В статье рассматривается процесс установки КриптоПро JCP на компьютер под управлением операционной системы CentOS 7.
Установка будет состоять из следующих шагов:
- установка КриптоПро JCP на компьютер;
- настройка после установки.
Установите КриптоПро JCP на компьютер под управлением CentOS 7
Установка КриптоПро JCP на CentOS 7 выполняется в терминале. При этом должна быть обеспечена возможность выполнения конфигурации КриптоПро JCP в графическом интерфейсе. Для этого следует, например, использовать компьютер с установленной графической оболочкой.
Предполагается, что загруженный архив jcp-2.0.40502.zip с дистрибутивом КриптоПро JCP размещён вами в домашней директории root.
Авторизуйтесь в терминале под учётной записью root и выполните команды:
# unzip /root/jcp-2.0.40502.zip -d /opt
# chmod +x /opt/jcp-2.0.40502/setup_console.sh
# chmod +x /opt/jcp-2.0.40502/ControlPane.sh
# cd /opt/jcp-2.0.40502
Что вы сделали данными командами:
- распаковали архив с дистрибутивом в директорию /opt/jcp-2.0.40502;
- изменили права доступа к скриптам запуска установки КриптоПро JCP и запуска контрольной панели.
Примечание: В случае, если у вас на компьютере отсутствует unzip, предварительно установите его командой:
# yum install -y unzipДля запуска установки КриптоПро JCP перейдите в директорию, в которой располагается дистрибутив, и запустите установку, выполнив команды:
# /opt/jcp-2.0.40502/setup_console.sh $JAVA_HOME
Процесс установки остановится на первом выборе действия (установка или удаление КриптоПро JCP). Для выбора установки нажмите клавишу «Enter»:
Далее вам будет предложен ряд вопросов, на которые следует давать ответы по умолчанию, просто нажимая клавишу «Enter», вплоть до вопроса о вводе серийного номера КриптоПро JCP:
Если у вас есть приобретенная лицензия КриптоПро JCP, введите её серийный номер, имеющий вид ХХХХХ-ХХХХХ-ХХХХХ-ХХХХХ-ХХХХХ. В противном случае оставьте это поле пустым, вы сможете ввести серийный номер позднее.
Следующим будет вопрос о включении усиленного режима контроля использования ключевой информации. По умолчанию КриптоПро JCP устанавливается без этого режима, но вам необходимо включить его. Для этого наберите на клавиатуре «yes» и нажмите клавишу «Enter»:
Далее инсталлятор отобразит перечень устанавливаемых модулей и задаст вопрос о готовности к установке. При стандартной установке КриптоПро JCP вы должны увидеть следующий список модулей. Сверьте и нажмите «Enter»:
На финальный вопрос о включении протокола отслеживания установки так же ответьте нажатием «Enter»:
Начнется процесс установки, дождитесь его окончания.
Установите правильный порядок чередования криптопровайдеров
После установки КриптоПро JCP необходимо изменить порядок чередования криптопровайдеров в файле java.security, расположенном в директории /usr/java/jre1.8.0_201/lib/security/.
По умолчанию порядок чередования криптопровайдеров в файле такой:
security.provider.11=ru.CryptoPro.reprov.RevCheck
security.provider.12=ru.CryptoPro.JCP.JCP
security.provider.13=ru.CryptoPro.Crypto.CryptoProvider
Измените порядок на следующий:
security.provider.12=ru.CryptoPro.reprov.RevCheck
security.provider.13=ru.CryptoPro.Crypto.CryptoProvider
Изменения можно произвести в любом текстовом редакторе под учётной записью root.
В качестве примера, рассмотрим процесс редактирования файла java.security с использованием встроенного текстового редактора «vim». Выполните под учётной записью root команды:
# cp /usr/java/jre1.8.0_201/lib/security/java.security /usr/java/jre1.8.0_201/lib/security/java.security_bak
# vi /usr/java/jre1.8.0_201/lib/security/java.security
При этом будет создана копия файла java.security, а сам он откроется в редакторе. С помощью стрелки «Вниз» на клавиатуре опуститесь до перечня криптопровайдеров и установите курсор на строке «security.provider.10=ru.CryptoPro.reprov.RevCheck», как изображено ниже:
Для удаления строки в редакторе vi используется команда «dd», введите ее, дважды нажав на клавишу «d». Аналогичным образом удалите строки с номерами 11 и 12. Обратите внимание, что команды вводятся в латинской раскладке клавиатуры.
Теперь на место удаленных необходимо добавить новые строки. Для этого, не передвигая курсор после удаления трёх строк, нажмите клавишу «i» на клавиатуре. Это действие переведёт редактор в режим редактирования, как изображено ниже:
Введите следующие строки вместо удалённых:
security.provider.10=ru.CryptoPro.JCP.JCP
security.provider.11=ru.CryptoPro.reprov.RevCheck
security.provider.12=ru.CryptoPro.Crypto.CryptoProvider
После этого нажмите клавишу «Esc» на клавиатуре. Это выключит режим редактирования. Проверьте, что у вас получилась последовательность криптопровайдеров, изображённая ниже:
Для сохранения результатов и выхода из редактора наберите на клавиатуре последовательность символов «:wq!» и нажмите «Enter»:
Перенесите ключи электронной подписи в целевую директорию
Теперь необходимо поместить ключи электронной подписи в целевую директорию для использования их под ранее созданной учётной записью smev. Для этого выполните под учётной записью root команды:
# mkdir /var/opt/cprocsp/keys/smev
# unzip /root/<имя архива ключей.zip> -d /var/opt/cprocsp/keys/smev
# chown -R smev:smev /var/opt/cprocsp/keys/smev
# chmod g+rw /var/opt/cprocsp/keys/smev
Внимание: Вместо «<имя архива ключей.zip>» следует указать имя вашего архива ключей. Например, команда может выглядеть следующим образом:
# unzip /root/6aaba4ab.000.zip -d /var/opt/cprocsp/keys/smev
Внимание: Имя директории, в которой будут размещены ключи, изменять не следует. Оставьте то имя, которое было в архиве.
Что вы сделали данными командами:
- создали директорию для размещения ключей, принадлежащих учётной записи smev;
- распаковали архив с ключами в директорию для размещения ключей;
- изменили владельца и права доступа к директории для размещения ключей.
Проведите инициализацию усиленного режима контроля использования ключевой информации
Под учётной записью root запустите контрольную панель КриптоПро JCP следующими командами:
$ cd /opt/jcp-2.0.40502
$ /opt/jcp-2.0.40502/ControlPane.sh $JAVA_HOME
Для инициализации усиленного режима контроля использования ключевой информации КриптоПро JCP предлагает пользователю некоторое время выполнять произвольные движения указателя мыши по экрану и нажатия клавиш клавиатуры. Периодически система подсказывает, в какую часть экрана следует переместить указатель мыши:
По завершении процесса инициализации откроется окно контрольной панели:
Контрольная панель служит для настройки КриптоПро JCP. Однако сейчас она запущена под учетной записью root, а не smev. Поэтому закройте панель и выйдите из учетной записи root.
Авторизуйтесь под учетной записью smev и запустите контрольную панель КриптоПро JCP посредством команд:
$ cd /opt/jcp-2.0.40502
$ /opt/jcp-2.0.40502/ControlPane.sh $JAVA_HOME
Вы вновь увидите знакомое вам окно инициализации усиленного режима контроля использования ключевой информации, еще раз выполните произвольные движения указателя мыши по экрану и нажатия клавиш клавиатуры.
Примечание: Каждый пользователь, впервые открывший контрольную панель под своей учётной записью, должен будет выполнить эти действия для инициализации усиленного режима.
Обратите внимание, что в контрольной панели, открытой под обычной учётной записью, некоторые элементы управления будут недоступны. Однако, дальнейшие действия, связанные с подключением ключей ЭЦП, необходимо выполнять именно под тем пользователем, от имени которого мы планируем запускать Адаптер:
Подключите ключи электронной цифровой подписи информационной системы Участника
Для подключения ключей ЭЦП информационной системы Участника в КриптоПро JCP перейдите на вкладку «Keys and certificates stores» и откройте хранилище контейнеров «HDImageStore». Если вы делали всё согласно процедуре, описанной в данной статье, то увидите свой контейнер с ключами. После двойного клика на контейнере и ввода пароля подписи вам откроется ключ обмена и сертификат, как изображено на рисунке:
Возможно, что у вас будут ключи подписи без пароля. В таком случае в окне ввода пароля выберите вариант «Не задавать пароль» («don't set password»).
Так же необходимо проверить, что открытый ключ добавлен в контейнер. Если нет, то нажмите «Добавить ключ» («Add key») и выберете файл открытого ключа с расширением .cer.
После подключения ключей настоятельно рекомендуем изменить пароль контейнера. Для этого выделите контейнер и нажмите кнопку «Change password». Откроется окно «Password input»:
Введите новый пароль, состоящий минимум из восьми знаков, нажмите кнопку «ОК» и закройте панель управления.
Теперь КриптоПро JCP установлен на CentOS 7 и готов к работе, можно переходить к установке и настройке СУБД.