#40: Установка ключей КриптоПро - ЭЦП на неизвлекаемом носителе Рутокен
Отредактирована: 231 день назадДля выполнения операций нужны права root
1. Установить пакеты
sudo apt install libccid pcscd libpcsclite1 pcsc-tools opensc
sudo systemctl enable pcscd
sudo systemctl enable pcscd.socket
sudo dpkg -i ./cprocsp-rdr-pcsc-64_5.0.12000-6_amd64.deb
sudo dpkg -i ./cprocsp-rdr-rutoken-64_5.0.12000-6_amd64.deb
Установить права на папку временных файлов
sudo chmod -t /var/opt/cprocsp/tmp
2. Подключить неизвлекаемый носитель Рутокен в usb-порт
Проверить наличие драйверов:
pcsc_scan
Проверить видит ли криптопро рутокен:
/opt/cprocsp/bin/amd64/csptest -card -enum
3. Настройка сертификатов для пользователей operator и usr1cv8
В графическом интерфейсе КриптоПро узнаем название контейнера
Пример названия контейнера:
\\.\Aktiv Rutoken lite 00 00\TeXXXX_KriXXXXa_AnatXXXXna_290XXXX24_1709XXXX265
Для каждого пользователя usr1cv8 и operator выполнить:
sudo su <имя пользователя>
/opt/cprocsp/bin/amd64/certmgr -install -cont '\\.\Aktiv Rutoken lite 00 00\TeXXXX_KriXXXXa_AnatXXXXna_290XXXX24_1709XXXX265'
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn
В списке найдите имя контейнера, например '\\.\HDIMAGE\SHeXXX_020XXXX24_170XXX5485'
Установить пароль на контейнер
/opt/cprocsp/bin/amd64/csptest -passwd -change '<пароль>' -cont '\\.\HDIMAGE\SHeXXX_020XXXX24_170XXX5485' -passwd '<текущий_пароль>'
- Проверить установку сертификата. Выполнить под каждым пользователем
/opt/cprocsp/bin/amd64/certmgr -list
- Проверка видимости контейнеров пользователем
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn
Если при проверке ошибка нужно выполнить
sudo chmod -t /var/opt/cprocsp/tmp
4. Перезапускаем службу 1С
sudo systemctl restart srv1cv8*
5. Включить в 1С подписание на сервере
ВАЖНО:
Возникла проблема использования ключа у второго пользователя из-за нарушения прав доступа к файлам в каталоге /var/opt/cprocsp/tmp drwxrwxrwt
Возможные решения:
- Очистка файлов rm /var/opt/cprocsp/tmp/.5a189306-c591-40ef-97f7-1693c008c9bf_*это позволяет переключить возможность использовать подпись другим пользователем, но забирает возможность у первого.
- Изменить права на папку sudo chmod -t /var/opt/cprocsp/tmpНо этот вариант нужно проверить на "тестовом" АРМ