может отличаться):
# apt-get install diag.plugin-3.1.2.425-1.x86_64.002622.rpm
  • Обновляем страницу в браузере и приступаем к предлагаемой "настройке компьютера".
    • Важно: Запрашиваемый страницей пароль - пароль текущего пользователя Linux (предположительно, для повышения привилегий должен входить в группу перечисленных в sudoers пользователей, либо функционально аналогичную).
  • Предполагаемый страницей перечень этапов настройки компьютера:
  1. Установка расширения КриптоПро для работы с ЭП
  2. Установка нового расширения КриптоПро для работы с ЭП
  3. Установка расширения для браузера "Госплагин"
  4. Установка пакетов для работы смарт-карт и токенов
  5. Установка библиотеки Рутокен для PKCS11
  6. Установка КриптоПро CSP 5.0 R3
  7. Установка КриптоПро ЭЦП Browser plug-in
  8. Настройка надежных узлов для КриптоПро ЭЦП Browser plug-in
  9. Установка сертификатов УЦ
  10. Установка компонента Контур.Плагин
  11. Установка компонента Контур.Updater
  12. Установка плагина для Портала Госуслуг
  13. Установка личных сертификатов КриптоПро CSP
  • В процессе предлагается перезапустить браузер - перезапускаем, открываем эту же страницу (https://help.kontur.ru/uc).
  • Также в процессе может отдельно предлагаться установить расширения - устанавливаем:
  1. "Расширение КриптоПро для работы с ЭП".
  2. "Новое расширение КриптоПро для работы с ЭП" (Extension for CAdES Browser Plug-in).
  3. "Расширение для браузера "Госплагин"" (Госплагин).
  • Перечень этапов настройки компьютера завершается в целом успешно, однако на 01.11.2025 присутствует ошибка установки плагина Портала Госуслуг, т.к. для ОС "Альт" штатного плагина (как и RPM вообще) порталом не предлагается. Временное решение данной проблемы посредством перепаковки описано ниже.
  • Перезапуск Chromium влечёт предложение удалить устаревшее и уже выключенное расширение "CryptoPro Extension for CAdES Browser Plug-in". Его надо включить.
  • Можно перезапустить Chromium ещё раз, снова открыть https://help.kontur.ru/uc и запустить проверку. Это покажет, что проблема с Госплагином не исчезла (т.к. в ОС "Альт" в существующем виде Госплагин установить невозможно).
  • Для инициализации ПО КриптоПро CSP нужно запустить приложение "Стандартные -> Инструменты для работы с криптографией" (cptools) и выполнить предлагаемые действия.
  • Перезапускаем ОС и проверяем, что в ПО "Инструменты КриптоПро" (cptools), пункт "Контейнеры", ключи из Рутокен ЭЦП 2.0/3.0 отображаются исправно. Заодно устанавливаем сертификаты необходимых для дальнейшей работы ключей.
  • Проверяем работу ЛК Контур (https://auth.kontur.ru) - должен работать.
  • Проверяем работу ЛК ФНС (https://lkfl.nalog.ru) - должен работать.
  • Проверяем работу ЛК Госуслуг (https://esia.gosuslugi.ru) - расширение "Госплагин" предлагает установить соответствующее приложение, однако данное приложение не может быть установлено штатно, т.к. RPM-вариант для ОС "Альт" на 01.11.2025 года отсутствует.
  • Страница входа на Госуслуги (https://esia.gosuslugi.ru/login/) предлагает установить Госплагин:
    • https://www.gosuslugi.ru/landing/gosplugin
    • Версия Госплагина для RPM-систем на 01.11.2025 - отсутствует.
    • Установка Госплагина с помощью EPM (обновите epm, как минимум, до версии 3.64.37). Внимание! Это установка стороннего пакета, отсутствующего в репозиториях ОС Альт, используйте на свой страх и риск!:
   # epm play gosplugin
  • Не забудьте установить соответствующее расширение (расширение для Госплагина) в браузер!
  • Проверяем работу ЛК Госуслуг (https://esia.gosuslugi.ru) - должен работать.
  • Аналогично через epm можно установить плагин для СБИС (если не устанавливается штатными методами):
   # epm play sbis-plugin
  • Изложенная здесь последовательность имеет сильную зависимость от процедуры настройки от СКБ "Контур".
  • Актуальность данной шпаргалки будет исчерпана с изданием госпорталом RPM-версии Госплагина, пригодного для ОС "Альт", его адаптацией СКБ "Контур", переходом всех используемых здесь браузерных расширений на версию 3 манифеста, иными решениями.


Криптография