ฉันตัดสินใจที่จะอุทิศรายการสั้น ๆ ของวันนี้ในหัวข้อการสร้างอุปกรณ์อิเล็กทรอนิกส์ ลายเซ็นดิจิทัลใช้ผู้ให้บริการเข้ารหัสลับ “CryptoPRO” เราจะพูดถึงไฟล์ Bat ที่สามารถใช้เพื่อทำให้การลงนามในเอกสารอิเล็กทรอนิกส์เป็นแบบอัตโนมัติ
เพื่อให้กระบวนการลงนามในเอกสารอิเล็กทรอนิกส์เป็นไปโดยอัตโนมัติ เราจะต้อง:
1) Crypto-PRO CSP;
2) ใส่คีย์ USB (เช่น Rutoken) ลงในพอร์ต USB
3) แผ่นจดบันทึก (Notepad.exe);
4) ติดตั้งใบรับรองสำหรับคีย์ของคุณ
สิ่งกีดขวางในเรื่องนี้คือไฟล์ csptest.exe ซึ่งอยู่ในไดเร็กทอรี CryptoPro (โดยค่าเริ่มต้น C:\Program Files\Crypto Pro\CSP\csptest.exe).
มาเปิดบรรทัดคำสั่งแล้วรันคำสั่ง:
ซีดี C:\Program Files\Crypto Pro\CSP\ และ csptest
เราจะเห็นพารามิเตอร์ที่เป็นไปได้ทั้งหมดของไฟล์ exe นี้
เลือกจาก:-ช่วยพิมพ์ความช่วยเหลือนี้ -noerrorwait อย่ารอคีย์ใด ๆ บนข้อผิดพลาด -notime ไม่แสดงเวลาที่ผ่านไป -หยุดชั่วคราว รอการป้อนข้อมูลด้วยแป้นพิมพ์หลังจากเสร็จสิ้น เพื่อให้คุณสามารถตรวจสอบการใช้หน่วยความจำและทรัพยากรอื่น ๆ -รีบูต Call DestroyCSProvider() ของ CSP ที่ใช้ครั้งล่าสุด ที่ทางออกบริการ (cryptsrv*, HSM ฯลฯ) ไม่ได้รับผลกระทบ -randinitการทดสอบและการตั้งค่ามาสก์ฟังก์ชันที่เหมาะสมที่สุด -testcont ติดตั้ง/ถอนการติดตั้งคอนเทนเนอร์ทดสอบ -ติดตั้งข้อมูลการติดตั้ง CSP, ล้าง CSP -เวอร์ชัน พิมพ์เวอร์ชัน CSP
หากต้องการดูพารามิเตอร์ของตัวเลือกส่วนกลางเฉพาะ เพียงเรียกไฟล์นี้ด้วยตัวเลือกนี้ เป็นต้น
ดังนั้นในการลงนามไฟล์ผ่าน cmd โดยใช้ csptest.exe คุณต้องเรียกคำสั่ง:
Csptest -sfsign -sign -in Dogovor.doc - ออก Dogovor.doc.sig -my MyPrograms LLC Ivanov Ivan Ivanovich
ที่ไหน:
-ของฉัน— ระบุเจ้าของกุญแจ
-ใน— ระบุว่าไฟล์ใดที่ต้องลงนาม หากไฟล์ไม่อยู่ในโฟลเดอร์ที่มี csptest คุณจะต้องระบุเส้นทางแบบเต็ม
-ออก— ระบุชื่อของไฟล์ลายเซ็น
คุณสามารถตรวจสอบลายเซ็นได้ที่เว็บไซต์ Gosulsug โดยใช้ลิงก์นี้
โดยเร็วที่สุด หากคุณดาวน์โหลดไฟล์นี้บนเว็บไซต์บริการของรัฐ ข้อผิดพลาดจะปรากฏขึ้น เนื่องจากจำเป็นต้องมีข้อมูลเกี่ยวกับผู้ออกใบรับรอง นอกจากนี้วันที่และเวลาในการลงนามในเอกสารจะไม่ฟุ่มเฟือย ในการดำเนินการนี้ เราต้องเพิ่มพารามิเตอร์สองตัวให้กับคำสั่งของเรา:
Csptest -sfsign -sign -in Dogovor.doc - ออก Dogovor.doc.sig -my MyPrograms LLC Ivanov Ivan Ivanovich -เพิ่มเวลา -เพิ่ม
หากเราต้องการลายเซ็นในรูปแบบที่เชื่อมโยง เราจะเพิ่มพารามิเตอร์อีกหนึ่งตัว:
Csptest -sfsign -sign -in Dogovor.doc -ออก Dogovor.doc.sig -my LLC MyPrograms Ivanov Ivan Ivanovich -addsigtime -เพิ่ม -แยกออก
บันทึก:
หากเอกสารลงนามไม่ถูกต้อง
ไม่สามารถเปิดไฟล์ได้
เกิดข้อผิดพลาดในการรันโปรแกรม
.\signtsf.c:321:ไม่สามารถเปิดไฟล์อินพุตได้
หมายเลขข้อผิดพลาด 0x2 (2)
ไม่พบไฟล์ที่ระบุ
เมื่อเรียกตามตัวอย่างที่แล้วและแน่ใจว่าพาธในพารามิเตอร์ -in และ -out ถูกต้อง ลองสร้างลายเซ็นตามตัวอย่างแรกแล้วรันคำสั่งด้วยพารามิเตอร์ครบชุด!!!
เราได้รับคำสั่งหลักในการลงนาม ตอนนี้เรามาทำให้ขั้นตอนง่ายขึ้นเล็กน้อย มาสร้างไฟล์ bat ซึ่งเมื่อเปิดตัวแล้วจะเซ็นชื่อไฟล์ Secret.txt ซึ่งอยู่ในโฟลเดอร์เดียวกับไฟล์ bat มาเปิดแผ่นจดบันทึกแล้วจดรหัสต่อไปนี้:
Chcp 1251 ตั้งค่า CurPath=%cd% cd C:\Program Files\Crypto Pro\CSP โทร csptest -sfsign -sign -in %CurPath%\Secret.txt -out %CurPath%\Secret.txt.sig -my MyPrograms LLC Ivanov Ivan Ivanovich -addsigtime -เพิ่ม -detached cd %CurPath%
คลิก "ไฟล์" -> "บันทึกเป็น" -> ตั้งชื่อ s.bat -> "บันทึก"
นั่นคือทั้งหมดที่ สำหรับการอ้างอิง:
ซีซีพี 1251— ตั้งค่าการเข้ารหัสสำหรับ CMD จำเป็นสำหรับการประมวลผลตัวอักษรรัสเซียที่ถูกต้องในรหัส
ตั้งค่า CurPath=%cd%— บันทึกเส้นทางของไดเร็กทอรี CMD ปัจจุบันไปยังตัวแปร CurPath
ซีดี— ตั้งค่าเส้นทาง CMD ปัจจุบัน
เรียก— เปิดโปรแกรม
ติดตั้งระบบ ROSA Enterprise Linux Server 6.7 ในการกำหนดค่า "ROSA Standard Server" เข้าถึงที่เก็บ (สำหรับสิ่งนี้คุณต้องใช้คีย์ที่ได้รับล่วงหน้าจากบริการสนับสนุนโดยดำเนินการคำสั่ง echo "<ключ>"> /etc/rosa-support-id-server ด้วยสิทธิ์ผู้ดูแลระบบ)
การบังคับใช้
คำแนะนำจะอธิบายการติดตั้ง CIPF CryptoPro CSP 4.0 สำหรับ ROSA Enterprise Linux Server 6.7 เพื่อทำงานร่วมกับ Rutoken ตัวอย่างนี้ระบุไว้สำหรับสถาปัตยกรรม AMD64 64 บิต สำหรับสถาปัตยกรรม 32 บิต การติดตั้งจะคล้ายกัน ยกเว้นการระบุแพ็คเกจและโฟลเดอร์การติดตั้ง
บันทึก
เมื่อไม่ได้กล่าวถึงความจำเป็นในการใช้สิทธิ์ superuser เป็นที่เข้าใจว่าทุกอย่างดำเนินการด้วยสิทธิ์ของผู้ใช้ที่จะเข้ามาทำงาน เบราว์เซอร์ไฟร์ฟอกซ์- ผู้ใช้รายนี้จะต้องคงเหมือนเดิมตลอดกระบวนการทั้งหมดที่อธิบายไว้
การรับแพ็คเกจการติดตั้ง
ในการติดตั้ง CIPF CryptoPro CSP 4.0 คุณต้องลงทะเบียนบนเว็บไซต์ https://www.cryptopro.ru/ และจากหน้าดาวน์โหลด https://www.cryptopro.ru/products/csp/downloads ดาวน์โหลดเวอร์ชัน 4.0 R2 สำหรับ Linux ในรูปแบบ rpm
เราจะดาวน์โหลดปลั๊กอิน CryptoPro EDS Browser เวอร์ชัน 2.0 | ทันที จากที่นี่
หลังจากนี้ควรปิดเบราว์เซอร์
การติดตั้ง
ในการติดตั้งคุณจะต้องแตกไฟล์เก็บถาวรผลลัพธ์ออก ในการดำเนินการนี้ ให้เปิดเทอร์มินัล (แท็บเทอร์มินัลจะอยู่ตรงกลางด้านซ้ายของตัวเรียกใช้งานแอปพลิเคชัน)
และรันคำสั่งต่อไปนี้:
ซีดี ~/ดาวน์โหลด/ tar -xvf linux-amd64.tgz tar -xvf cades_linux_amd64.tar.gzโฟลเดอร์ที่มีไฟล์การติดตั้ง CryptoPro ควรปรากฏขึ้น ในคอนโซลคุณสามารถไปที่โฟลเดอร์นั้นได้ด้วยคำสั่ง
ซีดี ลินุกซ์-amd64/การติดตั้งส่วนประกอบพื้นฐานของ CryptoPro
ซูและกรอกรหัสผ่านจากนั้นกรอกคำสั่งในการติดตั้ง:
yum ติดตั้ง redhat-lsb* ccid pangox-compat ./install.shการติดตั้งส่วนประกอบเพิ่มเติมของ CryptoPro
รอบต่อนาที -ivh cprocsp-rdr-pcsc-* lsb-cprocsp-pkcs11-* cprocsp-rdr-gui-gtk-*นอกจากนี้ยังควรสังเกตแพ็คเกจการสนับสนุนอุปกรณ์ (โทเค็น/เครื่องอ่าน/การ์ดส่วนขยาย) แพ็คเกจเหล่านี้อยู่ในไฟล์เก็บถาวร CryptoPro CSP ชื่อจะขึ้นต้นด้วย cprocsp-rdr-- หากคุณต้องการใช้อุปกรณ์เฉพาะ (เช่น Rutoken EDS) คุณควรติดตั้งแพ็คเกจที่เหมาะสม ( รอบต่อนาที -ivh cprocsp-rdr-rutoken*- ไฟล์เก็บถาวรยังมีแพ็คเกจไดรเวอร์ ( ถ้า-*) ควรติดตั้งเมื่อใช้อุปกรณ์ที่เกี่ยวข้อง (Rutoken S -> รอบต่อนาที -ivh ifd-rutokens*).
คุณไม่ควรติดตั้งแพ็คเกจ cprocsp-rdr-gui เนื่องจากการใช้งานร่วมกับ cprocsp-rdr-gui-gtk จะทำให้การทำงานของส่วนประกอบกราฟิกหยุดลง
การติดตั้งปลั๊กอินเบราว์เซอร์
ซีดี.. rpm -ivh lsb-cprocsp-devel* yum ติดตั้ง cprocsp-pki-2.0.0-amd64-cades.rpm yum ติดตั้ง cprocsp-pki-2.0.0-amd64-plugin.rpmกำลังเชื่อมต่อโทเค็น
ตอนนี้คุณสามารถเชื่อมต่อโทเค็นรูทเข้ากับพอร์ต USB ของคอมพิวเตอร์ของคุณได้แล้ว
รันโปรแกรม pcscd ในหน้าต่างคอนโซลแยกต่างหากพร้อมสิทธิ์ผู้ดูแลระบบ (รูท) บน ในขั้นตอนนี้มีการใช้ตัวเลือกการเริ่มการดีบัก
หลังจากเปิดตัว เราจะไม่ปิดคอนโซลนี้ (คุณสามารถดูได้ว่าระบบสื่อสารกับสมาร์ทการ์ดที่นั่นอย่างไร)
สำหรับคำสั่งต่อไปเราจะใช้คอนโซลที่เราเปิดไว้ก่อน พวกเขาไม่ต้องการสิทธิ์ superuser (คุณสามารถพิมพ์ exit ในเทอร์มินัลเพื่อยกเลิกโหมดรูท)
ยูทิลิตี้ควรเห็นอุปกรณ์:
การติดตั้งใบรับรอง
การแก้ไขรายการโหนดที่เชื่อถือได้
ขั้นแรก คุณควรเพิ่มเว็บไซต์ CryptoPro ลงในรายการเว็บไซต์ที่เชื่อถือได้ หากต้องการทำสิ่งนี้ ให้ปิดเบราว์เซอร์หากเปิดอยู่และป้อนคำสั่งในคอนโซล (ไม่มีสิทธิ์ของผู้ดูแลระบบ):
firefox /etc/opt/cprocsp/trusted_sites.htmlป้อนชื่อไซต์ในบรรทัด "เพิ่มใหม่" คลิก "+" และ "บันทึก"
การติดตั้งใบรับรอง CA
หากต้องการทำงานกับใบรับรอง คุณต้องติดตั้งใบรับรองจากผู้ออกใบรับรอง (ในกรณีนี้ ให้ติดตั้งใบรับรองหลักโดยตรง) และใบรับรองจากโทเค็นรูทเพื่อ ที่จัดเก็บในตัวเครื่อง- ในการดำเนินการนี้ คุณต้องดาวน์โหลดไฟล์ที่มีกลุ่มใบรับรอง (โดยปกติจะเป็นไฟล์ที่มีนามสกุล .cer หรือ .p7b) จากเว็บไซต์ของหน่วยงานออกใบรับรอง และรายการใบรับรองที่ถูกเพิกถอน ดูได้ที่ลิงก์ต่อไปนี้ (https://www.cryptopro.ru/certsrv/certcarc.asp) คุณต้องคลิกที่ "ดาวน์โหลด CA Certificate Chain" และ "ดาวน์โหลด CRL ฐานล่าสุด" ในคอนโซล ใช้สิทธิ์ผู้ใช้ปกติ ให้รันคำสั่งต่อไปนี้:
/opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file ~/Downloads/certnew.p7b /opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Downloads/certcrl.crlคุณสามารถหาข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรม certmgr ต่อไป มาดูการทำงานกับคอนเทนเนอร์ที่อยู่บนโทเค็นกันดีกว่า หากไม่มีคอนเทนเนอร์บนอุปกรณ์ คุณสามารถสร้างคอนเทนเนอร์ได้ เมื่อต้องการทำเช่นนี้ ให้ใช้คำแนะนำในย่อหน้า หลังจากติดตั้งแพ็กเกจแล้ว (ข้อ 5.1 และข้อ 5.2.) ก็น่าจะได้เห็นคอนเทนเนอร์บนอุปกรณ์ หากต้องการค้นหาเส้นทางไปยังคอนเทนเนอร์รวมถึงข้อเท็จจริงที่มีอยู่ คุณสามารถป้อนข้อมูลต่อไปนี้:
การติดตั้งใบรับรองจากคอนเทนเนอร์บนโทเค็น
ตอนนี้ติดตั้งใบรับรองจากโทเค็นรูทลงในที่เก็บข้อมูลส่วนตัวของคุณ (uMy):
/opt/cprocsp/bin/amd64/certmgr -inst -cont "<путь к контейнеру, начинающийся на \\.\>" -เก็บ uMyหากทุกอย่างเสร็จสมบูรณ์โดยไม่มีข้อผิดพลาด คุณสามารถดำเนินการต่อไปยังจุดนั้นได้
บันทึก
ส่วนใหญ่แล้ว ส่วนขยาย .cer จะสอดคล้องกับใบรับรอง และ .p7b จะสอดคล้องกับคอนเทนเนอร์ที่สามารถมีใบรับรองตั้งแต่หนึ่งใบขึ้นไป (เช่น สายโซ่ของใบรับรองเหล่านั้น)
สร้างใบรับรองการทดสอบ
การสร้างคอนเทนเนอร์บนฮาร์ดไดรฟ์ของคุณ
หากไม่มีคอนเทนเนอร์บนอุปกรณ์ คุณสามารถสร้างคอนเทนเนอร์ได้ ไปที่ศูนย์รับรองการทดสอบ (CA) CryptoPro (http://www.cryptopro.ru/certsrv/certrqma.asp) และกรอกข้อมูลในช่องที่ต้องกรอก (จำเป็นต้องกรอกเฉพาะช่อง "ชื่อ:") จำเป็นต้องทำเครื่องหมายคีย์ว่าสามารถส่งออกได้ เป็นที่น่าสังเกตว่าสำหรับการตรวจสอบที่ใช้ในการ "การตรวจสอบการทำงานของปลั๊กอินเบราว์เซอร์" คุณต้องใช้มาตรฐานปี 2001
คลิกปุ่ม “ปัญหา >”
ตอนนี้คุณสามารถคัดลอกคอนเทนเนอร์ไปยังโทเค็นได้ แต่ก่อนอื่นคุณต้องค้นหาชื่อของมันก่อน เมื่อต้องการทำเช่นนี้ ให้เปิดคอนโซลและเรียกใช้คำสั่งต่อไปนี้:
/opt/cprocsp/bin/amd64/list_pcscคุณต้องค้นหาชื่อเต็มของคอนเทนเนอร์ที่ได้รับระหว่างการสร้างใบรับรอง:
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fqcn
การคัดลอกคอนเทนเนอร์ไปยังโทเค็น
จากนั้นเราใช้ชื่อเหล่านี้ในคำสั่งต่อไปนี้:
/opt/cprocsp/bin/amd64/csptest -keycopy -contsrc "<полное название контейнера>" - โต้แย้ง "\\.\<название токена>\<желаемое название контейнера>"
ขณะนี้โทเค็นมีคอนเทนเนอร์อยู่ คุณสามารถกลับไปที่ "การติดตั้งใบรับรองจากคอนเทนเนอร์บนโทเค็น (ส่วนที่ 7.3)" ได้ หลังจากลบใบรับรองที่ติดตั้งจากคอนเทนเนอร์บนฮาร์ดไดรฟ์ในครั้งแรก (สร้างโดยผู้ออกใบรับรองการทดสอบ)
บันทึก
จำเป็นต้องติดตั้งใบรับรองโดยตรงจากคอนเทนเนอร์บนโทเค็น เพื่อให้ระบบผูกใบรับรองเข้ากับอุปกรณ์
คุณสามารถลบใบรับรองนี้ได้โดยใช้คำสั่งต่อไปนี้:
/opt/cprocsp/bin/amd64/certmgr -delและหากจำเป็นให้เลือกหมายเลขใบรับรองที่ต้องการลบ
การตรวจสอบการทำงานของลายเซ็นอิเล็กทรอนิกส์โดยใช้ปลั๊กอินเบราว์เซอร์
หากต้องการตรวจสอบการทำงานของปลั๊กอินเบราว์เซอร์คุณสามารถใช้ทรัพยากรต่อไปนี้: https://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html นอกจากนี้ยังควรตรวจสอบว่าไม่จำเป็นหรือไม่ มีการติดตั้งใบรับรอง ทรัพยากรจะทำงานได้อย่างถูกต้องเฉพาะเมื่อมีการติดตั้งใบรับรองเดียว (คุณสามารถใช้คำสั่ง /opt/cprocsp/bin/amd64/certmgr -del) หากทำงานอย่างถูกต้อง หน้าเว็บจะมีลักษณะดังนี้
ลักษณะทั่วไป
โดยทั่วไปอัลกอริทึมการติดตั้งจะมีลักษณะดังนี้:
คำแนะนำสำหรับการใช้ยูทิลิตีบรรทัดคำสั่ง CryptoPro
การตั้งค่าตัวแปรสภาพแวดล้อม
เพื่อความสะดวกคุณควรทำก่อนเพื่อให้สามารถรันโปรแกรมได้โดยไม่ต้องระบุเส้นทางในแต่ละครั้ง ซึ่งสามารถทำได้หลายวิธี ในกรณีนี้เสนอให้ดำเนินการดังต่อไปนี้:
ในคอนโซลเราได้รับสิทธิ์ผู้ใช้ขั้นสูง (พิมพ์ su และป้อนรหัสผ่าน) ป้อนคำสั่งต่อไปนี้ (เพื่อระบุเส้นทางไปยังผู้ใช้ทั้งหมดยกเว้นผู้ใช้ขั้นสูง):
เสียงสะท้อน "ส่งออก PATH=$PATH:/opt/cprocsp/bin/amd64:/opt/cprocsp/sbin/amd64" >> /etc/profileหากคุณต้องการทำเช่นเดียวกันกับ superuser ให้ใช้คำสั่ง
เสียงสะท้อน "ส่งออก PATH=$PATH:/opt/cprocsp/bin/amd64:/opt/cprocsp/sbin/amd64" >> /root/.bash_profileรีบูต
หากต้องการตรวจสอบ คุณสามารถลงนามในไฟล์และตรวจสอบลายเซ็นได้:
การใช้นามแฝง
สำหรับคำสั่งที่ใช้บ่อย (เช่น คำสั่งเพื่อแสดงรายการคอนเทนเนอร์) ควรใช้นามแฝงที่พิมพ์ง่ายและรวดเร็ว ในการกำหนดนามแฝงคุณต้องใช้คำสั่งนามแฝง ตัวอย่างเช่น กำหนดนามแฝงให้กับคำสั่ง
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fqcnในคอนโซลเราได้รับสิทธิ์ superuser (พิมพ์ su และป้อนรหัสผ่าน) ป้อนคำสั่งต่อไปนี้:
echo "นามแฝง conts="/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fqcn"" >> /etc/bashrcรีบูต ตัวอย่างของการทำงานสามารถดูได้ด้านล่าง
วรรณกรรมเกี่ยวกับการใช้ยูทิลิตี้บรรทัดคำสั่ง
หากต้องการรับข้อมูลเกี่ยวกับโปรแกรมอื่น ควรใช้คำสั่งที่มีแฟล็ก “--help” (เช่น csptest --help) จะดีกว่า
คำสั่งที่มีประโยชน์บางประการ
การถอดคอนเทนเนอร์:
csptest -keyset -deletekeyset -container "<полное название контейнера>"แสดงไซต์ที่เชื่อถือได้:
cpconfig -ini "\local\Software\Crypto Pro\CAdESplugin\TrustedSites" -ดูการคัดลอกคอนเทนเนอร์:
csptest -keycopy -contsrc "<полное название исходного контейнера>"-โต้แย้ง"<полное название контейнера назначения>"การเปลี่ยนผู้ให้บริการ crypto เริ่มต้น (ประเภทและชื่อที่มีอยู่สามารถดูได้ด้วยคำสั่ง cpconfig -defprov -view_type):
cpconfig -defprov -setdef -provtype<тип провайдера>-ชื่อจังหวัด<название провайдера>ค้นหาเวอร์ชันของ CryptoPro:
csptest -keyset -verifycontดูข้อมูลใบอนุญาต:
cpconfig - ใบอนุญาต - ดูการป้อนใบอนุญาต (รหัสเขียนโดยไม่มีเครื่องหมายคำพูด):
cpconfig - ใบอนุญาต -set<номер лицензии>แสดงรายการคอนเทนเนอร์ที่มีอยู่:
csptest -keyset -enum_cont -verifyc -fqcn
