Astra linux криптопро настройка

Содержание

Astra linux криптопро настройка
Astra linux криптопро настройка
Операционные системы Astra Linux
Операционные системы Astra Linux
1С и Linux
суббота, 8 декабря 2018 г.
Astra Linux Орёл 2.12 установка КриптоПро

Astra linux криптопро настройка

Конфигурация:

Astra Linux 1.5/1.6 Special Edition (Смоленск) + установочный диск OC

КриптоПро HSM 2.0

ключ доступа к КриптоПро HSM (в данном примере используется носитель Рутокен S)

(для данной цели рекомендуется создать пользователя КриптоПро HSM типа Обычный пользователь (не Компьютер), и использовать его ключ доступа)

Последовательность необходимых действий (команды, начинающиеся с символа #, требуют привилегий root; сам символ # набирать не нужно):

1) Скачать архив с КриптоПро CSP 4.0 R4, распаковать этот архив:

и установить минимальный набор пакетов КриптоПро CSP:

2) Установить пакеты cprocsp-stunnel, cprocsp-rdr-pcsc, cprocsp-rdr-rutoken и ifd-rutokens из состава дистрибутива КриптоПро CSP 4.0 R4:

3) Вставить установочный диск ОС в привод и выполнить команды добавления репозитория на этом диске:

4) Установить пакеты pcscd и libccid из установочного диска ОС:

5) Добавить в конфигурационный файл /etc/opt/cprocsp/config64.ini секции криптопровайдеров КриптоПро HSM в соответсвующем разделе [Defaults\Provider]:

6) Перезапустить службы cprocsp и pcscd:

7) Экспортировать в файл корневой сертификат КриптоПро HSM из ключевого контейнера ключа доступа:

Имя ключевого контейнера можно вывести командой:

8) Установить корневой сертификат КриптоПро HSM:

9) Установить сертификат ключа доступа с привязкой к ключевому контейнеру:

10) Экспортировать сертификат ключа доступа в файл:

11) Создать файл /etc/opt/cprocsp/stunnel/stunnel.conf со следующим содержимым:

В данном случае IP-адрес КриптоПро HSM 192.168.0.1, пин-код ключевого контейнера 12345678.

12) Запустить процесс stunnel_fork:

13) Проверить доступность криптопровайдеров КриптоПро HSM:

14) При необходимости настроить автозапуск в Astra Linux 1.5 необходимо добавить в файл /etc/rc.local перед строкой exit 0 следующую строку

В Astra Linux 1.6 и других дистрибутивах настроить автозапуск stunnel_fork как службы можно согласно статьи .

Источник

Astra linux криптопро настройка

Конфигурация:

Astra Linux 1.5/1.6 Special Edition (Смоленск) + установочный диск OC

КриптоПро HSM 2.0

ключ доступа к КриптоПро HSM (в данном примере используется носитель Рутокен S)

1) Скачать архив с КриптоПро CSP 4.0 R4, распаковать этот архив:

и установить минимальный набор пакетов КриптоПро CSP:

2) Установить пакеты cprocsp-stunnel, cprocsp-rdr-pcsc, cprocsp-rdr-rutoken и ifd-rutokens из состава дистрибутива КриптоПро CSP 4.0 R4:

3) Вставить установочный диск ОС в привод и выполнить команды добавления репозитория на этом диске:

4) Установить пакеты pcscd и libccid из установочного диска ОС:

6) Перезапустить службы cprocsp и pcscd:

7) Экспортировать в файл корневой сертификат КриптоПро HSM из ключевого контейнера ключа доступа:

Имя ключевого контейнера можно вывести командой:

8) Установить корневой сертификат КриптоПро HSM:

9) Установить сертификат ключа доступа с привязкой к ключевому контейнеру:

10) Экспортировать сертификат ключа доступа в файл:

11) Создать файл /etc/opt/cprocsp/stunnel/stunnel.conf со следующим содержимым:

В данном случае IP-адрес КриптоПро HSM 192.168.0.1, пин-код ключевого контейнера 12345678.

12) Запустить процесс stunnel_fork:

13) Проверить доступность криптопровайдеров КриптоПро HSM:

В Astra Linux 1.6 и других дистрибутивах настроить автозапуск stunnel_fork как службы можно согласно статьи .

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

реализации и совершенствования функциональных возможностей;
поддержки современного оборудования;
обеспечения соответствия актуальным требованиям безопасности информации;
повышения удобства использования, управления компонентами и другие.

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Очередные обновления (версии) предназначены для:

реализации и совершенствования функциональных возможностей;
поддержки современного оборудования;
обеспечения соответствия актуальным требованиям безопасности информации;
повышения удобства использования, управления компонентами и другие.

инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Источник

1С и Linux

Пишу для себя, чтобы не забыть как делал. 95 % рабочее. На комментарии отвечаю, когда увижу.

суббота, 8 декабря 2018 г.

Astra Linux Орёл 2.12 установка КриптоПро

Astra Linux Орёл 2.12
$ sudo apt update
$ sudo apt upgrade
$ sudo apt install alien libpcsclite1 pcscd libccid zip unzip
$ tar -zxf linux-amd64_deb.tgz
$ cd linux-amd64_deb
$ sudo ./install_gui.sh
#$ export PATH=»$(/bin/ls -d /opt/cprocsp/bin/*|tr ‘\n’ ‘:’)$PATH»
$ cd

/
$ mkdir cades_linux_amd64
$ cd

/cades_linux_amd64
Скачать версию 2.0
https://www.cryptopro.ru/products/cades/plugin
$ cp

/cades_linux_amd64
$ tar -zxf cades_linux_amd64.tar.gz
$ sudo alien *.rpm
$ sudo dpkg -i lsb-cprocsp-devel_*.deb cprocsp-pki-*.deb

Копируем контейнер 2018-07-.000 с машины windows:
в /var/opt/cprocsp/keys/user/2018-07-.000

Посмотреть:
$ /opt/cprocsp/bin/amd64/csptest -keyset -enum -verifycontext -fqcn
CSP (Type:80) v4.0.9017 KC2 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 35103123
\\.\HDIMAGE\2018-07-02 16-30-20 ▒▒▒ ▒▒▒▒ ▒▒▒▒ ▒▒▒ — ▒▒▒▒▒ — ▒▒▒▒▒ — ▒▒▒▒▒
OK.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,130 sec
[ErrorCode: 0x00000000]

Оригинальный контенер был без пинкода.

Если нужно добавить пинкод, копируем контейнер:

$ /opt/cprocsp/bin/amd64/csptest -keycopy -contsrc «$(echo ‘HDIMAGE\\2018-07-.000\0A6B’ | iconv -t cp1251)» -contdest ‘\\.\HDIMAGE\test’ -typesrc 75 -typedest 75 -pindest 12345678
CSP (Type:75) v4.0.9017 KC2 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:AVX.
CryptAcquireContext succeeded.HCRYPTPROV: 23474403
CryptAcquireContext succeeded.HCRYPTPROV: 23479523
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,130 sec
[ErrorCode: 0x00000000]

$ /opt/cprocsp/bin/amd64/csptest -keyset -enum -verifycontext -fqcn
CSP (Type:80) v4.0.9017 KC2 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 36958611
\\.\HDIMAGE\test
\\.\HDIMAGE\2018-07-02 16-30-20 ▒▒▒ ▒▒▒▒ ▒▒▒▒ ▒▒▒ — ▒▒▒▒▒ — ▒▒▒▒▒ — ▒▒▒▒▒
OK.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,140 sec
[ErrorCode: 0x00000000]

Или:
$ /opt/cprocsp/bin/amd64/csptest -keyset -enum -verifycontext -fqcn | iconv -f cp1251

Установить копированный контейнер:

$ /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont ‘\\.\HDIMAGE\test’
Пример если нужно установить оригинальный контейнер:

$ /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont «$(echo ‘HDIMAGE\\2018-07-.000\0A6B’ | iconv -t cp1251)»

#связываем сертификат и закрытый ключ:
#$ /opt/cprocsp/bin/amd64/certmgr -inst -file sert.cer -cont ‘\\.\HDIMAGE\test’

Удалить:
$ /opt/cprocsp/bin/amd64/certmgr -delete

Для установки в uRoot админиских прав больше не нужно. Ради этого их с mRoot и разделили. Работает так: если ставить в uRoot — видно будет только текущему пользователю, даже если он root, но права не нужны и будет диалог с предупреждением. Если ставить в mRoot, то нужны права, видно будет всем и предупреждения не будет.

Просмотор личных сертификатов:

$ /opt/cprocsp/bin/amd64/certmgr -list -store uMy
CA cert URL : http://www.dp.keydisk.ru/root/833/astral-833-2017n.cer

Установка головного сертификата удостверяющего центра (из сертификата Калуга-Астрал):
$ mkdir

/CAs $(/opt/cprocsp/bin/amd64/certmgr -list -store uMy | awk ‘/CA cert URL/ < print $5 >‘)
for cert in $(ls -1

/CAs/*.cer); do sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -file $cert; done

$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ‘Сертификат Головного удостоверяющего центра.cer’ -store uRoot

#$ sudo /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ‘Сертификат Головного удостоверяющего центра.cer’ -store mRoot

$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ‘Сертификат Удостоверяющего центра Федерального казначейства.cer’ -store uRoot

#$ sudo /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ‘Сертификат Удостоверяющего центра Федерального казначейства.cer’ -store mRoot

Просмотр:
$ /opt/cprocsp/bin/amd64/certmgr -list -store uRoot
#$ sudo /opt/cprocsp/bin/amd64/certmgr -list -store mRoot

Удалить:
$ /opt/cprocsp/bin/amd64/certmgr -delete -store uRoot
$ /opt/cprocsp/bin/amd64/certmgr -delete -all -store uRoot

#$ sudo /opt/cprocsp/bin/amd64/certmgr -delete -store mRoot
#$ sudo /opt/cprocsp/bin/amd64/certmgr -delete -all -store mRoot

Проверка цепочек
$ /opt/cprocsp/bin/amd64/certmgr -list -store uMy
Смотрим:
CN=’Фёдорова Галина Борисовна’

$ CP_PRINT_CHAIN_DETAIL=1 /opt/cprocsp/bin/amd64/cryptcp -copycert -dn CN=’Фёдорова Галина Борисовна’ -df

/t.cer
.
.
.
Certificate chains are checked.
Certificate’s been copied.
[ReturnCode: 0]

Цепочки сертификатов проверены.
Копирование сертификатов завершено.
[ErrorCode: 0x00000000]

$ sudo apt install chromium
После установки закрыть и войти снова

$ unzip IFCPlugin-3.0.0-x86_64.deb.zip
$ sudo apt install libccid pcscd
$ sudo dpkg -i IFCPlugin-3.0.0-x86_64.deb

создаем симлинк для корректной работы связи расширения браузера с библиотекой установленного плагина

$ sudo ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/ru.rtlabs.ifcplugin.json

Заходим в каталог куда скачали архив
$ unzip ifc.cfg.zip

Копируем конфигурационный файл

$ sudo cp ifc.cfg /etc/ifc.cfg

Перейти в меню — Дополнительные инструменты — Расширения и включить плагин

Alexey Kovin (4l3xk3), [10.09.18 13:34]
[В ответ на Leonid Volkanin]
Alexey Kovin (alexk3):
Проверка защитного преобразования по ГОСТу по https в chromium из состава AstraLinux:

Источник