ЕСИА

Материал из ALT Linux Wiki
Stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Доступ к сайту Госуслуг

Для аутентификации через ЕСИА (https://esia.gosuslugi.ru/) потребуется токен с парой ключей и сертификатом, а также плагин для работы с порталом государственных услуг IFCPlugin.

Генерирование ключей и получение сертификата

Для получения сертификата необходимо:

  1. Сгенерировать ключ на токене в формате, совместимом с форматом плагина Госуслуг, то есть через библиотеку PKCS#11.
  2. Сформировать запрос на квалифицированный сертификат.
  3. Транспортировать запрос в УЦ.
  4. Получить сертификат и записать его на токен в формате, совместимом с форматом плагина Госуслуг, то есть через библиотеку PKCS#11.

Рутокен ЭЦП 2.0

Для генерации ключей, формирования запроса на сертификат и записи сертификата на Рутокен ЭЦП можно воспользоваться ПО «Рутокен плагин», (работает через библиотеку PKCS#11 и совместим с плагином Госуслуг) и ПО «Центр регистрации Рутокен» ra.rutoken.ru.

Установка «Рутокен плагин»

Чтобы установить «Рутокен плагин» необходимо:

  1. Загрузить «Рутокен плагин» можно со страницы по ссылке (выбрать пакет формата «rpm»):
    Загрузка «Рутокен плагин»
  2. Установить «Рутокен плагин», выполнив из папки с загруженным пакетом команду (под правами root):
    # apt-get install libnpRutokenPlugin*
    
  3. Перезапустить браузер.
  4. Убедиться, что плагин установлен и включен. Сделать это можно на странице about:addons (или about:plugins в более ранних версиях Mozilla Firefox):
    Рутокен плагин

Проверить работу плагина можно на площадке: http://demobank.rutoken.ru/

Генерация пары ключей и формирование запроса на сертификат

Для генерации пары ключей и формированию запроса на сертификат с помощью ПО «Центр регистрации Рутокен» следует:

  1. Зайти на сайт «Центр регистрации Рутокен» https://ra.rutoken.ru:
    Центр регистрации Рутокен
  2. Подключить Рутокен ЭЦП к компьютеру, выбрать токен, ввести PIN-код пользователя:
    Запрос PIN-кода
  3. Нажать кнопку «Создать ключ»:
    Интерфейс «Центра регистрации Рутокен»
  4. Ввести идентификатор и маркер ключа (опционально), выбрать тип ключа и алгоритм шифрования, затем нажать кнопку «Сгенерировать ключи»:
    Создание ключей
    Появится сообщение, о том, что ключи созданы:
    Ключи созданы
  5. Нажать кнопку «Создать заявку на сертификат».
  6. На странице создания запроса заполнить поля запроса, нажать кнопку «Создать запрос» (показан пример заполнения полей для физ.лица):
    Создание запроса на сертификат
  7. После того, как запрос будет создан, сохранить его на диске, нажав кнопку «Сохранить на диске», или скопировать в буфер обмена, нажав кнопку «Скопировать в буфер обмена»:
    Запрос создан и подписан
  8. Отправить запрос в удостоверяющий центр.
  9. После получения сертификата, на странице «Центр регистрации Рутокен» https://ra.rutoken.ru нажать кнопку «Добавить к ключам сертификат» или выбрать пару ключей и нажать кнопку «Добавить сертификат»
    Добавление сертификата
  10. В открывшемся окне загрузить файл с сертификатом, нажав кнопку «Выбрать», или вставить сертификат из буфера обмена, нажав кнопку «Вставить из буфера обмена», и нажать кнопку «Связать»:
    Добавление сертификата пользователя
    Добавление сертификата пользователя
  11. Сертификат отобразится в списке:
    Контейнер с сертификатом
Примечание: Данные сертификата должны быть в формате PEM или Base64. Если вы получили сертификат в другом формате, его можно конвертировать в нужный формат, выполнив команду:
$ openssl x509 -inform der -in cert.cer -out cert.pem


JaCarta

ESMART Token ГОСТ

Утилита PKIClientCli предназначена для работы с картами ESMART Token.

  1. Установить пакеты isbc-pkcs11 и isbc-pkcs11-utils:
    # apt-get install isbc-pkcs11 isbc-pkcs11-utils
    
  2. Подключить ESMART Token ГОСТ к компьютеру.
  3. Проинициализировать токен, выпонив команду:
    $ PKIClientCli init --sopin 12345678 --label EsmartToken
    Success
    
    где 12345678 — Admin PIN для смарт-карты или USB токена;
    EsmartToken — метка токена.
  4. Сгенерировать пару ключей в соответствии со стандартом ГОСТ 34.10-2001:
    $ PKIClientCli genkey
    Please enter PIN (User PIN):
    
    будет запрошен PIN пользователя.
  5. Сгенерировать запрос на подпись сертификата:
    $ PKIClientCli csr --pin 12345678 --pubkeyid 7c4f964476cfe --path file.tmpl > ~/my-esmart-1.csr
    

Установка плагина IFCPlugin

Для установки плагина для работы с порталом государственных услуг необходимо:

  1. Загрузить плагин со страницы https://ds-plugin.gosuslugi.ru/plugin/upload/ (по умолчанию начнется скачивание deb-пакета, но на странице доступны и rpm-пакеты: rpm пакет 64-bit и rpm пакет 32-bit:
    Загрузка плагина Госуслуг
  2. Установить плагин, выполнив из папки со скачанным плагином команду (под правами пользователя root):
    # apt-get install IFCPlugin*
    
  3. Перезапустить браузер.
  4. Убедиться, что плагин установлен и включен. Сделать это можно на странице about:addons (или about:plugins в более ранних версиях Mozilla Firefox):
    Расширение для плагина Госуслуг
Примечание: Для Chromium нужно ещё сделать под root
mkdir /etc/chromium/native-messaging-hosts
ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/


Для того, чтобы увиделись сертификаты КриптоПро (на 64-битных системах), добавьте в файл /etc/ifc.cfg:

  { name  = "CryptoPro CSP";
    alias = "cproscp";
    type  = "pkcs11";
    alg   = "gost2001";
    model = "CPPKCS 3";
    lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so.4.0.4";
    skip_pkcs11_list = "false";
  },

Журнал работы плагина можно найти в файле /var/log/ifc/engine_logs/engine.log.

Авторизация на сайте Госуслуг

Для авторизации на сайте Госуслуг с помощью электронной подписи следует:

  1. В браузере Firefox на странице авторизации Госуслуг нажать на ссылку «Вход с помощью электронной подписи»:
    Авторизация на сайте Госуслуг
  2. Подключить токен с ключом к компьютеру, нажать кнопку «Готово»:
    Авторизация на сайте Госуслуг с помощью электронной подписи
  3. Выбрать сертификат ключа проверки электронной подписи, щёлкнув левой кнопкой мыши по строке с сертификатом:
    Выбор сертификата ключа проверки электронной подписи
  4. Ввести Пин-код пользователя и нажать кнопку «Продолжить»:
    Ввод пин-кода