Меню Рубрики

Установка и работа с рутокена

Как настроить ruToken

Подготовка

  • Все описанные ниже действия необходимо выполнять под учетной записью администратора
  • На время установки драйверов закройте все приложения
  • Rutoken нельзя подключать во время установки драйверов

Установка драйверов и модулей ruToken

Для установки драйверов необходимо:

  1. Сохраните на компьютер один файл с драйверами для носителя:
    • rtDrivers
  2. Запустите установку драйвера rtDrivers
  3. Перезагрузите компьютер

Настройка считывателя в КриптоПро

  1. Вставьте ruToken в USB-порт
  2. Запустите Пуск >Программы >КриптоПро CSP (нажмите на ярлык программы правой кнопкой мыши, выберите Запуск от имени Администратора)
  3. Перейдите на вкладку Оборудование
  4. Нажмите на кнопку «Настроить считыватели»

Откроется окно со списком установленных считывателей. Если в списке нет считывателя Все считыватели смарт-карт, нажмите кнопку «Добавить»

Если кнопка «Добавить» не активна, то нужно перейти на вкладку «Общие» и нажать на ссылку «Запустить с правами администратора».

Для продолжения установки считывателя нажмите кнопку «Далее»

В следующем окне выберите считыватель Все считыватели смарт-карт и нажмите кнопку «Далее»

Для продолжения установки нажмите кнопку «Далее»

  • После чего, чтобы сохранить настройки, нажмите «Готово» > «Ок» > «Ок»
  • Установка сертификатов

    Для того, чтобы система стала запрашивать ruToken при входе, с него нужно установить сертификат. Чтобы узнать, как это сделать, перейдите по данной ссылке (нажмите здесь чтобы перейти).

    источник

    Rutoken driver: установка и настройка

    Рутокен — это физический ключевой носитель (USB-токен) в виде флешки с защищенной картой памяти, на которой хранится информация для генерации электронной подписи. Российская компания «Актив» предлагает широкий выбор смарт-карт, криптоключей с разным функционалом для банковского обслуживания, работы на госплощадках, сдачи отчетности и документооборота.

    К примеру, устройства линейки Lite и S предназначены для защиты служебной информации от несанкционированного доступа. Рутокен ЭЦП 2.0 наряду с продуктами JaCarta используется в ЕГАИС, ЛесЕГАИС и в других автоматизированных системах, где для передачи данных нужна усиленная электронная подпись.

    Большинство USB-ключей Рутокен оснащены встроенным криптопроцессором, поэтому пользователю не придется устанавливать на ПК дополнительное средство криптозащиты.

    Для корректной работы ключевого носителя требуется установка драйвера от компании-производителя. В этой статье поговорим о том, где найти Rutoken drivers, что это за программа, как ее установить и использовать для создания КЭП.

    Rutoken drivers: что это за ПО и для чего оно предназначено

    Токен обеспечивает двухфакторную аутентификацию владельца ключа: чтобы начать работу, пользователь подключает флешку в USB-порт ПК и вводит пароль.

    Сертификат ЭЦП, приобретенный в удостоверяющем центре, содержит в себе два ключа — открытый и закрытый. Открытый позволяет идентифицировать держателя сертификата и подтвердить его авторство при подписании документов. Закрытый компонент, с помощью которого генерируются электронно-цифровые подписи, записывается на физический носитель.

    Для подготовки к работе с сертификатом пользователю нужно совершить следующие действия:

    • приобрести ЭЦП и физический ключ;
    • установить на ПК средство криптозащиты, например КриптоПро CSP (в том случае, если на токене нет лицензии СКЗИ);
    • установить сертификат на рабочем месте;
    • загрузить модуль поддержки для токена и настроить работу криптоключа.

    Для отправки документов, подтвержденных подписью, пользователь регистрируется в системе, которая будет принимать от него сертификат ЭЦП (например, в ЕГАИС или на сайте ФНС). Создание подписи без токена возможно только в том случае, если закрытый ключ записан в реестр вашего ПК (этот вариант не запрещен законодательно, но менее безопасен).

    Rutoken driver нужен для того, чтобы операционная система получила доступ к криптоносителю и настроила правильную работу с сертификатами ЭЦП.

    Актуальные версии драйверов доступны для бесплатного скачивания на официальном сайте производителя. Все они поделены по разделам. Например, драйверы для определенных ОС (Windows, Linux или macOS) нужны только при установке Рутокена S. Все остальные модели криптоносителей готовы к работе сразу после подключения к ПК (без драйверов).

    Чтобы работать с КЭП в ЕГАИС, необходимо установить специальную утилиту для этой системы (используется только для Рутокен ЭЦП 2.0).

    Подпишись на наш канал в Яндекс Дзен — Онлайн-касса!
    Получай первым горячие новости и лайфхаки!

    Как скачать Rutoken driver для Windows 10 x64

    Рутокен поддерживает работу с операционными системами Windows, Linux и Mac OS. Для каждой ОС предлагается определенный набор драйверов и утилит.

    Чтобы скачать Rutoken driver Windows 10 x64, зайдите на сайт www.rutoken.ru в раздел «Поддержка» и нажмите на вкладку «Центр загрузки». На этой странице представлены все доступные программные модули, руководство по их инсталляции, настройке и эксплуатации.

    В списке загрузок выберите пункт «Драйверы для Windows», после чего откроется страница с ссылкой на файл в формате EXE. Драйвер работает со всеми 32- и 64-разрядными версиями Windows: 7, 8, 8.1, 10, Vista, XP и др.

    Нажмите на установочный файл и загрузите его на рабочее место. Процедура займет не более 1 минуты.

    Перед инсталляцией программы и настройкой токена важно выполнить несколько условий:

    • не подсоединяйте криптоключ и другие USB-носители к компьютеру, пока не выполнена установка драйвера;
    • для Рутокен ЭЦП и Lite загрузите CC >

    1. Задай вопрос нашему специалисту в конце статьи.
    2. Получи подробную консультацию и полное описание нюансов!
    3. Или найди уже готовый ответ в комментариях наших читателей.

    Как установить Rutoken driver для Windows 7 x64 и 10 x64

    Для установки драйверов необходимо зайти в систему под правами администратора. Процедура установки ничем не отличается от инсталляции других программ. Запустите скачанный файл rtDrivers.exe и следуйте указаниям Мастера установки:

    • в появившемся окне нажмите клавишу «Установить»;
    • подтвердите согласие на внесение изменений на компьютере кнопкой «Да», после чего запустится процесс добавления считывателей Рутокен;
    • по окончании установки нажмите кнопку «Закрыть»;
    • перезагрузите компьютер;
    • подключите USB-токен к ПК.

    Установка Rutoken driver для Windows 7 x64 и других версий ОС предполагает одинаковый порядок действий. На рабочем столе автоматически появится значок программы.

    Если USB-носитель предполагается использовать на нескольких компьютерах, распределить между ними комплект драйверов удобно с помощью групповых политик. Это комплексный инструмент централизованного управления компьютерами в домене Active Directory.

    Для автоматического распространения программ на все ПК необходимо:

    • в центре загрузок зайти в раздел «Системным администраторам»;
    • выбрать MSI-пакет в соответствии с разрядностью операционной системы;
    • установить и настроить комплект ПО, следуя инструкции.

    источник

    Работа с Рутокен ЭЦП 2.0: от установки драйверов до генерации ключей ЭП

    Многие удостоверяющие центры выпускают электронные подписи на защищенных носителях Рутокен ЭЦП 2.0 от АО «Актив-софт». Преимущество устройств — наличие встроенных средств криптозащиты (СКЗИ), значительно повышающих уровень информационной безопасности. Утечка данных исключена, поскольку все криптографические операции с закрытым ключом выполняются внутри USB-токена.

    Вшитый криптопровайдер делает токен самодостаточным инструментом, позволяя подписывать документы с любого рабочего места без помощи десктопного ПО. Тем не менее, в некоторых случаях для выполнения операций недостаточно просто вставить устройство в USB-разъем.

    В этой статье мы расскажем, как подготовить носитель к работе, как установить и настроить драйверы. Также узнаете, как запустить панель управления, сменить PIN-код для аутентификации, проверить и удалить сертификат, сгенерировать ключ для ЕГАИС.

    Особенности Рутокен ЭЦП 2.0

    Съемный носитель имеет формат USB-флешки или смарт-карты, но, в отличие от последних, оснащается защищенными аппаратными компонентами — памятью для хранения ключей ЭП и встроенным микроконтроллером. В Рутокен ЭЦП вшиты СКЗИ нового поколения, которые сертифицированы ФСБ и ФСТЭК и отвечают требованиям российских стандартов ГОСТ Р 34.10-2012 и ГОСТ Р 34.10-2012. Благодаря высокой надежности, USB-токен может использоваться для работы с ЕГАИС ФСРАР, ФНС, банковскими системами и государственными информационными ресурсами.

    Компания «Актив-софт» выпускает несколько модификаций версии 2.0, которые отличаются либо форм-фактором (размеры корпуса, типы USB-разъемов), либо комплектацией (некоторые модели поставляются с набором документов), либо возможностями (наличие flash-диска у версии Flash).

    Подпишись на наш канал в Яндекс Дзен — Онлайн-касса!
    Получай первым горячие новости и лайфхаки!

    Установка драйверов для Рутокен ЭЦП 2.0

    Устройства совместимы с ОС Microsoft Windows и MacOS. Первый вариант дает больше возможностей — пользователи ОС Windows могут использовать USB-токен для работы с ЕГАИС, а также с другими госпорталами и информационными системами, которые не поддерживают «яблочную» ОС.

    Если вы собираетесь подписывать документы вне площадок, то драйверы для Рутокен ЭЦП 2.0 не потребуются (за исключением «родного» CCID-драйвера ОС Windows). Дополнительные программы для взаимодействия с носителем нужны для работы с ЕГАИС и другими государственными или коммерческими системами, которые предъявляют высокие требования к уровню защиты информации.

    Скачать архив с дистрибутивом можно на официальном сайте производителя «Актив-софт» (rutoken.ru). Далее необходимо распаковать архив и установить утилиту на ПК, следуя подсказкам мастера установки.

    Важно: загруженный установочный файл можно запускать при отсутствии токена в USB-разъеме компьютера. Подключайте устройство только после завершения процесса инсталляции.

    Как запустить панель управления Рутокен ЭЦП

    В комплект драйверов для Windows входит панель управления, которая позволяет переключаться между USB-токенами (если их несколько), просматривать информацию об устройстве, проходить двухфакторную аутентификацию (введение PIN-кода) и выбирать криптопровайдер для использования по умолчанию.

    Наиболее простой способ запустить панель управления Рутокен ЭЦП в ОС Windows — навести курсор мыши на иконку и дважды щелкнуть левой кнопкой. Для упрощения запуска «разрешите» установщику создать иконку на рабочем столе, поставив соответствующую галочку в процессе установки. Если иконка отсутствует, введите название носителя в поисковой строке меню «Пуск» или напишите «control panel» в диалоговом окне (открывается нажатием комбинации клавиш [Win]+[R]).

    Для начала работы с устройством необходимо выбрать нужный носитель в выпадающем списке, при необходимости проверить сведения о нем (ID, срок действия сертификата) и ввести PIN-код пользователя или администратора.

    1. Задай вопрос нашему специалисту в конце статьи.
    2. Получи подробную консультацию и полное описание нюансов!
    3. Или найди уже готовый ответ в комментариях наших читателей.

    PIN-коды Рутокен ЭЦП 2.0: пароли пользователя и администратора

    Для защиты данных применяется двухфакторная аутентификация. Все операции осуществляются при соблюдении двух условий — присутствии токена в USB-разъеме ПК и введении верного пароля.

    Для получения доступа к сертификату и ключевой паре (открытый и закрытый ключи) следует запустить панель управления и ввести PIN-код пользователя, который представляет собой определенную комбинацию символов. По умолчанию используется прямая последовательность цифр от единицы до восьмерки — 12345678.

    Для изменения настроек Рутокен ЭЦП 2.0 понадобится пароль администратора, который также вводится через панель управления. Перед аутентификацией необходимо переключиться с «пользователя» на «администратора». Пароль можно узнать у организации (удостоверяющего центра, банка и пр.), выдавшей носитель ЭП. По умолчанию задается обратная последовательность цифр от восьмерки до единицы — 87654321.

    Важно: перед началом работы рекомендуем изменить пароль по умолчанию на более надежный.

    Как изменить пин-код по умолчанию для пользователя Рутокен ЭЦП 2.0

    Для доступа к функциям Рутокен ЭЦП 2.0 можно использовать пин-код по умолчанию, но этот пароль не обеспечивает защиты данных. В целях безопасности стоит придумать другую комбинацию из 7-10 символов перед первым применением устройства. Запишите новый пароль, чтобы не ошибиться при аутентификации. Учитывайте, что после нескольких ошибочных попыток ввода токен будет заблокирован.

    Как сменить PIN-код пользователя:

    1. Подключите токен к USB-разъему ПК и откройте панель управления.
    2. Выберите носитель, с которым будете работать.
    3. Убедитесь, что переключатель стоит напротив «Пользователь».
    4. Нажмите «Ввести PIN-код» и в появившемся поле введите 12345678. Если пароль указан корректно, напротив строки появится кнопка «Выйти», если некорректно — отобразится сообщение «Неудачная аутентификация» с указанием количества оставшихся попыток.
    5. Нажмите кнопку «Изменить» напротив строки «Изменить PIN-коды пользователя и администратора».
    6. Введите и подтвердите новый пароль, предварительно выбрав роль «Пользователь». Цветовой индикатор поможет определить уровень надежности PIN-кода (зеленый — надежный, красный — ненадежный).

    Важно: если после нескольких ошибок вы введете верный пароль, счетчик неверных попыток вернется в изначальное состояние. Когда попытки закончатся, доступ будет заблокирован. Для разблокировки следует обратиться к администратору.

    Управление пин-кодом администратора Рутокен ЭЦП 2.0

    Смена пин-кода администратора Рутокен ЭЦП 2.0 осуществляется таким же образом, как и изменение пароля пользователя. Для выполнения этой операции необходимо переставить переключатель на «Администратор» при введении пароля по умолчанию (87654321) и нового PIN-кода.

    Администратор может разблокировать или сменить пароль пользователя с помощью соответствующих кнопок в разделе «Управление PIN-кодами». В «Настройках» можно также осуществить кэширование пароля (сохранение в памяти), чтобы вводить его только при первом входе в приложение.

    Важно: после нескольких ошибочных попыток ввода PIN-код администратора блокируется. Для снятия блокировки и смены пароля необходимо вернуть заводские настройки («Форматирование»), что приведет к безвозвратному удалению данных.

    Как посмотреть срок действия сертификата на Рутокен ЭЦП

    Срок действия электронной подписи истекает через 12—15 месяцев после выпуска, поэтому владельцу ЭП следует знать, как посмотреть информацию о сертификате на Рутокен ЭЦП.

    Для проверки срока действия зайдите в Панель управления, введите пароль и перейдите во вкладку «Сертификаты». Выберите USB-токен из списка, а затем нажмите на название сертификата. Точные даты отображаются в строке «Действителен с… по …».

    Если вы используете устройство для ЕГАИС, можете посмотреть информацию на домашней странице УТМ:

    • В Личном кабинете кликните на «Ознакомиться с условиями и проверить их выполнение».
    • Кликните на «Начать проверку».
    • После завершения вернитесь в личный кабинет.
    • Введите PIN-код 12345678.
    • Кликните на «Показать сертификаты».

    источник

    Работа с СКЗИ и аппаратными ключевыми носителями в Linux

    Хранение ключей на токенах и смарт-картах обеспечивает дополнительную защиту от внешних и внутренних нарушителей, в том числе имеющих определенный уровень доступа к информационной системе и оборудованию.

    Сегодня я расскажу, как мы защищаем ключи шифрования и электронной подписи в наших информационных системах, и сделаю это в подробном, хорошо проиллюстрированном руководстве по настройке SUSE Linux Enterprise Server 12 SP3 для работы с токеном Aladdin JaCarta PKI и КриптоПро CSP KC2 4.0.9944.

    Опубликовать данное руководство побудило несколько причин:

    Причина 1

    Официальная документация на Aladdin-RD JaCarta больше адаптирована под операционные системы Astra Linux и ALT Linux, сертифицированные в Минобороны, ФСТЭК и ФСБ как средства защиты информации.

    Причина 2

    Лучшая инструкция по настройке взаимодействия с аппаратными носителями в Linux, которую удалось найти, была также от wiki.astralinux.ru — Работа с КриптоПро CSP

    Причина 3

    UPD 16.04.2019: В процессе настройки среды и оборудования выяснилось, что носитель, первым оказавшийся в распоряжении, был вовсе не JaCarta PKI Nano, как ожидалось, а устройство работающее в режиме SafeNet Authentication Client eToken PRO.

    UPD 16.04.2019: Некогда Банку требовалось устройство, которое могло бы работать в той же инфраструктуре, что и eToken PRO (Java). В качестве такого устройства компания “ЗАО Аладдин Р.Д.” предложила токен JaCarta PRO, который был выбран банком. Однако на этапе формирования артикула и отгрузочных документов сотрудником компании была допущена ошибка. Вместо модели JaCarta PRO в артикул и отгрузочные документы случайно вписали JaCarta PKI.

    UPD 16.04.2019: Благодарю компанию Аладдин Р.Д., за то что помогли разобраться и установить истину.

    В этой ошибке нет никаких политических и скрытых смыслов, а только техническая ошибка сотрудника при подготовке документов. Токен JaCarta PRO является продуктом компании ЗАО “Аладдин Р.Д.”. Апплет, выполняющий функциональную часть, разработан компанией “ЗАО Аладдин Р.Д”.

    Этот eToken PRO относился к партии, выпущенной до 1 декабря 2017 года.
    После этой даты компания «Аладдин Р.Д.» прекратила продажу устройств eToken PRO (Java).

    Забегая немного вперед, нужно сказать, что работа с ним настраивалась через соответствующие драйверы — SafenetAuthenticationClient-10.0.32-0.x86_64, которые можно получить только в поддержке Аладдин Р.Д. по отдельной online заявке.

    В КриптоПро CSP для работы с этим токеном требовалось установить пакет cprocsp-rdr-emv-64 | EMV/Gemalto support module.

    Данный токен определялся и откликался. При помощи утилиты SACTools из пакета SafenetAuthenticationClient можно было выполнить его инициализацию. Но при работе с СКЗИ он вел себя крайне странно и непредсказуемо.

    Проявлялось это следующим образом, на команду:

    Выдавался ответ, что все хорошо:

    Но сразу после попытки зачитать ключи программно эта же проверка начинала выдавать ошибку:

    Согласно перечню кодов ошибок объектной модели компонентов Microsoft COM Error Codes (Security and Setup)

    «Невалидный набор ключей» — причина такого сообщения, возможно, кроется либо в старом чипе, прошивке и апплете Gemalto, либо в их драйверах для ОС, которые не поддерживают новые стандарты формирования ЭП и функции хэширования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

    В таком состоянии токен блокировался. СКЗИ начинало показывать неактуальное состояние считывателя и ключевого контейнера. Перезапуск службы криптографического провайдера cprocsp, службы работы с токенами и смарт-картами pcscd и всей операционной системы не помогали, только повторная инициализация.

    Справедливости ради требуется отметить, что SafeNet eToken PRO корректно работал с ключами ГОСТ Р 34.10-2001 в ОС Windows 7 и 10.

    Можно было бы попробовать установить СКЗИ КриптоПро CSP 4.0 ФКН (Gemalto), но целевая задача — защитить наши ключи ЭП и шифрования с помощью сертифицированных ФСБ и ФСТЭК изделий семейства JaCarta, в которых поддерживаются новые стандарты.

    Проблему удалось решить, взяв настоящий токен JaCarta PKI в (XL) обычном корпусе.

    Но на попытки заставить работать Safenet eToken PRO времени было потрачено немало. Хотелось обратить на это внимание и, возможно, кого-то оградить от подобного.

    Причина 4

    Иногда самому требуется вернуться к старым статьям и инструкциям. Это удобно, когда информация размещена во внешнем источнике. Так что спасибо Хабру за предоставленную возможность.

    Руководство по настройке

    После установки токена JaCarta PKI в USB порт сервера и запуска системы проверяем, что новое устройство обнаружено и появилось в списке:

    В нашем случае это Bus 004 Device 003: ID 24dc:0101

    Пока не установлены все необходимые пакеты, информация о токене не отобразится.

    Установка драйверов и ПО для работы с JaCarta PKI

    Согласно Руководству по внедрению «JaCarta для Linux» пункт 4.2., первым делом требуется установить пакеты pcsc-lite, ccid и libusb.

    Для работы утилиты управления JaCarta необходимо установить следующие компоненты:

    • PC/SC Lite — промежуточный слой для обеспечения доступа к смарт-картам по стандарту PC/SC, пакет pcsc-lite.
    • Библиотеки ccid и libusb для работы с USB-ключами, смарт-картами и считывателями смарт-карт.

    Выполняем проверку наличия этих пакетов и установку:

    В итоге пакет pcsc-lite был обновлен, CCID установлен, libusb никаких действия не требовалось.

    Следующими двумя командами выполняем установку пакета с драйверами и программным обеспечением непосредственно для работы с JaCarta PKI:

    zypper install idprotectclientlib-637.03-0.x86_64.rpm

    zypper install idprotectclient-637.03-0.x86_64.rpm

    Проверяем, что драйверы и ПО для JaCarta PKI установились:

    zypper search idprotectclient

    При попытках заставить работать SafeNet eToken PRO я нашел информацию, что предустановленный в SLES пакет openct — Library for Smart Card Readers может конфликтовать с pcsc-lite — PCSC Smart Cards Library, установку которого требует руководство Аладдин Р.Д.

    Поэтому пакет openct удаляем:

    Теперь все необходимые драйверы и ПО для работы с токеном установлены.

    Выполняем диагностику с помощью утилиты pcsc-tools и убеждаемся, что JaCarta определяется в операционной системе:

    Установка пакетов КриптоПро CSP

    При установке КриптоПро CSP по умолчанию нужные пакеты для работы с токенами и смарт-картами отсутствуют.

    Выполняем установку в CSP компонента поддержки JaCarta components for CryptoPro CSP

    zypper install cprocsp-rdr-jacarta-64-3.6.408.683-4.x86_64.rpm

    Некоторые компоненты имеют зависимости. Так, например, если попытаться выполнить установку пакета поддержки SafeNet eToken PRO cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm — EMV/Gemalto support module, то получим сообщение о необходимости сначала установить базовый компонент CSP поддержки считывателей cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm — PC/SC components for CryptoPro CSP readers:

    Устанавливаем базовые пакеты поддержки считывателей и ключевых носителей:

    zypper install cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm

    zypper install lsb-cprocsp-pkcs11-64-4.0.9944-5.x86_64.rpm

    Теперь можно установить модули для работы с остальными видами носителей и компонент GUI:

    zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm

    Проверяем итоговую конфигурацию КриптоПро CSP:

    S | Name | Summary | Type
    —+——————————+—————————————————-+———
    i+ | cprocsp-curl-64 | CryptoPro Curl shared library and binaris. Build 9944. | package
    i+ | cprocsp-rdr-emv-64 | EMV/Gemalto support module | package
    i+ | cprocsp-rdr-gui-gtk-64 | GUI components for CryptoPro CSP readers. Build 9944. | package
    i+ | cprocsp-rdr-jacarta-64 | JaCarta components for CryptoPro CSP. Build 683. | package
    i+ | cprocsp-rdr-mskey-64 | Mskey support module | package
    i+ | cprocsp-rdr-novacard-64 | Novacard support module | package
    i+ | cprocsp-rdr-pcsc-64 | PC/SC components for CryptoPro CSP readers. Build 9944.| package
    i+ | lsb-cprocsp-base | CryptoPro CSP directories and scripts. Build 9944. | package
    i+ | lsb-cprocsp-ca-certs | CA certificates. Build 9944. | package
    i+ | lsb-cprocsp-capilite-64 | CryptoAPI lite. Build 9944. | package
    i+ | lsb-cprocsp-kc2-64 | CryptoPro CSP KC2. Build 9944. | package
    i+ | lsb-cprocsp-pkcs11-64 | CryptoPro PKCS11. Build 9944. | package
    i+ | lsb-cprocsp-rdr-64 | CryptoPro CSP readers. Build 9944. | package

    Чтобы применить изменения, выполняем перезапуск службы криптографического провайдера и проверяем ее статус:

    Настройка и диагностика КриптоПро CSP

    Проверим, видит ли криптографический провайдер наш токен и другие доступные типы носителей следующими командами:

    /opt/cprocsp/bin/amd64/csptest -card -enum -v –v

    /opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMREADERS | iconv -f cp1251

    /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view -f cp1251

    Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00 — это наш носитель.

    Следуя инструкции КриптоПро CSP для Linux. Настройка, выполняем его регистрацию в криптографическом провайдере:

    В результате выполнения в конфигурационный файл /etc/opt/cprocsp/config64.ini
    в раздел Установка и работа с рутокена будет добавлена запись:

    Установка и работа с рутокена (000000000000) 00 00″\Default]

    Чтобы выполнить требования Формуляра, Правил пользования и Руководства администратора безопасности КриптоПро CSP:

    Использование СКЗИ «КриптоПро CSP» версии 4.0 с выключенным режимом усиленного контроля использования ключей не допускается. Включение данного режима описано в документах ЖТЯИ.00087-01 91 02. Руководство администратора безопасности.

    Необходимо включить режим усиленного контроля использования ключей:

    Проверяем, что режим включен:

    cat /etc/opt/cprocsp/config64.ini | grep StrengthenedKeyUsageControl

    Выполняем перезапуск службы криптографического провайдера:

    После перезапуска проверяем, что ошибок в работе провайдера с ключевыми носителями нет:

    /opt/cprocsp/bin/amd64/csptest -keyset –verifycontext

    /opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum –unique

    Работа с токеном JaCarta PKI

    Запустим программу Xming (X11 forwarding) на своей станции, чтобы по SSH иметь возможность открывать и работать с графическими интерфейсами нужных утилит.

    После установки IDProtectClient — программного обеспечения для работы с JaCarta PKI, на сервере в папке /usr/share/applications появились два файла:

    Это ярлыки, в которых можно посмотреть параметры запуска утилит Exec=/usr/bin/SACTools

    Запустим утилиту IDProtectPINTool.

    С помощью нее задаются и меняются PIN-коды доступа к токену.

    При первой инициализации токена будет полезна ссылка, содержащая PIN-коды (пароли) ключевых носителей по умолчанию

    Программа IDProtect_Manager позволяет просматривать информацию о токене и контейнере с ключами и сертификатом:

    Для доступа к контейнеру с ключами нужно ввести пароль:

    Для работы с SafeNet Authentication Client eToken PRO существуют аналогичные программы — SafeNet Authentication Client Monitor и SafeNet Authentication Client Tools, которые запускаются так:

    Выполнять операции непосредственно с ключевыми контейнерами удобнее в интерфейсе криптографического провайдера КриптоПро JavaCSP:

    Для отображения информации о содержимом контейнера с ключами можно выполнить команду:

    Для диагностики контейнера используется эта же команда с ключом –check

    Потребуется ввести пароль от контейнера:

    Программное извлечение ключей

    В общем виде пример извлечения закрытого ключа и сертификата открытого ключа из контейнера на токене с помощью КриптоПро Java CSP следующий:

    то криптографический провайдер будет пытаться в системе отобразить через консоль или GUI окно запрос на ввод пароля к контейнеру.

    Результаты

    Отторгаемый ключевой носитель-токен установлен во внутренний USB-порт сервера.

    Само серверное оборудование опломбировано и размещается в помещении с ограниченным доступом.

    Такие меры позволяют повысить уровень защиты наших информационных систем от кражи и компрометации ключей электронной подписи или шифрования, как удаленно по сети, так и физически.

    источник

    Читайте также:  Установка gsm модуля на самсунг

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *