Портал документации Рутокен

Page tree

Чтобы настроить аутентификацию в веб-сервисах Rutoken KeyBox по сертификатам:

  1. Получите сертификат аутентификации сервера КриптоПро УЦ 2.0.
  2. Установите сертификат в личное хранилище компьютера.

Получение сертификата

  1. Зарегистрируйте нового пользователя КриптоПро УЦ. В качестве имени пользователя укажите FQDN сервера Rutoken KeyBox.
  2. На рабочей станции, где установлен сервер Rutoken KeyBox, войдите в личный кабинет пользователя КриптоПро УЦ по идентификатору и временному паролю.
  3. Создайте запрос на сертификат:
    1. Откройте вкладку Сертификаты.
    2. В верхней панели меню выберите Создать. Откроется окно запроса на сертификат.
    3. Выберите шаблон сертификата Веб-сервер.
    4. Выберите криптопровайдер Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider. Также поддерживаются криптопровайдеры RSA.
    5. В параметре Ключ будет использоваться для выберите Подпись.
    6. Нажмите Создать.
  4. Дождитесь, когда Оператор Центра Регистрации одобрит запрос.
  5. В личном кабинете пользователя КриптоПро перейдите в раздел ЗапросыИзготовление. После выпуска сертификата статус запроса изменится на Завершен. Изготовленный сертификат отобразится на вкладке СертификатыДействительные.
  6. Сохраните сертификат – выделите его и в правой части строки нажмите Скачать.

Установка сертификата в личное хранилище компьютера

Выберите инструкцию в зависимости от ОС рабочей станции, где устанавливается сертификат.

Чтобы установить сертификат в личное хранилище компьютера:

  1. Откройте приложение КриптоПро CSP.
  2. Перейдите на вкладку Сервис.
  3. В разделе Личный сертификат нажмите Установить личный сертификат.... Откроется Мастер установки личного сертификата.

  4. Укажите путь к файлу сертификата. Выберите сертификат рабочей станции, на которой установлен сервер Rutoken KeyBox. Нажмите Далее.

    Не устанавливайте пароль на контейнер закрытого ключа при установке сертификата.

  5. Включите опцию Найти контейнер автоматически. В качестве хранилища контейнера определится Реестр.
  6. В блоке Введенное имя задает ключевой контейнер выберите Компьютера и нажмите Далее.
  7. Завершите установку сертификата.

Выдайте Rutoken KeyBox права на чтение закрытого ключа сертификата:

  1. Перейдите в оснастку Сертификаты (Certificates) компьютера, на котором установлен сервер Rutoken KeyBox.
  2. Правой кнопкой мыши нажмите на сертификат, выберите Все задачи (All tasks) →Управление закрытыми ключами... (Manage Private Keys...).
  3. Нажмите Добавить (Add).
  4. в меню Размещение (Location) укажите сервер.
  5. В поле Введите имена выбранных объектов (Enter the object names to select) укажите локальную группу IIS_IUSRS, нажмите Проверить имена (Check Names) и ОК.
  6. Выставите права Полный доступ (Full Control) и Чтение (Read).
  7. Нажмите Применить (Apply).


  1. Выполните вход в систему с учетной записью, от имени которой будет запускаться Rutoken KeyBox. По умолчанию это пользователь www-data.

    1. Проверьте наличие пользователя www-data:

      cat /etc/passwd | grep www-data
      Пример вывода, если пользователь www-data существует, и вход запрещен
      www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin

    2. Если пользователь www-data существует, и вход запрещен, смените оболочку на/bin/bash:

      sudo usermod -s /bin/bash www-data

      Если пользователя www-data не существует, выполните:

      sudo useradd -m -d /var/www -s /bin/bash www-data

    3. Проверьте результат:

      cat /etc/passwd | grep www-data
      Пример вывода, если пользователь www-data существует, и можно выполнить вход
      www-data:x:33:33:www-data:/var/www:/bin/bash

    4. Выполните вход от имени пользователя www-data:

      sudo su www-data

  2. Установите сертификат в формате PFX с помощью утилиты certmgr.exe:

    /opt/cprocsp/bin/amd64/certmgr -install -pfx -file <путь к файлу PFX> -pin <пароль от файла PFX>

  3. Поместите корневой сертификат в локальное хранилище корневых сертификатов пользователя:

    /opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file <путь к файлу CRT>

  4. Добавьте корневой сертификат в список доверенных корневых сертификатов:

    1. Поместите корневой сертификат в хранилище доверенных корневых сертификатов:

      sudo cp <путь к файлу CRT> /etc/pki/ca-trust/source/anchors/

    2. Обновите хранилище доверенных корневых сертификатов:

      sudo update-ca-trust extract

    3. Перезапустите систему:

      sudo reboot

    1. Поместите корневой сертификат в хранилище доверенных корневых сертификатов:

      sudo cp <путь к файлу CRT> /usr/local/share/ca-certificates/

    2. Перенастройте список доверенных корневых сертификатов:

      sudo dpkg-reconfigure ca-certificates

    3. Перезапустите систему:

      sudo reboot
  • No labels