Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
4 Страницы123>»
Информация Arch Linux. КриптоПро 5.0 + Рутокен ЭЦП 2.0 + IFCPlugin ГосУслуги + КЭП ФНС - Инструкция
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline BredoGen  
#1 Оставлено : 26 января 2022 г. 15:19:08(UTC)
BredoGen

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.01.2022(UTC)
Сообщений: 2
Российская Федерация
Откуда: Спб
Пришло время получать КЭП для ИП в ФНС. Приобрел Рутокен ЭЦП 2.0 (как оказалось зря, СКЗИ внутри него использоваться не будет, ФНС всё равно запишет контейнер в формате криптопро).

Пришло время запустить всё на Arch Linux с возможностью входа на ГосУслуги.
Провозился целый вечер, оказалось следовал старой инструкции, по которой связка не работает.

Актуальные шаги:

CryptoPro 5.0

1. Ставим КриптоПро 5.0 из AUR: https://aur.archlinux.or...ckages/cryptopro-csp-k1/

2. Скачиваем архив AUR
3. Рядом с PKGBUILD подкладываем скачанные из кабинета КриптоПро архивы. На текущую дату актуальные ссылки для скачивания: КриптоПро, cades_linux_amd64.tar.gz (возможно придётся переименовать файл, приведя к такому названию).

4. Ставим:

Код:
makepkg -sri


5. В хромиум ставим расширение CryptoPro Extension for CAdES Browser Plug-in.

6. Открываем гуй CryptoPro Tools (/opt/cprocsp/bin/amd64/cptools), удостоверяемся, что криптопро видит наш Рутокен и контейнер в нём.
7. Нажимаем на "Check container" и убеждаемся, что алгоритм у нас именно 2012: "ГОСТ Р 34.10-2012 256 бит".
8. Запускаем

Код:
/opt/cprocsp/bin/amd64/csptestf -absorb -certs -autoprov


Убеждаемся, что в CryptoPro Tools разделе сертификатов наш сертификат установился в раздел персональных.

9. Идём на демо страницу и проверяем, что страница видит наш сертификат и подпись работает.


Неcмотря на инструкции в интернете, файл config64.ini не трогаем, раздел PKCS11 не редактируем. Это была моя основная ошибка, я пробовал его редактировать и править под 2012 алгоритм. Трогать не нужно вообще.


Всё, подписывать можем, теперь нужно разобраться с ГосУслугами.

ГосУслуги (IFCPlugin)

1. Ставим из AUR: https://aur.archlinux.org/packages/ifcplugin/
2. Ставим расширение
3. Редактируем /etc/ifc.cfg

Версия при которой в списке сертификатов будет показан только 1 наш сертификат ИП (без дублей и лишних сертификатов):

Код:

log = {
   level = "DEBUG";
}

config = {
    cert_from_registry = "false";
    set_user_pin = "false";
}

params =
(

    {   name = "CPPKCS11_2012_256";
        alias = "CPPKCS11_2012_256";
        type = "pkcs11";
        alg = "gost2012_256";
        model = "CPPKCS 3";
        lib_linux = "libcppkcs11.so";
    }
);


Другие версии для других алгоритмов можно взять например тут.

4. Перезапускаем хромимум.

5. Идём на https://esia.gosuslugi.ru/login/ и пробуем логиниться.


P.S. Удивительным для меня остаётся тот факт, что ФНС принудительно записывает криптопро контейнеры, при этом отсутствует опция логина в кабинет ИП nalog.ru. Есть там только опция Рутокен ЭЦП 2.0 (которая не работает из-за формата контейнера) или возня с сертификатами и хромиум-гос.
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Санчир Момолдаев  
#2 Оставлено : 26 января 2022 г. 20:30:11(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,182
Российская Федерация

Сказал(а) «Спасибо»: 99 раз
Поблагодарили: 271 раз в 252 постах
Добрый день!
как я понял вы написали how-to? или у вас остался какой-то вопрос?
Техническую поддержку оказываем тут
Наша база знаний
Вверх
Offline BredoGen  
#3 Оставлено : 26 января 2022 г. 21:47:33(UTC)
BredoGen

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.01.2022(UTC)
Сообщений: 2
Российская Федерация
Откуда: Спб
Автор: Санчир Момолдаев Перейти к цитате
Добрый день!
как я понял вы написали how-to? или у вас остался какой-то вопрос?


Да, это how-to для тех, кто будет искать процесс установки на Arch.
Вверх
Offline Gigses  
#4 Оставлено : 31 января 2022 г. 16:41:02(UTC)
Gigses

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.01.2022(UTC)
Сообщений: 5

Сказал(а) «Спасибо»: 1 раз
Автор: BredoGen Перейти к цитате
6. Открываем гуй CryptoPro Tools (/opt/cprocsp/bin/amd64/cptools), удостоверяемся, что криптопро видит наш Рутокен


На этом шаге рутокен на виден. Систему перезагружал. Рутокен проверен на другой машине и под другой ОС. Как заставить программу видеть рутокен?
Свойства системы - под спойлером:

Отредактировано пользователем 31 января 2022 г. 16:41:44(UTC)  | Причина: Не указана
Вверх
Offline Андрей Русев  
#5 Оставлено : 31 января 2022 г. 21:09:15(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,416

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 565 раз в 393 постах
Диагностика токенов всегда идёт по одному сценарию: от наиболее базовых слоёв (lsusb), к более высоким, см. https://www.cryptopro.ru...ts&m=64758#post64758
Официальная техподдержка. Официальная база знаний.
Вверх
thanks 1 пользователь поблагодарил Русев Андрей за этот пост.
Gigses оставлено 01.02.2022(UTC)
Offline Gigses  
#6 Оставлено : 1 февраля 2022 г. 8:34:11(UTC)
Gigses

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.01.2022(UTC)
Сообщений: 5

Сказал(а) «Спасибо»: 1 раз
При подключении носителя, команда "pcscd -f -d" пишет это:
Код:
08451508 [139815546779200] hotplug_libudev.c:667:HPEstablishUSBNotifications() USB Device add
00000630 [139815546779200] hotplug_libudev.c:300:get_driver() Looking for a driver for VID: 0x0A89, PID: 0x0025, path: /dev/bus/usb/001/008
00000049 [139815546779200] hotplug_libudev.c:441:HPAddDevice() Adding USB device: Aktiv Rutoken lite - CP
00000167 [139815546779200] readerfactory.c:1097:RFInitializeReader() Attempting startup of Aktiv Rutoken lite - CP 00 00 using /usr/lib/pcsc/drivers/ifd-acsccid.bundle/Contents/Linux/libacsccid.so
00000847 [139815546779200] readerfactory.c:972:RFBindFunctions() Loading IFD Handler 3.0
00000086 [139815546779200] ifdhandler.c:2960:init_driver() Driver version: 1.1.8
00000829 [139815546779200] ifdhandler.c:2977:init_driver() LogLevel: 0x0003
00000029 [139815546779200] ifdhandler.c:2988:init_driver() DriverOptions: 0x0000
00000025 [139815546779200] ifdhandler.c:2996:init_driver() ACSDriverOptions: 0x0003
00000021 [139815546779200] ifdhandler.c:3004:init_driver() ACR38CardVoltage: 0
00000019 [139815546779200] ifdhandler.c:3012:init_driver() ACR38CardType: 0
00000140 [139815546779200] ifdhandler.c:162:CreateChannelByNameOrChannel() Lun: 0, device: usb:0a89/0025:libudev:0:/dev/bus/usb/001/008
00000029 [139815546779200] ccid_usb.c:329:OpenUSBByName() Using: /usr/lib/pcsc/drivers/ifd-acsccid.bundle/Contents/Info.plist
00000736 [139815546779200] ccid_usb.c:347:OpenUSBByName() ifdManufacturerString: Advanced Card Systems Ltd.
00000022 [139815546779200] ccid_usb.c:348:OpenUSBByName() ifdProductString: ACS CCID driver
00000027 [139815546779200] ccid_usb.c:349:OpenUSBByName() Copyright: This driver is protected by terms of the GNU Lesser General Public License version 2.1, or (at your option) any later version.
00009758 [139815546779200] ccid_usb.c:753:OpenUSBByName() Found Vendor/Product: 0A89/0025 (Aktiv Rutoken lite - CP)
00000020 [139815546779200] ccid_usb.c:755:OpenUSBByName() Using USB bus/device: 1/8
00000010 [139815546779200] ccid_usb.c:934:OpenUSBByName() bNumDataRatesSupported is 0
00000736 [139815546779200] ifdhandler.c:333:CreateChannelByNameOrChannel() dwFeatures: 0x00020840
00000016 [139815546779200] ifdhandler.c:334:CreateChannelByNameOrChannel() wLcdLayout: 0x0000
00000009 [139815546779200] ifdhandler.c:335:CreateChannelByNameOrChannel() bPINSupport: 0x00
00000008 [139815546779200] ifdhandler.c:336:CreateChannelByNameOrChannel() dwMaxCCIDMessageLength: 271
00000007 [139815546779200] ifdhandler.c:337:CreateChannelByNameOrChannel() dwMaxIFSD: 254
00000004 [139815546779200] ifdhandler.c:338:CreateChannelByNameOrChannel() dwDefaultClock: 3580
00000005 [139815546779200] ifdhandler.c:339:CreateChannelByNameOrChannel() dwMaxDataRate: 9600
00000006 [139815546779200] ifdhandler.c:340:CreateChannelByNameOrChannel() bMaxSlotIndex: 0
00000007 [139815546779200] ifdhandler.c:341:CreateChannelByNameOrChannel() bCurrentSlotIndex: 0
00000006 [139815546779200] ifdhandler.c:342:CreateChannelByNameOrChannel() bInterfaceProtocol: 0x00
00000006 [139815546779200] ifdhandler.c:343:CreateChannelByNameOrChannel() bNumEndpoints: 2
00000008 [139815546779200] ifdhandler.c:344:CreateChannelByNameOrChannel() bVoltageSupport: 0x01
00000009 [139815546779200] ifdhandler.c:517:IFDHGetCapabilities() tag: 0xFB3, usb:0a89/0025:libudev:0:/dev/bus/usb/001/008 (lun: 0)
00000007 [139815546779200] readerfactory.c:395:RFAddReader() Using the pcscd polling thread
00000321 [139815546779200] ifdhandler.c:517:IFDHGetCapabilities() tag: 0xFAE, usb:0a89/0025:libudev:0:/dev/bus/usb/001/008 (lun: 0)
00000014 [139815546779200] ifdhandler.c:621:IFDHGetCapabilities() Reader supports 1 slot(s)
00000620 [139815625848384] ifdhandler.c:1407:IFDHPowerICC() action: PowerUp, usb:0a89/0025:libudev:0:/dev/bus/usb/001/008 (lun: 0)
00000386 [139815625848384] eventhandler.c:289:EHStatusHandlerThread() powerState: POWER_STATE_POWERED
00000012 [139815625848384] Card ATR: 3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2 
00401093 [139815625848384] ifdhandler.c:1407:IFDHPowerICC() action: PowerDown, usb:0a89/0025:libudev:0:/dev/bus/usb/001/008 (lun: 0)
00000531 [139815625848384] eventhandler.c:482:EHStatusHandlerThread() powerState: POWER_STATE_UNPOWERED


Код:
lsusb
...
Bus 001 Device 008: ID 0a89:0025 Aktiv Rutoken lite
...


Код:
# /opt/cprocsp/bin/amd64/csptest -card -enum -v -v  
Aktiv Rutoken lite - CP 00 00
  Card present, ATR=3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2 
  Unknown applet
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x00000000]



Код:
# /opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMREADERS -flags 32
../../../../CSPbuild/CSP/samples/support/cplevel.c:418:Cannot find default provider.

Error 0x80090017: Тип поставщика не определен. 
../../../../CSPbuild/CSP/samples/support/getcspparam.c:28:Can not get CSP param: AcquireContext failed.
Error 0x80090017: Тип поставщика не определен. 
../../../../CSPbuild/CSP/samples/csptest/enum.c:420:Error during CryptAcquireContext.

Error 0x80090017: Тип поставщика не определен. 
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x80090017]


Что сделать, чтобы программа увидела рутокен?

Отредактировано пользователем 1 февраля 2022 г. 11:35:38(UTC)  | Причина: изменение вывода команды просле запуска сервиса pcscd
Вверх
Offline Андрей Русев  
#7 Оставлено : 1 февраля 2022 г. 12:32:46(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,416

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 565 раз в 393 постах
У вас проблема не с токеном, а с установкой КриптоПро CSP. Сходу ошибку в https://aur.archlinux.or...stall?h=cryptopro-csp-k1 не увидел, но проблема, вероятно, где-то там. Пришлите в личку диагностический архив, собранный с помощью
Код:
curl https://cryptopro.ru/sites/default/files/products/csp/cprodiag 2>/dev/null|sudo perl

Отредактировано пользователем 1 февраля 2022 г. 12:46:47(UTC)  | Причина: Не указана

Официальная техподдержка. Официальная база знаний.
Вверх
Offline Андрей Русев  
#8 Оставлено : 1 февраля 2022 г. 13:39:12(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,416

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 565 раз в 393 постах
Судя по диагностическому архиву у вас вообще не выполнялся https://aur.archlinux.or...stall?h=cryptopro-csp-k1
Для самопроверки: в /etc/opt/cprocsp/config64.ini должны быть заполнены секции
Код:
[Defaults\Provider]

[Defaults\"Provider Types"]
Официальная техподдержка. Официальная база знаний.
Вверх
Offline Gigses  
#9 Оставлено : 1 февраля 2022 г. 13:46:59(UTC)
Gigses

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.01.2022(UTC)
Сообщений: 5

Сказал(а) «Спасибо»: 1 раз
В этих секциях пусто. Лишь комментарии:
Код:
[Defaults\Provider]
# Провайдеры. Описание провайдера должно содержать поля:
# "Image Path" = путь до разделяемой библиотеки провайдера
# "Type"= тип провайдера (71, 75)

[Defaults\"Provider Types"]
# Типы провайдеров. Описание типа провайдера должно содержать поля:
# "Name"= имя провайдера по умолчанию для данного типа

Каким образом заполнить эти секции?
Вверх
Offline Андрей Русев  
#10 Оставлено : 1 февраля 2022 г. 13:58:59(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,416

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 565 раз в 393 постах
Их должен был заполнить этот скрипт при установке: https://aur.archlinux.or...stall?h=cryptopro-csp-k1
Официальная техподдержка. Официальная база знаний.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
4 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET