Как установить сертификат электронной подписи#

Для работы электронной подписи в Системе необходимо, чтобы были установлены:

  • на сервере — криптопровайдер, например, КриптоПро csp 4.0 (См. deploycryptopro)

  • для браузера — плагин КриптоПро ЭП Browser plug-in (ссылка на скачивание)

Электронная подпись состоит из связки открытого (личный сертификат) и закрытого ключа шифрования (ключевой контейнер).

Открытый ключ необходим для проверки подлинности документа, а связанный с ним закрытый ключ — для зашифровки данных.

../../../_images/el_podpis.png

Система поддерживает два вида сертификатов:

  • на основе стандартных алгоритмов (RSA, SHA-256/512 , …)

  • на основе ГОСТ алгоритмов 2001 и 2012

Работа с сертификатами, в основе которых лежат стандартные алгоритмы, осуществляется внутренними средствами Системы. Для работы с ними достаточно установить контейнер закрытых ключей и связанный с ним сертификат в Систему.

Работа с сертификатами, в основе которых лежат ГОСТ алгоритмы осуществляется с помощью сервиса подписи (Grad.Signature.Service.jar — сервис, реализованный на java). Соответственно для возможности подписи, необходимо установить вышеуказанный сервис, а также контейнер закрытых ключей и связанный с ним сертификат.

Важно

  • Для работы Сервиса подписи на стенде необходима актуальная лицензия.

  • Сервис подписи обязательно нужно перезапускать после любых действий с сертификатами. Например, при добавлении, удалении, изменении пароля контейнера.

Как настроить сертификат в Конфигураторе#

Чтобы электронная подпись работала в Системе нужно указать в Конфигураторе:

  • путь до нее в файловой системе,

  • либо серийный номер сертификата.

../../../_images/sertificate_settings.png

Ниже указаны шаги, которые нужно выполнить, чтобы установить контейнеры и сертификаты и включить их в Систему.

Полезные команды для проверки сертификатов и лицензий#

Вывод всех установленных сертификатов:

/opt/cprocsp/bin/amd64/certmgr -list

Просмотр перечня контейнеров закрытых ключей:

/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn

Копирование контейнера:

/opt/cprocsp/bin/amd64/csptest -keycopy -contsrc 'старое имя' -contdest 'новое имя'

Перечень установленных корневых сертификатов удостоверяющих центров:

/opt/cprocsp/bin/amd64/certmgr -list -store uroot

Перечень установленных промежуточных сертификатов удостоверяющих центров:

/opt/cprocsp/bin/amd64/certmgr -list -store uca

Для просмотра информации о лицензии КриптоПро:

./cpconfig -license -view (Утилита cpconfig находится в /opt/cprocsp/sbin/<архитектура>)

Установка лицензии КриптоПро:

./cpconfig -license -set 4040L-00000-00000-B50RQ-TQ1YP

Для просмотра информации о лицензии JavaCSP:

java -classpath JCSP.jar ru.CryptoPro.JCSP.JCSPLicense

Для активации лицензии JavaCsp:

java ru.CryptoPro.JCSP.JCSPLicense -serial "XXXXX-XXXXX-XXXXX-XXXXX-XXXXX" -company "NotInsrt" -store

Чтобы удалить сертификат выполните:

/opt/cprocsp/bin/amd64/certmgr -delete -dn L=Казань

Для просмотра версии JavaCSP:

java ru.CryptoPro.JCP.tools.Check -all

Примечание

Если данная команда не выдаёт ответ, то JavaCSP настроена на неверную Java. Вероятно, несколько версий java установлено на сервер.

Для просмотра версии Крипто Про:

/opt/cprocsp/bin/amd64/csptestf -enum -info

Установка сертификатов из контейнеров закрытых ключей:

/opt/cprocsp/bin/amd64/csptest -absorb -certs -autoprov