Заметки о настройке Crypto Pro CSP 5.0, Rutoken, ЭЦП в Linux
Заметка об установке и настройке ПО для работы с ЭЦП на Linux. В заметке приводится пошаговый пример настройки с отсылками к страницам документации от производителей оборудования и ПО.
Введение
Внимание! Вся нижеприведенная информация не является официальной, написана для личного пользования и подается как есть без каких либо гарантий что она правильно заработает и ничего не сломает. Автор снимает с себя ответственность за какой либо ущерб возникший вследствие употребления нижеприведенных инструкций.
Нам понадобится:
OS: Fedora release 39 (Thirty Nine) x86_64 (rpm based linux x64) || Ubuntu 24.04 x86_64
Лицензионный ключ для КриптоПРО CSP 5.0
Порядок установки
Процесс установки
Окружение необходимое для работы Rutoken Lite
Описание установки и описание работы c Rutoken Lite в Linux на сайте производителя.
Исходя из требований к системе на сайте производителя необходимо наличие USB драйвера для работы со смарт картами CCID free software driver for Unix, а так же сервис и утилиты для работы со смарт картами PCSC lite и OpenSC. В распространенных дистрибутивах нужные версии включены в стандартные репозитории.
Еще необходимо убедиться что сервис запущен и включен:
Проверка корректности работы выполняется с подключенным в USB Rutoken Lite:
В случае проблем см. Определение проблемы с Рутокен ЭЦП в системе.
Установка Крипто-ПРО CSP 5.0 RC2
Загрузка осуществляется с с раздела загрузки https://cryptopro.ru/products/csp/downloads для доступа к которому требуется регистрация на сайте.
Для продолжительной работы с программой потребуется покупка лицензии 1 350,00 ₽ в год либо 2 700,00 ₽ за "вечную" версию при покупке на юр. лицо через р/с.
Если покупать онлайн как физ. лицо будет дороже: 2 200,00 ₽ за год или 4 950,00 ₽ за бессрочную версию, бонусом идет доступ на портал тех. поддержки. (цены на начало 2024 г.)
Для загрузки лучше выбрать актуальную версию программы c подходящей пакетной базой и архитектурой.
Далее разархивируем и переходим в папку с пакетами:
Выполним установку Крипто-ПРО с набором дополнительных пакетов, обеспечивающих работу в графическом интерфейсе, установкой корневых сертификатов и поддержку работы с Rutoken.
При этом в наборе включена поддержка библиотеки
rtpkcs11ecp
, если вам она не нужна уберите пакетcprocsp-rdr-cryptoki
из команды.Так же при установке программы версии R3 или выше можно добавить к команде установки
cprocsp-pki-cades cprocsp-pki-plugin
чтобы не устанавливать их отдельно.
Проверка и ввод лицензии производится в GUI либо командами:
Просмотр:
Ввод лицензии:
Для установки сертификатов с ключа в локальное хранилище нужно подключить Rutoken Lite и воспользоваться командой:
Команда при хорошем раскладе выдаст OK.
и [ErrorCode: 0x00000000]
Установка плагина КриптоПро ЭЦП Browser Plug-in в системе и браузере
Для того чтобы обеспечить взаимодействие Крипто ПРО 5.0 RC2 установленного в системе, браузера и конечных сайтов необходимо установить специальные пакеты и расширения.
Пакеты для Linux и macOS входят в состав дистрибутива КриптоПро CSP 5.0 R3, их больше не надо скачивать и ставить отдельно. На момент написания статьи эта версия еще в статусе "несертифицированный".
Пакеты идут в составе архива с Крипто-Про (cprocsp-pki-cades
и cprocsp-pki-plugin
).
Установка пакетов производится из архива. Его необходимо скачать и разархивировать.
После установки пакетов нужно установить плагин в браузер. Запустите браузер и либо расширение установится автоматически, тогда просто включите его, либо установите воспользовавшись ссылкой.
Проверить корректность установки можно в браузере:
Установка плагина для работы с Госуслугами (IFC) в системе и браузере
Для авторизации и подписания документов на портале www.gosuslugi.ru при помощи электронной подписи потребуется установка еще одной связки пакет IFCPlugin + Расширение для плагина Госуслуг в браузере.
Установка пакетов производится из архива. Необходимо выбрать архив подходящий по архитектуре и типу. Далее переходим в каталог загрузки и устанавливаем пакет:
В конфигурации плагина IFC необходимо добавить указание на Крипто-ПРО CSP. Для этого:
либо в файле
/etc/ifc.cfg
добавить в разделparams
верхней позицией:
Логи плагина находятся в файле:
tail -f /var/log/ifc/engine_logs/engine.log
Так же необходимо прописать символическую ссылку для chromium-based браузеров, т.к. расширение ставится только в директорию google-chrome браузера (привет Ростелеком!):
Далее идем на сайт gosuslugi.ru и там:
нажать на ссылку "Войти с электронной подписью"
нажать на кнопку "Готово"
выбрать нужный сертификат электронной подписи
в окне Ввод пин-кода ввести любое значение (оно на данном этапе не проверяется)
при возникновении окна Крипто-Про CSP ввести пароль для ключевого контейнера
Настройка для работы с ФНС через Крипто ПРО
В целом для работы с сайтом nalog.ru все уже установлено ранее. Для входа через эцп нужно выбрать Доступ с помощью Сертификата ЭП. Для проверки что все работает можно воспользоваться сервисом https://lkip2.nalog.ru/lk#/certificate/requirements.
В Случае если при проверке выдаются ошибки на сертификаты необходимо их доустановить через CriptoPro Tools в GUI.
Настройка и вход в Контур.Диадок через ЭЦП
При попытке входа через ЭЦП в Контур.Диадок нас попросят скачать и установить расширение браузера для диагностики настроек.
Расширение используется для:
Выполнения криптографических операций в сервисах Контур, например подписание документов или вход в систему по сертификату.
Сбора актуальной информации о состоянии компьютера и его настройки с помощью Веб-Диска и Диагностики.
Так же в системе для связи расширения и Крипто-про должен быть установлено приложение kontur.plugin. Выбираем необходимую пакетную базу и скачиваем. Далее устанавливаем из директории со скачанным файлом:
После установки идем на сайт и выбираем вход по сертификату.
При первичном входе с ЭЦП без установленных расширений нас попросят их установить, а так же установить diag.plugin
который позволяет проверить готовность системы и доустановить и настроить крипто-про и плагин контура. Процесс при этом никак не настраивается, а ранее установленный Крипто-про будет переустановлен.
Установка плагина СБИС
Для работы с сервисом нам понадобится установить расширение браузера и плагины в систему.
Плагины можно установить установщиком с сайта, либо вручную.
Добавить репозиторий Sbis3Plugin
Установить пакеты
sbis3plugin
saby-minimal-core
sbis3plugin-additions
:
Сервисы где нас ждут с ЭЦП
https://www.gosuslugi.ru/ - Портал государственных услуг Российской Федерации
https://www.nalog.gov.ru/ - Федеральная налоговая служба
https://ej.sudrf.ru/ - ГАС Провосудие
https://edata.customs.ru/FtsPersonalCabinetWeb2017/ - ФТС личный кабинет участника ВЭД
https://www.diadoc.ru/ - Контур-Диадок
...
Источники
База знаний: КриптоПро CSP > КриптоПро CSP для Linux/UNIX
Реестр корневых сертификатов http://reestr-pki.ru/cdp/
Сертификаты
Сертификат Головного Удостоверяющего Центра (скачать)
Промежуточный сертификат УЦ Федеральной налоговой службы в хранилище сертификатов
Last updated