Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Установка CryptoPro + CadesPlugin + IFCPlugin(Госуслуги, ЕСИА) - работает!!!  (Прочитано 48647 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн jurganov

  • Старожил
  • *
  • Сообщений: 1402
    • Просмотр профиля
а Электронный бюджет никто не пробовал поставить?

Оффлайн Usermaster

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 2535
    • Просмотр профиля
Это смотря какой бюджет.
Их там много, казначейство не блещет оригинальностью названий.
Если Вы про тот, который черрез "Континент" TLS клиент работает, то этого клиента вроде как нет под Linux.
А поскольку и на windows  там напляшешься с настройками, то версию container надо от старого засунуть чтоб ключи виделись то ещё чего, то под Wine вообще лучше этим не заниматься.
Где продукты кода безопасности, там вечная проблема.
Вот СУФД можно попробовать завести, должно всё рабоать, только у меня нет версии Континент-АП для Linux, а в интернет не нашёл. Поэтому не пробовал.
Как то так.
« Последнее редактирование: 26 Февраля 2020, 21:56:47 от Usermaster »

Оффлайн jurganov

  • Старожил
  • *
  • Сообщений: 1402
    • Просмотр профиля
Это смотря какой бюджет.
Их там много, казначейство не блещет оригинальностью названий.
Если Вы про тот, который черрез "Континент TLS клиент работает, то этого клиента вроде как нет под Linux.
А поскольку и на windows  там напляшешься с настройками, то версию container надо от старого засунуть чтоб ключи виделись то ещё чего, то од Wine вообще лучше этим не заниматься.
Где продукты кода безопасности, там вечная проблема.
Вот СУФД можно попробовать завести, должно всё рабоать, только у меня нет версии Континент-АП для Linux, а в интернет не нашёл. Поэтому не пробовал.
Как то так.
именно Кода безопаснсти имеею в виду.
уже наплясались..
Когда они стали писать софт под новый ГОСТ на сертификаты...
Когда обратились с вопросами по работе бэта-версии Континент TLS 2.0, и когда релиз выйдет, а они ответили, что им некогда этим заниматься, они 4.0 пишут )
и когда на все вопросы о том, что новые сертификаты не работают, получали ответ ,что "делайте все по инструкции". Хотя я прилагал скриншоты и моих действий и результатов. В конце концов я рассвирипел и довольо бранными словами поинтересовался, зачем они пишут тупые отписки, даже не глядя на то, что им пишут.
Через месяц выяснили, что нужен иной типа ключа, а в инструкции ни пол слова об этом.
Код безопасности - ОЧЕНЬ низкий уровень работы.

Континент АП для линукса можно КУПИТЬ у Кода безопасности ))
« Последнее редактирование: 26 Февраля 2020, 17:52:56 от jurganov »

Оффлайн Usermaster

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 2535
    • Просмотр профиля
новые сертификаты не работают
Это как раз тот случай когда надо xContainer засунуть от первой версии.

Пользователь добавил сообщение 28 Февраля 2020, 14:12:24:
Континент АП для линукса можно КУПИТЬ у Кода безопасности ))
Казначейство вроде не роздаёт Linux версию.
А покупать это г... как то и не надо.
У меня пока пользователи, которые с этим связаны, всёравно на Windows работают.
А там глядишь и поменяется чего.

СУФД же (хоть и в связи с переходом на новый ГОСТ) научили работать через Крипто ПРО плагин без использования JAVA.
« Последнее редактирование: 28 Февраля 2020, 14:13:56 от Usermaster »

Оффлайн jurganov

  • Старожил
  • *
  • Сообщений: 1402
    • Просмотр профиля
А покупать это г... как то и не надо.
я считаю, чт Код безопасности ещё приплачивать должен тем, кто польхуется их дерь софтом.
Слава Богу, СУФД мой начальник занимается )

Оффлайн razinkovaleksey

  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Все сделал по инструкции, у меня плагин госуслуг версии 3.1.0, Крипто-проCSP 4, ключи ГОСТ 2012
Физического носителя с ключами никакого нет (делаю это все на виртуальной машине), есть только директория с 6 файлами 0e93ae32.000 (header.key, masks.key, masks2.key, name.key, primary.key, primary2.key) и отдельно файл 0e93ae32.cer

Плагин не видит сертификатов, может их надо как-то смонтировать куда-то?

app1@ubuntu:~$ /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn
CSP (Type:80) v4.0.9017 KC2 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 35603011
\\.\HDIMAGE\0e93ae32-5b2b-4552-a6da-ce457d5cdac5
OK.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.160 sec
[ErrorCode: 0x00000000]



app1@ubuntu:~$ /opt/cprocsp/bin/amd64/certmgr -list -store umy
Certmgr 1.1 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer              : OGRN=1027700198767, INN=007707049388, C=RU, S=78 Санкт-Петербург, L=Санкт-Петербург, STREET="191002, г. Санкт-Петербург, ул. Достоевского д.15", O="ПАО ""Ростелеком""", CN=Тестовый УЦ РТК
Subject             : E=6666600000005@gmail.com, INN=006666666601, SNILS=66666000008, OGRN=6666600000005, O=Организация-6666600000005, STREET=ул. Достоевского д.15, L=Химки, S=50 Московская область, C=RU, G=Руководитель Тестович, SN=Автотестовый, CN=Организация-6666600000005
Serial              : 0x33B48900A6AB69A34FEB561D984E6092
SHA1 Hash           : dd5cad1dd5b2d267033c65e881e5912f30adefb9
SubjKeyID           : ebe3b245e23634e13f388b8d584397a411965a9f
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 bit
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before    : 23/04/2020  08:11:22 UTC
Not valid after     : 23/04/2021  08:21:22 UTC
PrivateKey Link     : Yes                 
Container           : HDIMAGE\\0e93ae32.000\BC90
Provider Name       : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info       : ProvType: 80, KeySpec: 1, Flags: 0x0
CA cert URL         : http://certenroll.test.gosuslugi.ru/cdp/test_ca_rtk.cer
CDP                 : http://certenroll.test.gosuslugi.ru/cdp/4810af0f5ddc992476f7bf0dda4b7d0dd94ce1f7.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.2
                      1.3.6.1.5.5.7.3.4
=============================================================================

[ErrorCode: 0x00000000]


app1@ubuntu:~$ /opt/cprocsp/bin/amd64/cryptcp -copycert -dn CN=Организация-6666600000005 -df  /tmp/cert/0e93ae32.cer
CryptCP 4.0 (c) "Crypto-Pro", 2002-2017.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN:Организация-6666600000005, Автотестовый, Руководитель Тестович, RU, 50 Московская область, Химки, ул. Достоевского д.15, Организация-6666600000005, 6666600000005, 66666000008, 006666666601, 6666600000005@gmail.com
Valid from 23.04.2020 08:11:22 to 23.04.2021 08:21:22

Certificate chain is not checked for this certificate:
RDN:Организация-6666600000005, Автотестовый, Руководитель Тестович, RU, 50 Московская область, Химки, ул. Достоевского д.15, Организация-6666600000005, 6666600000005, 66666000008, 006666666601, 6666600000005@gmail.com
Valid from 23.04.2020 08:11:22 to 23.04.2021 08:21:22

The certificate or certificate chain is based on an untrusted root.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?Y

Certificate chains are checked.
Certificate's been copied.
[ReturnCode: 0]

На этой странице отображается Плагин загружен
https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html
а там где Сертификат: ничего нет
При нажатии подписать выдает:
Select certificate

Лицензия есть
app1@ubuntu:~$ /opt/cprocsp/sbin/amd64/cpconfig -license -view
License validity:
XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
license  - permanent
License type: Server.

Содержимое директории
app1@ubuntu:/var/opt/cprocsp/keys/app1/0e93ae32.000$ ls /var/opt/cprocsp/keys/app1/0e93ae32.000
header.key  masks2.key  masks.key  name.key  primary2.key  primary.key

Или если у кого-то есть нечто подобное только актуальной версии тоже буду признателен
https://github.com/ghostcky/CSP_Selenoid
« Последнее редактирование: 09 Июня 2020, 15:43:44 от razinkovaleksey »

Оффлайн Usermaster

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 2535
    • Просмотр профиля
Это просто замечательно что есть закрытые ключи и отдельно лежащий сертификат.
А этот сертификат пользователя и корневые сертификаты удостоверяющего центра устанавливал в Крипто ПРО?

Примерно так:

Установка корневого сертификата:
certmgr -inst -store root -file <путь к файлу с сертификатом>Установка личного сертификата:
certmgr -inst -file <путь к файлу с сертификатом> -cont <имя контейнера>
P.S. Я бы испльзовал Крипто ПРО 5 для Linux, так-как жить под ним в Linux куда проще.
« Последнее редактирование: 10 Июня 2020, 15:12:43 от Usermaster »

Оффлайн razinkovaleksey

  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Все получилось с Крипто ПРО 5 , но у меня нет для него лицензии )
https://github.com/razinkovaleksey/vnc_chrome_csp

Буду дальше пробовать с 4, спасибо за помощь

upd. Пробовать с 4 не буду, откатил Криптопро CSP до 5.0.11455 , к нему подходит лицензия от 4

Остался только 1 вопрос для чего нужен CADES плагин
« Последнее редактирование: 10 Июня 2020, 21:07:10 от razinkovaleksey »

Оффлайн Usermaster

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 2535
    • Просмотр профиля
к нему подходит лицензия от 4

Вот не знал что от четвёрки лицензия к пятой версии подходит, покупал именно пятую.
Спасибо что поделились.

Пользователь добавил сообщение 11 Июня 2020, 08:07:27:
Остался только 1 вопрос для чего нужен CADES плагин

Всё просто, это связующее звено между сайтом и ЭЦП.
Разработчики реализуют работу ЭЦП через Крипто ПРО плагин, либо через каую либо другую утилиту шифрования (если не используется Крипто ПРО плагин).
Например сайт lesegais.ru использует для подписи документов свою утилиту, она только под винду. И тут уже определённые проблемы.
Госуслуги используют тоже свою утилиту (кривую, с кривым конфигом), хорошо что кроссплатформенную. И им не нужен крипто плагин так-как для работы ЭЦП у них своё связующее звено между сайтом и ЭЦП. В даннгом случае ЭЦП не будет работать без этой утилиты, и не важно есть установленный Крипто ПРО плагин или его нет.  А вот zakupki.gov.ru завязаны именно на плагин Крипто ПРО и там ЭЦП не будет работать именно без установленного плагина Крипто ПРО.
В общем объяснил как смог.
« Последнее редактирование: 11 Июня 2020, 08:14:22 от Usermaster »

Оффлайн razinkovaleksey

  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Ещё вопрос, кто-нибудь сталкивался с дублированием сертификатов на госуслугах?


Пробую ifc.cfg с этой страницы https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/275, если использовать для х64  то отображаются мои сертификаты + лишние сертификаты : ГУЦ, Минкомсвязи и КриптоПро CA
если для x32 то все мои сертификаты дублируются трижды, то есть вместо 2х сертов отображается 6, при этом сертификаты ГУЦ, Минкомсвязи и КриптоПро CA не отображаются

ставил все x64

Оффлайн Noemsko11

  • Новичок
  • *
  • Сообщений: 1
    • Просмотр профиля
Всем привет! Прошу помощи, выбираю необходимый сертификат для входа на госуслуги далее ввожу пинкод, идет прогрузка страницы, но после нескольких секунд прогрузки окна снова окно, которое просит присоединить ключ эцп.   :'Подскажите, куда копать дальше ?
Удалось найти рещение? Тоже ищу...

Оффлайн Usermaster

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 2535
    • Просмотр профиля
Какой пин код вводите? у Вас какая то смарт карта с пин кодом?
Вы случайно не путаете пин код с паролем на ключевой контейнер?

Оффлайн StarCor

  • Любитель
  • *
  • Сообщений: 57
    • Просмотр профиля
Большое спасибо за такой серьезный мануал и проделанную работу!
Хочу уточнить, если на площадке требуется "Проверка поддержки браузером ActiveX", то Firefox не будет работать? Только IE и Windows?

Оффлайн Usermaster

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 2535
    • Просмотр профиля
ActiveX работает только в Windows и только в IE (в EDGE нет), если сайт работает только на этом и больше ни на чём то в Linux это работать не будет.
К примеру сайт zakupki.gov.ru поддреживает работу и ActiveX и другие технологии рабты с крипто средствами.
О чём и свидетельствует то что там можно до сих пор работаь на IE с использованием CAPICOM а можно работать через chromium gost с использованием Крипто ПРО браузер плагина.

P.S. Только вот для меня до сих пор загадка, chomium gost поддерживает Российский ГОСТ ЭЦП так же как и сраный Яндекс браузер. А сайт налоговой в упор не хочет рабтать с chromium gost, требует или Яндекс или того хуже "Спутник", ну или по старинке IE.
« Последнее редактирование: 29 Октября 2020, 12:03:33 от Usermaster »

Оффлайн Usermaster

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 2535
    • Просмотр профиля
Кому интересно по поводу сайта налоговой.
По прямой ссылке
https://lkul.nalog.ru
(именно https, lkul.nalog.ru ведёт на страницу проверки браузера)
в chomium gost авторизация проходит без проблем.

Источник:
https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=17234

Проверено, работает без проблем.

 

Страница сгенерирована за 0.05 секунд. Запросов: 22.