Мозаика системного администрирования

Инструменты пользователя

Инструменты сайта

КриптоПро CSP

Содержание

Криптопровайдер КриптоПро CSP предназначен для:

Сертифицированные версии

Установка

Лицензия

Посмотреть информацию о лицензии:

Считыватели

Список подключённых считывателей

HDimage

Структура дискеты на жестком диске

Хранилища пользователей

По умолчанию для каждого пользователя создаётся папка (имя пользователя)

Ключи пользователей

По умолчанию для каждого пользователя создаётся папка (имя пользователя), внутри которой располагаются папки—контейнеры

Владелец	user
Маска для папок	0700/drwx
Маска для файлов	0600/drwx

Работа с ключами и сертификатами

Список всех ключевых носителей и контейнеров

Вывести список всех ключевых носителей и контейнеров

Копирование ключевого носителя из ключа в файлы

Копирование ключевого носителя из ключа в файлы, в данном случае в /var/opt/cprocsp/keys/user/key0.000

Загрузка личного сертификата в хранилище

Загрузка личного сертификата в хранилище в данном случае из локального считывателя

Проверка работоспособности контейнера

Просмотр установленных сертификатов

КриптоПро ЭЦП Browser plug-in

версия 2.0 для пользователей (автоматическая загрузка версии плагина, соответствующей Вашей ОС)

Порядок установки: 1. Установить пакет alien, необходимый для конвертации rpm-пакетов в deb-формат

3. Распаковать архив

4. Перейти в папку с распакованными файлами и выполнить преобразование пакетов:

5. Установить deb-пакеты:

6. Установить расширение:

7. Создать символические ссылки на библиотеки:

PKCS11

Для корректной работы pkcs11, настройку слотов следует сделать явной, для этого в файл / etc/opt/cprocsp/config64.ini в разделе PKCS11 после

Linux

Установка ЭЦП в MS Windows

Установка клиентского сертификата

Установка клиентского сертификата

Создание рабочей копии

1. Вставьте ОРИГИНАЛ дискеты с ЭЦП Директора в дисковод.

2. Зайдите «Пуск» — «Панель управления» — «КриптоПро CSP», вкладка «Сервис» (см.рис.)

3. Нажмите кнопку Скопировать контейнер . Откроется окно «Копирование контейнера секретного ключа» (см.рис.).

4. Нажмите кнопку Обзор и выберите ключевой контейнер с дискеты.

5. Нажмите кнопку Далее .

6. Извлеките ОРИГИНАЛ дискеты из дисковода и вставьте ЧИСТУЮ дискету.

7. В поле «Имя ключевого контейнера» (см.рис.) введите ТОЛЬКО фамилию директора.

8. Нажмите кнопку Готово . Откроется окно «КриптоПро CSP» с просьбой установить пароль на создаваемый контейнер (см.рис.), ничего не вводите и нажмите «ОК»

9. Скопируйте личный сертификат с ОРИГИНАЛА дискеты («зеленый» файл с расширением .cer) на КОПИЮ (Посредством копирования на «Рабочий стол»).

10. Если у Вас есть ЭЦП на Главного бухгалтера, то повторите пункты с 1 по 9 для ЭЦП Главного бухгалтера (в п. 6. Извлеките ОРИГИНАЛ дискеты из дисковода и вставьте КОПИЮ дискеты с подписью Директора.).

Установка личных сертификатов

Установка личных сертификатов

1. Вставьте КОПИЮ дискеты с ЭЦП Директора в дисковод.

2. Зайдите «Пуск» — «Панель управления» — «КриптоПро CSP», вкладка «Сервис».

3. Нажмите кнопку Установить личный сертификат . Откроется мастер установки личного сертификата.

4. Нажмите кнопку Далее , на следующей вкладке (см.рис.) нажмите кнопку Обзор и выберите личный сертификат с дискеты («зеленый» файл с расширением .cer).

5. Нажмите два раза кнопку Далее , затем кнопку Обзор (см.рис.) и выберите ключевой контейнер с дискеты.

6. Нажмите кнопку «Далее», затем кнопку Обзор и выберите хранилище «Личные» (см.рис.).

7. Нажмите кнопку Далее , Готово .

8. Если у Вас есть ЭЦП на Главного бухгалтера, то повторите пункты с 1 по 7 для ЭЦП Главного бухгалтера.

9. После установки сертификата закройте КриптоПро CSP, нажав на кнопку ОК .

ГОСТ Р 34.10-2012

В соответствии с принятым в 2014 году порядком перехода на ГОСТ Р 34.10-2012 с 1 января 2019 года приведет к ошибке/предупреждению (в зависимости от продукта и режима работы), которые могут привести к неработоспособности автоматических/автоматизированных систем при использовании ими ключей ГОСТ Р 34.10-2001.

Отключение окон о необходимости перехода на ГОСТ Р 34.10-2012

Для отключения данных предупреждений в КриптоПро CSP, нужно добавить два ключа в конфигурационный файл /etc/opt/cprocsp/config64.ini в существующую секцию Parameters :

Как скопировать контейнер/закрытую часть ключа?

Если для работы используется дискета или flash-накопитель, копирование можно выполнить средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и файл сертификата — открытый ключ, если он есть) необходимо поместить в корень дискеты (flash-накопителя). Название папки при копировании рекомендуется не изменять. Папка с закрытым ключом должна содержать 6 файлов с расширением .key.

Пример закрытого ключа — папки с шестью файлами, и открытого ключа — файла с расширением .cer.

Копирование контейнера также можно выполнить с помощью КриптоПро CSP. Для этого необходимо выполнить следующие шаги:Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб). В этом случае копирование открытого ключа выполнять не обязательно.

Копирование с помощью КриптоПро CSP

1. Выбрать Пуск / Панель Управления / КриптоПро CSP.

2. Перейти на вкладку Сервис и кликнуть по кнопке Скопировать контейнер.

3. В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».

4. Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее».

5. Если вы копируете с защищённого ключевого носителя, то появится окно ввода, в котором следует указать pin-код.

6. Если вы не меняли pin-код на носителе, стандартный pin-код необходимо вводить соответственно его типу:

Rutoken — стандартный pin-код 12345678
eToken /JaCarta – 1234567890

7. В следующем окне необходимо ввести имя Вашей копии. Придумайте и укажите вручную имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем кликните «Готово».

8. В окне «Выбор ключевого носителя» выберите носитель, на который будет помещен новый контейнер.

9. На новый контейнер будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, но посторонние не могли его угадать или подобрать. Если вы не хотите устанавливать пароль, можно оставить поле пустым и нажать «ОК».

В случае утери пароля/pin-кода использование контейнера станет невозможным.

10. Если вы копируете контейнер на смарт-карту ruToken/eToken /JaCarta, окно запроса будет выглядеть так:

11. В окне ввода укажите pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код

Rutoken — 12345678
eToken /JaCarta – 1234567890

12. После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено.

13. Для работы с копией ключевого контейнера необходимо установить личный сертификат.

14. В меню Пуск выберите пункт «КРИПТО-ПРО», запустите приложение «КриптоПро CSP»

15. Перейдите на вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере»:

16. В следующем окне нажмите кнопку Обзор, чтобы выбрать контейнер для просмотра (в нашем примере контейнер находится в Реестре):

17. После выбора контейнера нажмите кнопку Ок, затем Далее

18. Если после нажатия на кнопку Далее Вы видите такое сообщение:

19. «В контейнере закрытого ключа отсутствует открытый ключ шифрования», следует установить сертификат по рекомендациям, описанным в разделе «Установка через меню «Установить личный сертификат».

20. В окне Сертификат для просмотра нажмите кнопку Установить:

21. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

22. Дождитесь сообщения об успешной установке:

23. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Установка через меню «Установить личный сертификат».

1. Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением.cer).

2. В меню Пуск выберите пункт «КРИПТО-ПРО», запустите приложение «КриптоПро CSP»

3. Перейдите на вкладку «Сервис» и нажмите кнопку «Установить личный сертификат»:

4. В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата. Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):

5. В следующем окне нажмите кнопку Далее; в окне Сертификат для установки нажмите Далее.

6. Поставьте галку в окне Найти контейнер автоматически (в нашем примере контейнер находится в Реестре компьютера) и нажмите Далее:

7. В следующем окне отметьте пункт Установить сертификат (цепочку сертификатов) в контейнер и нажмите Далее:

8. В окне Завершение мастера установки личного сертификата нажмите Готово.

9. Если КриптоПро CSP запрашивает pin-код от контейнера, введите нужный код или попробуйте стандартные pin-коды носителей:

Rutoken — 12345678
eToken /JaCarta – 1234567890

10. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

11. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Остались вопросы?

Отдел технической поддержки

Краткое руководство пользователя по работе с ЭЦП КриптоПро JCP 1.0.54

Краткое руководство пользователя по работе с ЭЦП КриптоПро JCP 1.0.54.

1 Установка КриптоПро JCP 1.0.54.

Последовательность установки и настройки электронных подписей

— Установить JDK 7u21;

— Установить и настроить JCP;

— Установить корневой сертификат Центра сертификации;

— Отправить готовый запрос на генерацию тестового ключа ЭП.

Проверить работоспособность установленных крипто-механизмов.

Установка JDK 7u21:

Установить JDK 7u21, в соответствии с разрядностью ПК (32-bit или 64- bit).

Установка КриптоПро JCP 1.0.54

— Установить JCP 1.0.54

1) Запустить командную строку от имени Администратора:

а) Путь -> Строка поиска -> cmd ->нажать правой кнопкой мыши, выбрать пункт меню «Запуск от имени Администратора».

б) В командной строке выполнить команду с указанием расположения ПО JCP. «Название диска :», нажать «Enter» Пример: С: (рисунок 1).

Рисунок 1 – Командная строка cmd

2) Ввести команду «cd», указать путь к папке с устанавливаемым модулем JCP, нажать «Enter». Пример: cd C:\jcp.1.0.54\lib (рисунок 2).

Рисунок 2 – Путь к папке

3) Прописать команду «Install. bat «пробел» путь к установленной ранее ПО Java JDK, нажать «Enter». Пример: Install.bat “C:\Program Files (x86)\Java\jdk1.7.0_21”. Путь необходимо взять в “кавычки” (рисунок 3).

Рисунок 3 – Выполнение установки ПО

Запустить выполнение модуля JCP.

5) Выполнить команду ControlPane. bat «пробел» путь к установленной ранее ПО Java JDK, нажать «Enter». Пример: ControlPane.bat “C:\Program Files (x86)\Java\jdk1.7.0_21”.

6) Откроется окно настройки КриптоПРо JCP (рисунок 4)

Рисунок 4 – Настройка КриптоПро JCP

Добавление сертификата в контейнер.

7) Перейти на закладку «Хранилище ключей и сертификатов» двойным щелчком мыши открыть «Контейнер HDImageStore», нажать кнопку «Создать» (рисунок 5)

Рисунок 5 – Контейнер HDImageStore

8) Откроется окно «Генерирования ключей» (рисунок 6). В окне указать «Имя нового контейнера», установить ч\б «Ключ подписи» и «Пароль», ввести в поле «Пароль» личный пароль ЛПУ. Нажать кнопку «Создать».

Рисунок 6 – Генерирование ключа

— В открывшемся окне проставить ч\б BASE64 (рисунок 7). Нажать кнопку «Сохранить».

Рисунок 7 – Запрос на сертификат

— Выбрать путь сохранения файла, указать название файла. Появиться сообщение «Генерирование и запись завершены». Нажать «Ок». Запись добавиться в контейнер (рисунок 8).

Рисунок 8 – Добавление записи в контейнер

а) Переименовать файл, добавив расширение *.txt. Открыть файл с помощью блокнота, скопировать сообщение.

б) Перейти по ссылке https://www. cryptopro. ru/certsrv/ , выбрать второй пункт Отправить готовый запрос PKCS#10 или PKCS#7 в кодировке Base64.

в) Вставить скопированное сообщение в поле запроса, нажать кнопку «Выдать». Нажать на ссылку Загрузить сертификат, выбрать сертификат, нажать кнопку «Сохранить».

г) Перейти в Хранилище контейнеров, выбрать созданный контейнер, ввести пароль, появиться сообщение о замене сертификата, нажать кнопку «Ок». Щелкнуть мышью по контейнеру, ввести пароль. В контейнере отобразиться ключ и сертификат (рисунок 9).

Рисунок 9 – Ключ и сертификат добавлены в контейнер

2 Инструкция по импорту ключей КриптоПро

Для работы в АРМ ЛПУ с ключами КриптоПро необходимо разместить их в хранилище контейнеров КриптоПро JCP. При этом изначально ключи могут храниться в следующих форматах:

· файлы в формате реестра Windows «.reg»;

· файлы на файловой системе в виде директории с наименованием «.000»;

· контейнеры ключей в КриптоПро CSP (физически расположены в реестре ОС Windows).

В настоящей инструкции описан процесс импорта ключей из файлов реестра «.reg» в КриптоПро CSP с последующим импортом в КриптоПро JCP, с которым работает АРМ ЛПУ. В общем виде процедура импорта ключей в КриптоПро JSP выглядит следующим образом:

1. Получить reg-файлы ключей от заказчика.

2. Импортировать reg-файлы ключей на рабочую станцию с КриптоПро CSP.

3. Экспортировать контейнер ключей из КриптоПро CSP на файловую систему.

4. Импортировать контейнер ключей в КриптоПро JCP на рабочей станции с АРМ ЛПУ.

Выполните следующие действия:

1. Получите от заказчика reg-файлы с ключами и сохраните их на файловую систему с установленным СПО КриптоПро CSP.

2. Откройте в текстовом редакторе полученный reg-файл с ключом и найдите строку с веткой реестра вида:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\USERS\\Keys\] – для 64-разрядной версии Windows

[HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS\\Keys\] – для 32-разрядной версии Windows

3. Вместо SID укажите свой собственный SID, который можно посмотреть в ветке реестра (в зависимости от разрядности ОС Windows):

Для просмотра реестра необходимо от имени администратора запустить команду regedit:

Пуск, Выполнить, regedit

Также SID текущего пользователя можно узнать, выполнив команду:

После изменения сохраните reg-файл.

4. Импортируйте ключ в реестр, дважды щёлкнув на изменённом reg-файле. Теперь этот контейнер ключей распознаётся в КриптоПро CSP.

5. Откройте КриптоПро CSP, перейдите на вкладку «Сервис» и в разделе «Контейнер закрытого ключа» нажмите кнопку «Протестировать…».

6. В открывшемся окне из считывателя «Реестр» выберите контейнер ключей, импортированный на предыдущем шаге, и нажмите кнопку «Далее». В случае успешного выполнения будет показана информация о контейнере закрытого ключа.

7. Для переноса контейнера закрытого ключа из КриптоПро CSP на файловую систему необходимо наличие внешнего накопителя типа USB Flash Drive. Однако не всегда есть возможность подключить к рабочей станции внешний накопитель, например, в том случае, если работа осуществляется на удалённой машине. В таком случае рекомендуется выполнить эмуляцию работы внешнего накопителя при помощи утилиты ImDisk Virtual Disk Driver. Дальнейшие шаги описывают работу именно с этой утилитой.

http://www. ltr-data. se/files/imdiskinst. exe

8. Установите ImDisk Virtual Disk Driver на рабочую станцию, на которой расположено СПО КриптоПро CSP. В результате успешной установки должен появиться пункт «ImDisk Virtual Disk Driver» в панели управления:

9. Запустите утилиту ImDisk Virtual Disk Driver и в открывшемся окне нажмите кнопку «Mount new…».

10. Задайте параметры эмулируемого диска, указав размер. Также выберите пункты «Create virtual disk in physical memory» и «Removable media», после чего нажмите кнопку «OK»:

11. После создания эмулируемого диска произойдёт его автоматическое монтирование. При запросе форматирования этого диска от ОС Windows подтвердите действие, задайте тип файловой системы NTFS:

12. После завершения форматирования диска откройте окно КриптоПро CSP, перейдите на вкладку «Сервис» и в разделе «Контейнер закрытого ключа» нажмите кнопку «Скопировать…».

13. В открывшемся окне выберите контейнер ключей для копирования, нажмите кнопку «Далее».

14. В следующем окне задайте имя копии контейнера, нажмите кнопку «Готово». В открывшемся окне выберите эмулируемый диск и нажмите кнопку «OK»:

15. Откройте в проводнике Windows эмулируемый диск. В корневой директории должен находиться контейнер закрытого ключа в виде директории с наименованием «.000».

16. Перейдите в директорию КриптоПро JCP, выполнив команду:

17. Откройте панель управления КриптоПро JCP, выполнив команду, предварительно указав путь к JDK:

ControlPane. bat “C:\ Program Files\Java\jdk1.7.0_21”

18. Перейдите на вкладку «Оборудование» и сохраните путь из поля «Путь к HDImage».

19. Используя проводник Windows, скопируйте директорию с контейнером закрытого ключа из эмулируемого диска в директорию с хранилищем HDImage.

20. В панели управления КриптоПро JCP перейдите на вкладку «Хранилища ключей и сертификатов», в разделе «Хранилища контейнеров» раскройте пункт «HDImageStore» и убедитесь, что новый контейнер появился в списке. При необходимости импортируйте в КриптоПро JCP необходимые сертификаты, в том числе и сертификат закрытого ключа.

21. В окне утилиты ImDisk выберите эмулируемый диск и нажмите кнопку «Remove» для удаления созданного диска:

22. Откройте АРМ ЛПУ и убедитесь, что сертификат, привязанный к новому контейнеру закрытого ключа, доступен пользователю.