КриптоПро: различия между версиями
| Строка 72: | Строка 72: | ||
{{Note|При создании контейнера будет дважды запрошен пароль для экспорта. По соображениям безопасности вводимые символы не показываются. После ввода каждого пароля нажимайте Enter.}} | {{Note|При создании контейнера будет дважды запрошен пароль для экспорта. По соображениям безопасности вводимые символы не показываются. После ввода каждого пароля нажимайте Enter.}} | ||
Проверка созданного контейнера (при запросе введите пароль, введённый в предыдущей команде): | |||
<source lang="Text"># openssl pkcs12 -in web-server.p12 -nodes | grep BEGIN | |||
Enter Import Password: | |||
MAC verified OK | |||
-----BEGIN CERTIFICATE----- | |||
-----BEGIN PRIVATE KEY-----</source> | |||
И сертификат и ключ попали в контейнер. | |||
После генерации сертификата проверим наличие считывателя: | После генерации сертификата проверим наличие считывателя: | ||
Версия от 13:59, 11 октября 2013
КриптоПро — линейка криптографических утилит (вспомогательных программ) — так называемых криптопровайдеров. Они используются во многих программах российских разработчиков для генерации ЭЦП, работы с сертификатами, организации структуры PKI и т.д.
Загрузка
Архив с программным обеспечением (КриптоПро CSP 3.6 R3) можно загрузить после предварительной регистрации:
- linux-ia32.zip (8,8 МБ, для i586)
- linux-amd64.zip (9,1 МБ, для x86_64)
Установка
- Распакуйте архив и перейдите в распакованную папку
- Проверьте доступность репозиториев для установки или установите вручную пакеты lsb, pcsc-lite, libpcsclite-devel
- Под правами пользователя root выполните:
apt-get install \
lsb-cprocsp-base-3.6.1-4.noarch.rpm \
lsb-cprocsp-rdr-3.6.1-4.i486.rpm
lsb-cprocsp-capilite-3.6.1-4.i486.rpm \
lsb-cprocsp-kc1-3.6.1-4.i486.rpm
Примечания:
- Для КриптоПро CSP 3.6 R2 потребуется установить пакет cprocsp-compat-altlinux-1.0.0-1.noarch.rpm
- Для установки cprocsp-rdr-gui может понадобиться libXm.so.3 (libopenmotif3).
Прописывание путей к исполняемым файлам
Перед использованием КриптоПро в консоли или в виде файла /etc/profile.d/cryptopro.sh выполните:
export PATH="$PATH:$(ls -d /opt/cprocsp/{s,}bin/*|tr '\n' ':')"
Проверка лицензии
Проверить срок истечения лицензии можно командой (обратите внимание на строки Expires:):
# cpconfig -license -view
Server license:
36360-U0030-01C97-HQ92Y-1EY1K
Expires: 3 month(s) 0 day(s)
Client license:
36360-U0030-01C97-HQ92Y-1EY1K
Expires: 3 month(s) 0 day(s)
Для установки другой лицензии выполните (под root):
cpconfig -license -set <серийный_номер>
Импорт персонального сертификата
Вы можете импортировать собственный сертификат в локальный считыватель HDIMAGE.
Если у вас нет сертификата, самое время его создать:
- Создание через cert-sh-functions (требует установки пакета cert-sh-functions)
- Создание сертификатов PKCS12 (достаточно только пакета openssl)
Допустим, мы пошли по первому пути и создали сертификат web-server:
. cert-sh-functions
ssl_generate 'web-server'
Сертификат по умолчанию будет лежать в /var/lib/ssl/certs/web-server.cert, а ключ — в /var/lib/ssl/private/web-server.key
Для импорта потребуется файл сертификата и закрытый ключ в контейнере PKCS#12.
Создадим для нашего ключа и сертификата необходимый контейнер:
openssl pkcs12 -export -in /var/lib/ssl/certs/web-server.cert -inkey /var/lib/ssl/private/web-server.pem -out web-server.p12
Проверка созданного контейнера (при запросе введите пароль, введённый в предыдущей команде):
# openssl pkcs12 -in web-server.p12 -nodes | grep BEGIN
Enter Import Password:
MAC verified OK
-----BEGIN CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
И сертификат и ключ попали в контейнер.
После генерации сертификата проверим наличие считывателя:
# cpconfig -hardware reader -view | grep ^Nick Nick name: FLASH Nick name: HDIMAGE
Если считывателя нет, создайте его:
cpconfig -hardware reader -add HDIMAGE store
Для импорта сертификата в КриптоПро используйте программу certmgr (документация по нему: man 8 certmgr):
certmgr -inst -file <путь к файлу с сертификатом> -cont <имя контейнера>
В нашем случае:
certmgr -inst -file web-server.p12 -cont HDIMAGE
Invalid data in file web-server.p12 [ErrorCode: 0x80092003]
Поддержка шифрования по ГОСТ в OpenSSL
1. Установите пакет openssl-engines:
apt-get install openssl-engines
2. Измените конфигурационный файл OpenSSL. Для этого создайте скрипт gost-for-openssl следующего содержания:
# Adapt OpenSSL for GOST cryptography support
# See http://www.cryptocom.ru/products/openssl-1-config-en.html
. shell-version
. shell-ini-config
shell_ini_config_prefix=""
cfg="/etc/openssl/openssl.cnf"
grep -q '^openssl_conf' $cfg || sed -i '1iopenssl_conf = openssl_def' $cfg
if [ $libshell_version -ge 3 ] ; then
ini_config_set $cfg openssl_def engines engine_section
ini_config_set $cfg engine_section gost gost_section
ini_config_set $cfg gost_section engine_id gost
ini_config_set $cfg gost_section default_algorithms ALL
ini_config_set $cfg gost_section CRYPT_PARAMS id-Gost28147-89-CryptoPro-A-ParamSet
else
grep -q 'Gost' $cfg && exit
cat >> $cfg << _EOF_
[openssl_def]
engines = engine_section
[engine_section]
gost = gost_section
[gost_section]
engine_id = gost
default_algorithms = ALL
CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet
_EOF_
fi
Запустите скрипт (под правами root):
sh gost-for-openssl
3. Проверьте, доступны ли шифры ГОСТ для OpenSSL:
$ openssl ciphers|tr ':' '\n'|grep GOST
GOST2001-GOST89-GOST89
GOST94-GOST89-GOST89
$ openssl req -newkey gost2001 -keyout server.key -out server.csr
Generating a 2048 bit GOST2001 private key
Error Generating Key
139962943858376:error:8008A077:lib(128):PKEY_GOST01_PARAMGEN:no
parameters set:gost_pmeth.c:293:
Используемая литература
- ЖТЯИ.00050-03 90 02-02. СКЗИ «КриптоПро CSP». Руководство администратора безопасности. Использование СКЗИ под управлением ОС Linux (из электронной документации по КриптоПро; доступно для скачивания с демонстрационной версией)
- ЖТЯИ.00050-03 90 07. КриптоПро CSP. Приложение командной строки
- http://habrahabr.ru/post/189352/