Портал документации Рутокен

Page tree

ПАК "КриптоПро DSS" версии 2.0 предназначен для защищенного хранения закрытых ключей пользователей и для удаленного выполнения операций по созданию электронной подписи.

Интеграция c Rutoken KeyBox позволяет выпускать средства облачной аутентификации и вести их централизованный учет. Для работы с электронной подписью не требуется устройство (USB-токен или смарт-карта), ключи генерируются и хранятся в хранилище КриптоПро DSS. Для доступа и использования электронной подписи применяется облачный криптопровайдер КриптоПро Cloud CSP.

Предварительные настройки

Для интеграции Rutoken KeyBox c КриптоПро DSS настройте следующее:

  • сервер Rutoken KeyBox версии 5.1 и выше;
  • ПАК "КриптоПро УЦ" 2.0;
  • ПАК "КриптоПро DSS" 2.0;
  • ПАКМ "КриптоПро HSM";
  • КриптоПро CSP 5.0;
  • интеграция КриптоПро УЦ 2.0 с КриптоПро DSS.

Интеграция КриптоПро УЦ 2.0 и КриптоПро DSS необходима для управления пользователями и их сертификатами в удостоверяющем центре. КриптоПро DSS выступает в роли привилегированного пользователя по отношению к КриптоПро УЦ 2.0. Создание и обновление пользователей, запрос сертификатов и прочие действия на УЦ в этом случае выполняются от имени Оператора DSS. Подробная инструкция по интеграции входит в комплект поставки ПАК "КриптоПро DSS".

Настройка интеграции

Для работы с КриптоПро DSS используется учетная запись Оператор DSS, сертификат которой должен храниться на сервере Rutoken KeyBox.

Выберите инструкцию в зависимости от ОС рабочей станции, где устанавливается сертификат Оператора DSS.

Чтобы установить сертификат Оператора DSS:

  1. Добавьте сертификат Оператора DSS в Локальное хранилище компьютера (Local Computer) на сервере Rutoken KeyBox.
  2. Добавьте корневой сертификат КриптоПро УЦ 2.0 и корневой сертификат DSS в Доверенные корневые центры сертификации (Trusted Root Certification Authorities) на сервере Rutoken KeyBox.
  3. Выдайте системе права на чтение закрытого ключа сертификата Оператора DSS:
    1. Перейдите в оснастку Сертификаты (Certificates) компьютера, на котором установлен сервер Rutoken KeyBox.
    2. Правой кнопкой мыши нажмите на сертификат, выберите Все задачи (All tasks) →Управление закрытыми ключами... (Manage Private Keys...).
    3. Нажмите Добавить (Add).
    4. в меню Размещение (Location) укажите сервер.
    5. В поле Введите имена выбранных объектов (Enter the object names to select) укажите локальную группу IIS_IUSRS, нажмите Проверить имена (Check Names) и ОК.
    6. Выставите права Полный доступ (Full Control) и Чтение (Read).
    7. Нажмите Применить (Apply).
  4. Выдайте права на папку с пользователями в КриптоПро УЦ 2.0 для учетной записи Оператор DSS:
    1. Создайте группу безопасности, например, DSS Operators, и добавьте в нее учетную запись Оператор DSS.
    2. Откройте свойства папки, где будут располагаться пользователи DSS, перейдите на вкладку Безопасность (Security) и добавьте созданную группу DSS Operators.

    3. Выдайте группе следующие права:

      Наименование разрешенияТип объектаКомментарий
      Чтение свойствПапка, ПользовательЧтение свойств объекта. Если у субъекта нет права чтения свойств объекта, то объект не виден субъекту
      Запрос регистрацииПапкаСоздание запроса на регистрацию пользователя
      Запрос сертификатаПользователь, шаблонСоздание запроса сертификата для пользователя
      Запрос аннулированияПользовательСоздание запроса на аннулирование сертификата пользователя
      Запрос приостановленияПользовательСоздание запроса на приостановление сертификата пользователя
      Запрос возобновленияПользовательСоздание запроса на возобновление сертификата пользователя
      Одобрение регистрацииПапкаОдобрение запроса на регистрацию пользователя
      Одобрение сертификатаПользователь, шаблонОдобрение запроса сертификата для пользователю
      Одобрение аннулированияПользовательОдобрение запроса на аннулирование сертификата пользователя
      Одобрение приостановленияПользовательОдобрение запроса на приостановление сертификата пользователя
      Одобрение возобновленияПользовательОдобрение запроса на возобновление сертификата пользователя
      Передача запросовПользовательПередача запросов, подписанных пользователем-получателем услуги, а не подписью пользователя, передающего или одобряющего запрос
      Запрос переименованияПользовательСоздание запроса на изменение данных пользователя
      Одобрение переименованияПользовательОдобрение запроса на изменение данных пользователя

Выполните вход в систему с учетной записью, от имени которой будет запускаться Rutoken KeyBox. По умолчанию это пользователь www-data.

  1. Проверьте наличие пользователя www-data:

    cat /etc/passwd | grep www-data
    Пример вывода, если пользователь www-data существует
    www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin

  2. Если пользователя www-data не существует, создайте его:

    sudo useradd -m -d /var/www -s /usr/sbin/nologin www-data

  3. Выполните вход от имени пользователя www-data:

    sudo su -s /bin/sh www-data

Установите сертификат Оператора DSS в формате PFX с помощью утилиты certmgr.exe:

/opt/cprocsp/bin/amd64/certmgr -install -pfx -file <путь к файлу PFX> -pin <пароль от файла PFX>

Поместите корневой сертификат DSS в локальное хранилище корневых сертификатов пользователя:

/opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file <путь к файлу CRT>

Добавьте корневой сертификат КриптоПро УЦ 2.0 и корневой сертификат DSS в список доверенных корневых сертификатов:

  1. Поместите корневые сертификаты в хранилище доверенных корневых сертификатов:

    sudo cp <путь к файлу1.crt> <путь к файлу2.crt> /etc/pki/ca-trust/source/anchors/

  2. Обновите хранилище доверенных корневых сертификатов:

    sudo update-ca-trust extract

  3. Перезапустите систему:

    sudo reboot

  1. Поместите корневые сертификаты в хранилище доверенных корневых сертификатов:

    sudo cp <путь к файлу1.crt> <путь к файлу2.crt> /usr/local/share/ca-certificates/

  2. Перенастройте список доверенных корневых сертификатов:

    sudo dpkg-reconfigure ca-certificates

  3. Перезапустите систему:

    sudo reboot



  • No labels