Page tree

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Current »

В разделе описывается, как установить сертификаты для сервисов и интеграций Rutoken KeyBox на рабочие станции под управлением OC Windows или Linux.

Установите следующие сертификаты:

  • на сервер Rutoken KeyBox:
  • на рабочие станции пользователей – корневые сертификаты УЦ и список отозванных сертификатов (CRL).

Список отозванных сертификатов (CRL) содержит информацию о сертификатах, которые были отозваны в УЦ. Для проверки статуса корневых и промежуточных сертификатов убедитесь, что на рабочие станции пользователей и на сервер Rutoken KeyBox установлены актуальные списки отозванных сертификатов (CRL) от интегрированных УЦ.

Windows

Сертификаты можно установить следующими способами:

  1. Откройте файл сертификата и нажмите Установить сертификат....
  2. В мастере импорта сертификатов выберите расположение хранилища Текущий пользователь или Локальный компьютер и нажмите Далее.
  3. Выберите Поместить все сертификаты в следующее хранилище, нажмите Обзор и выберите:
    • Личное — для сертификатов пользователя или компьютера;
    • Доверенные корневые центры сертификации — для корневых сертификатов УЦ;
    • Промежуточные центры сертификации — для промежуточных сертификатов УЦ и списка отозванных сертификатов (CRL).
  4. Нажмите Далее и Готово.

Выдача разрешений на чтение закрытого ключа сертификата

После установки сертификата выдайте системе разрешения на чтение закрытого ключа.

  1. Откройте оснастку Сертификаты (Certificates).
  2. Правой кнопкой мыши нажмите на сертификат и выберите Все задачи (All tasks) → Управление закрытыми ключами... (Manage Private Keys...).
  3. Нажмите Добавить (Add).
  4. В меню Размещение (Location) укажите сервер.
  5. В поле Введите имена выбранных объектов (Enter the object names to select) укажите локальную группу IIS_IUSRS и нажмите Проверить имена (Check Names) и ОК.
  6. Выставите разрешения Полный доступ (Full Control) и Чтение (Read).
  7. Нажмите Применить (Apply).
  1. Откройте оснастку Сертификаты (Certificates): в меню Пуск выберите Выполнить (Win+R) и введите:
    • certmgr.msc, чтобы открыть хранилище сертификатов текущего пользователя;
    • certlm.msc, чтобы открыть хранилище сертификатов локального компьютера.
  2. Перейдите в нужное хранилище:
    • Личное — для сертификатов пользователя или компьютера;
    • Доверенные корневые центры сертификации — для корневых сертификатов УЦ;
    • Промежуточные центры сертификации — для промежуточных сертификатов УЦ и списка отозванных сертификатов (CRL).
  3. В верхнем меню оснастки Сертификаты выберите Действие  Все задачи  Импорт.
  4. Следуйте инструкциям мастера импорта сертификатов.

Выдача разрешений на чтение закрытого ключа сертификата

После установки сертификата выдайте системе разрешения на чтение закрытого ключа.

  1. Откройте оснастку Сертификаты (Certificates).
  2. Правой кнопкой мыши нажмите на сертификат и выберите Все задачи (All tasks) → Управление закрытыми ключами... (Manage Private Keys...).
  3. Нажмите Добавить (Add).
  4. в меню Размещение (Location) укажите сервер.
  5. В поле Введите имена выбранных объектов (Enter the object names to select) укажите локальную группу IIS_IUSRS и нажмите Проверить имена (Check Names) и ОК.
  6. Выставите разрешения Полный доступ (Full Control) и Чтение (Read).
  7. Нажмите Применить (Apply).

Для работы с ГОСТ-сертификатами установите приложение КриптоПро CSP версии 5.0 или выше.

Чтобы установить ГОСТ-сертификат:

  1. Откройте КриптоПро CSP и перейдите на вкладку Сервис.
  2. В разделе Личный сертификат нажмите Установить личный сертификат.... Откроется Мастер установки личного сертификата.
  3. Укажите путь к файлу сертификата. Возможные форматы файла:
    • PFX, P12 — файл с закрытым ключом;
    • CER, CRT — файл сертификата (требуется контейнер закрытого ключа).
  4. Нажмите Далее.

    Не устанавливайте пароль на контейнер закрытого ключа сертификата. Нажмите Далее без ввода пароля.

  5. В окне контейнера закрытого ключа выберите:
    • Найти контейнер автоматически — КриптоПро CSP найдет контейнер по имени сертификата;
    • Выбрать контейнер вручную — выберите имя контейнера из списка.
  6. В блоке Введенное имя задает ключевой контейнер выберите Компьютера и нажмите Далее.
  7. Нажмите Далее и Готово.

Linux

Если сертификат выпущен на рабочей станции под управлением ОС Windows, экспортируйте сертификат и его закрытый ключ.

  1. В оснастке Сертификаты правой кнопкой мыши нажмите на сертификат и выберите Все задачи (All Tasks) → Экспорт (Export). Откроется мастер экспорта сертификатов.
  2. Нажмите Далее (Next), выберите Да, экспортировать закрытый ключ (Yes, export the private key) и два раза нажмите Далее (Next).
  3. Установите пароль — включите опцию Пароль (Password), введите и подтвердите пароль. Нажмите Далее (Next).
  4. Выберите папку для экспорта сертификата.
  5. Нажмите Готово (Finish). В папке сохранится сертификат в формате PFX.
  6. Перенесите сертификат на рабочую станцию под управлением ОС Linux и следуйте инструкциям, описанным далее.


Cертификат можно установить следующими способами:

  1. Войдите в систему с учетной записью, от имени которой будет запускаться Rutoken KeyBox. По умолчанию это пользователь www-data.
    sudo su -s /bin/sh www-data
    1. Проверьте наличие пользователя www-data.
      cat /etc/passwd | grep www-data
      
      #Пример вывода, если пользователь www-data существует
      www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
    2. Если пользователя www-data не существует, создайте его.
      sudo useradd -m -d /var/www -s /usr/sbin/nologin www-data


  2. Разделите файл PFX на файл сертификата и файл закрытого ключа. Вместо PFXFILE подставьте имя файла PFX.

    При выполнении команд утилита openssl предлагает установить пароль для файла закрытого ключа (.key). Оставьте файл без пароля: два раза нажмите Enter.


    openssl pkcs12 -in PFXFILE.pfx -nokeys | sed -ne '/-BEGIN CERTIFICATE/,/END CERTIFICATE/p' > cert.crt
    openssl pkcs12 -in PFXFILE.pfx -cacerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > ca.crt
    openssl pkcs12 -in PFXFILE.pfx -nocerts -out SSLencrypted.key
    openssl rsa -in SSLencrypted.key -out cert.key
    rm SSLencrypted.key
    Файл сертификата cert.crt должен содержать следующее:
    -----BEGIN CERTIFICATE-----
    #Ваш сертификат#
    -----END CERTIFICATE-----


  3. Создайте поддиректорию домашнего каталога пользователя www-data.
    sudo mkdir -p /var/www/.dotnet/corefx/cryptography/x509stores/my/
  4. Объедините файл сертификата и файл ключа обратно в файл PFX. Поместите файл PFX в поддиректорию домашнего каталога пользователя.

    При выполнении команды утилита openssl предлагает установить пароль для файла PFX. Оставьте файл без пароля: два раза нажмите Enter.

    sudo openssl pkcs12 -export -out /var/www/.dotnet/corefx/cryptography/x509stores/my/PFXFILE.pfx -inkey cert.key -in cert.crt


  5. Настройте право доступа 600 к файлу PFX.
    sudo chmod 600 /var/www/.dotnet/corefx/cryptography/x509stores/my/PFXFILE.pfx
  6. Если вы устанавливаете корневой сертификат УЦ, добавьте его в список доверенных корневых сертификатов.
    1. Поместите корневой сертификат в хранилище доверенных корневых сертификатов.
      sudo cp <путь к файлу CER или CRT> /usr/share/ca-certificates/
    2. Перенастройте список доверенных корневых сертификатов.
      sudo dpkg-reconfigure ca-certificates
    3. Перезапустите систему.
      sudo reboot

    1. Поместите корневой сертификат в хранилище доверенных корневых сертификатов.
      sudo cp <путь к файлу CER или CRT> /etc/pki/ca-trust/source/anchors/
    2. Перенастройте список доверенных корневых сертификатов.
      sudo update-ca-trust extract
    3. Перезапустите систему.
      sudo reboot
  1. Войдите в систему с учетной записью, от имени которой будет запускаться Rutoken KeyBox. По умолчанию это пользователь www-data.
    sudo su -s /bin/sh www-data
    1. Проверьте наличие пользователя www-data.
      cat /etc/passwd | grep www-data
      
      #Пример вывода, если пользователь www-data существует
      www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
    2. Если пользователя www-data не существует, создайте его.
      sudo useradd -m -d /var/www -s /usr/sbin/nologin www-data


  2. Установите сертификат в формате PFX с помощью утилиты certmgr.exe.
    Личный сертификат
    # PFX
    /opt/cprocsp/bin/amd64/certmgr -inst -pfx -file <путь к файлу PFX> -pin <пароль от файла PFX>
    # CER
    /opt/cprocsp/bin/amd64/certmgr -inst -file <путь к файлу CER> -cont <имя сертификата> -silent

    Корневой сертификат
    /opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file <путь к файлу CER или CRT>
    Список отозванных сертификатов (CRL)
    /opt/cprocsp/bin/amd64/certmgr -inst -crl -file <путь к файлу CRL>
  3. Если вы устанавливаете корневой сертификат УЦ, добавьте его в список доверенных корневых сертификатов.
    1. Поместите корневой сертификат в хранилище доверенных корневых сертификатов.
      sudo cp <путь к файлу CER или CRT> /usr/share/ca-certificates/
    2. Перенастройте список доверенных корневых сертификатов.
      sudo dpkg-reconfigure ca-certificates
    3. Перезапустите систему.
      sudo reboot

    1. Поместите корневой сертификат в хранилище доверенных корневых сертификатов.
      sudo cp <путь к файлу CER или CRT> /etc/pki/ca-trust/source/anchors/
    2. Перенастройте список доверенных корневых сертификатов.
      sudo update-ca-trust extract
    3. Перезапустите систему.
      sudo reboot


В приложении Инструменты КриптоПро можно установить только ГОСТ-сертификаты.

  1. Войдите в систему с учетной записью, от имени которой будет запускаться Rutoken KeyBox. По умолчанию это пользователь www-data.
    sudo su -s /bin/sh www-data
    1. Проверьте наличие пользователя www-data.
      cat /etc/passwd | grep www-data
      
      #Пример вывода, если пользователь www-data существует
      www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
    2. Если пользователя www-data не существует, создайте его.
      sudo useradd -m -d /var/www -s /usr/sbin/nologin www-data

  2. Запустите cptools.

    /opt/cprocsp/bin/amd64/cptools

  3. Перейдите на вкладку Сертификаты.

  4. В выпадающем списке хранилищ сертификатов выберите:

    • Личное — для сертификатов пользователя или компьютера;
    • Доверенные корневые центры сертификации — для корневых сертификатов УЦ;
    • Промежуточные центры сертификации — для промежуточных сертификатов УЦ и списка отозванных сертификатов (CRL).
  5. Нажмите Установить сертификаты, выберите файл сертификата и нажмите Открыть.

Если сертификат установлен, в нижней части окна появится сообщение Установка завершена.


  • No labels