Про то как работать с КриптоПро, как создавать и добавлять сертификаты на платформе Windows, в интернете куча информации. Для Linux систем информации меньше. И вся она разрозненная. Поэтому немного полезностей для разработчика, работающего в Linux.

Основая задача на сегодня: создать тестовый сертификат и добавить его в систему, чтобы им можно было пользоваться при отладке функционала подписания документов с помощью КриптоПро.

Исходим из того что все пакеты КриптоПро установленны на локальном компьютере разработчика.

А так же предполагаем что уже созданно хранилище для сертификатов. Проверить наличие хранилища можно с помощью команды

/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifyc

В этом случае будет выведен список сертифкатов в хранилище в следующем формате:

\\.\HDIMAGE\cert1 \\.\HDIMAGE\cert2

Где собственно HDIMAGE название хранилища и обозначает что сертификаты хранятся на жестком диске.

Если такого хранилища не существует, то его можно создать (из под пользователя root ):

/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add HDIMAGE store

Теперь добавляем в хранилище контейнер для сертификата:

/opt/cprocsp/bin/amd64/csptest -keyset -newkeyset -cont "\\.\HDIMAGE\cert3"

Утилита попросит понажимать клавиши, для генерации случаных чисел. Так же попросит ввести пароль для доступа к контейнеру. Лучше ввести пустой пароль – нажать Enter два раза. Так проще и меньше проблем будет при дальнейшей работе.

Теперь создадим запрос на получение сертификата для созданного контейнера cert3

/opt/cprocsp/bin/amd64/cryptcp -creatrqst -dn "INN=007814508921, [email protected], C=RU, CN=Иванов Иван Иванович, SN=Иванов" -nokeygen -both -ku -cont "cert3" cert3.req

В параметре -dn указываются данные, которые будут хранится в поле Subject сертификата. Созданый запрос будет сохранен в файле cert3.req. Эти данные нужны для получения сертификата в удостоверяющем центре. Для тестового сертификата можно воспользоваться тестовым удостоверяющим центром КриптоПро.

Нам нужен пункт «Отправить запрос, используя base-64 шифрованный файл PKCS #10 или PKCS #7». На следующей странице в поле «Сохраненный запрос» вставляем содержимое файла cert3.req и нажимаем кнопку «Выдать».

Если все прошло успешно, то будет показано сообщение что сертификат выдан. Выбираем «DER-шифрование» и нажимаем ссылку «Загрузить цепочку сертификатов». Скаченный файл сохраняем с именем cert3.p7b (или любым другим, главное запомнить его, чтобы потом найти для следующей операции).

Теперь надо установить полученный сертификат в контейнер:

/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -file ./cert3.p7b -cont "\\.\HDIMAGE\cert3"

Т.е. Устанавливаем полученный сертифкат в контейнер cert3. Так как мы выбрали цепочку сертификатов, то при установке утилита попросит ввести номер устанавливаемого сертификата. Смотрим по Subject какой сертификат «наш» и устанавливаем его. Второй сертификат - это корневой сертификат и его надо установить отдельно.

Корневой сертификат устанавливается с правами пользователя root:

Sudo /opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file ./cert3.p7b

Проверить что все установилось корректно и посмотреть список сертификатов можно с помощью команды:

/opt/cprocsp/bin/amd64/certmgr -list

Особое внимание в данных сертификата следует уделить на поле «PrivateKey Link». Если там значение «No», то значит где-то возникли ошибки и возможно не был добавлен корневой сертификат или еще что-то.
Работосопобность установленного сертификата можно проверить на следующей странице: http://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html

Там используется КриптоПро ЭЦП Browser plug-in. Но раз вы собрались работать с ЭЦП, то либо уже у вас есть, либо понадобится в скором времени. Ставится он довольно легко и существует под все основные браузеры.

На данной странице выбираем только что установленный сертификат и пробуем подписать тестовые данные. В результате получаем либо сообщение об ошибке, либо ответ сервера: «Тип подписи: простая. Подпись проверена.». В этом случае можно сказать что плагин установлен и работает нормально, а созданный сертифкат обладает всей функциональностью и может использоваться для тестирования ЭЦП, а также всего что с этим связанно.

Важное замечание: если в ходе работы с хранилищами, контейнерами и сертифкатами возникают какие-то непонятные ошибки, то в первую очередь следует проверить лицензию на КриптоПро.

Сделать это можно командой:

/opt/cprocsp/sbin/amd64/cpconfig -license -view

Добрый день!. В прошлый раз мы разбирали ситуацию, что утилита КриптоПРО не видела токен Jacarta , согласитесь, что при решении этой проблемы было бы здорово иметь тестовый ключ с сертификатом, и параллельно ваш коллега мог бы тоже траблшутить. Еще тестовый сертификат CryptoPRO может быть полезен, при процедуре переноса контейнера КриптоПРО из реестра в случае с не экспортируемым закрытым ключом. Сегодня я вас научу генерировать нормальный, тестовый сертификат шифрования или подписи для разных задачу.

Генерация тестового сертификата

Как я и писал выше вы много, где сможете его применять, я когда знакомился с миром сертификатов и электронных подписей , то использовал тестовые ЭЦП от КриптоПРО для проверки правильности настройки программного обеспечения для работы на электронных, торговых площадках. Чтобы сгенерировать тестовый электронный сертификат, компания КриптоПРО предоставила вам специальный удостоверяющий, виртуальный центр, которым мы и воспользуемся. Переходим по ссылке:

https://www.cryptopro.ru/certsrv/

Я вам советую этот сайт открывать в Internet Explore, меньше будет глюков. Как открыть Internet Explore в Windows 10, читайте по ссылке слева

Если же вы хотите использовать другой браузер, то установите КриптоПро ЭЦП Browser plug-in.

Сама инсталляция плагина, очень простая, скачиваем его и запускаем.

После инсталляции утилиты, вам нужно будет обязательно перезапустить ваш браузер.

Открыв ваш браузер, вы увидите предупредительный значок, нажмите на него.

В открывшемся окне нажмите "Включить расширение "

Не забудьте установить КриптоПРО CSP на компьютер, где будет генерироваться сертификат

Теперь у нас все готово. Нажимаем "Сформировать ключи и отправить запрос на сертификат ". Согласитесь с выполнением операции.

У вас откроется форма расширенного запроса сертификата. Вначале заполним раздел "Идентифицирующие сведения". В него входят пункты:

• Электронная почта
• Организация
• Подразделение
• Город
• Область
• Страна

• Сертификат проверки подлинности клиента (самый распространенный вариант, по сути для подтверждения, что вы это вы)
• Сертификат защиты электронной почты
• Сертификат подписи кода
• Сертификат подписи штампа времени
• Сертификат IPSec, для VPN тунелей.
• Другие, для специальных OID

Я оставляю "Сертификат проверки подлинности клиента".

Далее вы задаете параметры ключа, указываете, что будет создан новый набор ключей , указываете гост CSP, от него зависит минимальная длина ключа. Обязательно пометьте ключ как экспортируемый, чтобы вы его могли при желании выгружать в реестр или копировать на флешку.

Для удобства еще можете заполнить поле "Понятное имя", для быстрой идентификации вашей тестовой ЭЦП от КриптоПРО. Нажимаем выдать тестовый сертификат.

У вас появится запрос на создание, в котором вам необходимо указать устройство, на которое вы будите записывать тестовый сертификат КриптоПРО, в моем случае это е-токен.

Как только вы выбрали нужное устройство появится окно с генерацией случайной последовательности, в этот момент вам необходимо нажмить любые клавиши или водить мышкой, это защита от ботов.

Все наш контейнер КриптоПРО сформирован и для его записи введите пин-код.

Вам сообщат, что запрошенный вами сертификат был вам выдан, нажимаем "Установить этот сертификат".

Если у вас еще не установленны корневые сертификаты данного центра сертификации, то вы получите вот такую ошибку:

Данный ЦС не является доверенным

У вас начнется его скачивание.

Запускаем его, как видите в левом верхнем углу красный значок, чтобы его убрать нажмите "Установить сертификат", оставьте для пользователя.

На последнем этапе у вас выскочит окно с предупреждением, о подтверждении установки сертификатов, нажимаем "Да".

Открываем снова окно с выпуском тестового сертификата КриптоПРО и заново нажимаем "Установить сертификат", в этот раз у вас вылезет окно с вводом вашего пин-кода от вашего носителя.

Если вы его ввели правильно, то увидите, что новый сертификат успешно установлен.

Уважаемый Пользователь тестового УЦ ООО "КРИПТО-ПРО"!
Сообщаем Вам, что 4 сентября 2014 года была проведена плановая смена ключей и изготовление нового сертификата ключа подписи тестового Удостоверяющего центра ООО "КРИПТО-ПРО". Вам необходимо установить новый сертификат тестового УЦ: cacer3.crt (нажмите "Открыть", затем "Установить сертификат", и в мастере в качестве хранилища сертификатов выберите "Доверенные корневые Центры сертификации")

Программный комплекс КриптоПро УЦ (Удостоверяющий Центр) представляет собой интегрированный набор служб и средств администрирования для создания и развертывания приложений, применяющих криптографическую защиту информации с сертификатами открытых ключей, а также для управления ими.

Подсистема удаленного (Web) доступа пользователей к Центру Регистрации позволяет Вам:

• Зарегистрироваться и получить свой первый сертификат открытого ключа, с помощью которого будет осуществляться взаимодействие с Центром Регистрации.
• Формировать служебные ключи пользователя.
• Создавать и отправлять запросы на формирование сертификатов для различных назначений по шаблонам, установленным в нашем Удостоверяющем Центре.
• Производить плановую смену ключей и сертификатов
• Формировать и отправлять запросы на отзыв сертификатов
• Отслеживать состояние отправленных запросов
• Получать, устанавливать, распечатывать выпущенные сертификаты

Весь обмен информацией с Центром Регистрации Удостоверяющего Центра осуществляется с использованием защищенного протокола TLS с одно и двусторонней аутентификацией.

На базе Учебного центра Softline действуют авторизованные Центры тестирования и сертификации IT-специалистов Pearson VUE, Certiport, Prometric, Red Hat, Лаборатория Касперского. Вы можете сдать экзамен как после в нашем Учебном центре, так и самостоятельно. В результате успешного прохождения тестирования и сдачи экзамена вы получаете международный сертификат от вендора, подтверждающий ваш профессиональный уровень знаний.

• (документ в pdf)

• • Центр тестирования Pearson VUE на базе Учебного центра Softline - самый крупный Центр тестирования в России по количеству сертифицированных специалистов и по количеству рабочих станций.
  • Партнёрство с 2009 года.
  • Центры сертификации в 6 городах России:
  • Pearson VUE – мультивендорный центр тестрирования. На базе Учебного центра Softline вы можете сдать экзамены по технологиям следующих вендоров: Android ATC, Avaya, Check Point, Cisco, Citrix, CompTIA, DELL EMC, Ericsson, EXIN, HPE, IBM, Juniper, Microsoft, NetApp, Micro Focus, Oracle, Palo Alto, Pegasystems, PeopleCert, Riverbed Technology, Symantec, Teradata, The Open Group, VEEAM VMCE, VmWare, Zend Technologies, Huawei.​

  

  • Центры сертификации в 6 городах России: Москве, Санкт-Петербурге, Екатеринбурге, Нижнем Новгороде, Новосибирске и Ростове-на-Дону.
  • Certiport – мультивендорный центр тестрирования. На базе Учебного центра Softline вы можете пройти следующие сертификации: Microsoft Office Specialist, Microsoft Technology Associate, Microsoft Certified Educator, Adobe Certified Associate (CS5+, CS6), Autodesk Certified User, Autodesk Certified Professional.

  

  • В Центре тестирования Red Hat на базе Учебного центра Softline вы можете сдать два экзамена: (Red Hat Certified System Administrator, EX-200) и (Red Hat Certified Engineer, EX-300).
  • Сдать экзамены Red Hat возможно только в очном формате под наблюдением инструктора в классе Учебного центра Softline в соответсвии с расписанием (смотрите города и даты проведения экзаменов и ).
  • Экзамены и выполняются на живом оборудовании в течение половины рабочего дня.

  Электронное согласование документации невозможно без применения электронной подписи (ЭП).

  Для согласования документов в Pilot-ICE на компьютерах пользователей должен быть установлен сертификат ключа ЭП.

  Сертификат ключа электронной подписи

  Сертификат ключа проверки электронной подписи – электронный документ, выданный удостоверяющим центром и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи. Сертификат содержит в себе открытый ключ, сведения о владельце ЭП, а также о том удостоверяющем центре, который оформлял и выдавал ключ. Таким образом, сертификат ключа можно сравнить с неким электронным удостоверением участника системы документооборота. Он должен содержать следующую информацию:

  • даты начала и окончания срока его действия;
  • ФИО – для физических лиц, наименование и место нахождения - для юридических лиц или иная информация, позволяющая идентифицировать владельца сертификата ключа проверки электронной подписи;
  • ключ проверки электронной подписи;
  • наименование используемого средства электронной подписи и (или) стандарты, требованиям которых соответствуют ключ электронной подписи и ключ проверки электронной подписи;
  • наименование удостоверяющего центра, который выдал сертификат ключа проверки электронной подписи;
  • иная информация, предусмотренная частью 2 статьи 17 ФЗ №63 , – для квалифицированного сертификата.

  По истечении срока действия сертификата ключа подписи, обозначенного удостоверяющим центром, он становится недействительным. Для того чтобы продолжить работать в системе управления инженерными данными, следует продлить сертификат.

  При любом изменении реквизитов владельца ключа (смена руководителя организации, названия и т. д.) требуется отозвать действующий сертификат и получить новый.

  Для обеспечения электронного согласования документации внутри организации можно установить центр сертификации предприятия в операционной системе Windows Server.

  Чтобы ЭП подпись можно было использовать вне предприятия, например, для согласования электронной проектной документации в государственных организациях, удобнее всего обратиться к услугам существующих удостоверяющих центров и приобрести ЭП у них. Единый государственный реестр удостоверяющих центров опубликован на сайте Минкомсвязи РФ и на Едином портале ЭЦП в РФ .

  Самостоятельное создание электронной подписи

  Попробовать возможности применения электронной подписи в Pilot-ICE можно и без обращения в удостоверяющий центр. ЭП можно самостоятельно сформировать на компьютере пользователя. Один из самых простых способов - создание тестового сертификата с помощью бесплатной утилиты Make Certificate :

  • cкачайте MakeCertificate.zip на компьютер;
  • распакуйте архив и запустите установку setup.exe ;
  • после завершения установки запустите программу Make Certificate ;
  • в открывшемся окне заполните необходимые поля и нажмите Установить ;
  • в окне предупреждения системы безопасности нажмите Да ;
  • тестовый сертификат установлен и может быть использован для подписывания документов в Pilot-ICE .

  Совместимость Pilot-ICE сертификатами КриптоПро

  Для работы с электронными подписями Pilot-ICE , как и другое ПО, использует криптопровайдеры, встроенные в Windows, обращаясь к интерфейсу CryptoAPI, который доступен через.NET Framework (3.5 и выше). Поэтому разработчики криптопровайдеров, снабдившие свой продукт API на платформе.NET Framework, расширяют совместимость своего продукта.