Войти
Назад

Специфика установки и настройки КриптоПро JCP под CentOS

link
Скопировать прямую ссылку на статью

В статье рассматривается процесс установки КриптоПро JCP на компьютер под управлением операционной системы CentOS 7.

Установка будет состоять из следующих шагов:

  • установка КриптоПро JCP на компьютер;
  • настройка после установки.

Установите КриптоПро JCP на компьютер под управлением CentOS 7

Установка КриптоПро JCP на CentOS 7 выполняется в терминале. При этом должна быть обеспечена возможность выполнения конфигурации КриптоПро JCP в графическом интерфейсе. Для этого следует, например, использовать компьютер с установленной графической оболочкой.

Предполагается, что загруженный архив jcp-2.0.40502.zip с дистрибутивом КриптоПро JCP размещён вами в домашней директории root.

Авторизуйтесь в терминале под учётной записью root и выполните команды:

# unzip /root/jcp-2.0.40502.zip -d /opt
# chmod +x /opt/jcp-2.0.40502/setup_console.sh
# chmod +x /opt/jcp-2.0.40502/ControlPane.sh
# cd /opt/jcp-2.0.40502

Что вы сделали данными командами:

  • распаковали архив с дистрибутивом в директорию /opt/jcp-2.0.40502;
  • изменили права доступа к скриптам запуска установки КриптоПро JCP и запуска контрольной панели.

Примечание: В случае, если у вас на компьютере отсутствует unzip, предварительно установите его командой:

# yum install -y unzip

Для запуска установки КриптоПро JCP перейдите в директорию, в которой располагается дистрибутив, и запустите установку, выполнив команды:

# cd /opt/jcp-2.0.40502
# /opt/jcp-2.0.40502/setup_console.sh $JAVA_HOME

Процесс установки остановится на первом выборе действия (установка или удаление КриптоПро JCP). Для выбора установки нажмите клавишу «Enter»:

image001.png

Далее вам будет предложен ряд вопросов, на которые следует давать ответы по умолчанию, просто нажимая клавишу «Enter», вплоть до вопроса о вводе серийного номера КриптоПро JCP:

image003.png

Если у вас есть приобретенная лицензия КриптоПро JCP, введите её серийный номер, имеющий вид ХХХХХ-ХХХХХ-ХХХХХ-ХХХХХ-ХХХХХ. В противном случае оставьте это поле пустым, вы сможете ввести серийный номер позднее.

Следующим будет вопрос о включении усиленного режима контроля использования ключевой информации. По умолчанию КриптоПро JCP устанавливается без этого режима, но вам необходимо включить его. Для этого наберите на клавиатуре «yes» и нажмите клавишу «Enter»:

image005.png

Далее инсталлятор отобразит перечень устанавливаемых модулей и задаст вопрос о готовности к установке. При стандартной установке КриптоПро JCP вы должны увидеть следующий список модулей. Сверьте и нажмите «Enter»:

image007.png

На финальный вопрос о включении протокола отслеживания установки так же ответьте нажатием «Enter»:

image009.png

Начнется процесс установки, дождитесь его окончания.

Установите правильный порядок чередования криптопровайдеров

После установки КриптоПро JCP необходимо изменить порядок чередования криптопровайдеров в файле java.security, расположенном в директории /usr/java/jre1.8.0_201/lib/security/.

По умолчанию порядок чередования криптопровайдеров в файле такой:

security.provider.11=ru.CryptoPro.reprov.RevCheck
security.provider.12=ru.CryptoPro.JCP.JCP
security.provider.13=ru.CryptoPro.Crypto.CryptoProvider

Измените порядок на следующий:

security.provider.11=ru.CryptoPro.JCP.JCP
security.provider.12=ru.CryptoPro.reprov.RevCheck
security.provider.13=ru.CryptoPro.Crypto.CryptoProvider

Изменения можно произвести в любом текстовом редакторе под учётной записью root.

В качестве примера, рассмотрим процесс редактирования файла java.security с использованием встроенного текстового редактора «vim». Выполните под учётной записью root команды:

# cp /usr/java/jre1.8.0_201/lib/security/java.security /usr/java/jre1.8.0_201/lib/security/java.security_bak
# vi /usr/java/jre1.8.0_201/lib/security/java.security

При этом будет создана копия файла java.security, а сам он откроется в редакторе. С помощью стрелки «Вниз» на клавиатуре опуститесь до перечня криптопровайдеров и установите курсор на строке «security.provider.10=ru.CryptoPro.reprov.RevCheck», как изображено ниже:

image011.png

Для удаления строки в редакторе vi используется команда «dd», введите ее, дважды нажав на клавишу «d». Аналогичным образом удалите строки с номерами 11 и 12. Обратите внимание, что команды вводятся в латинской раскладке клавиатуры.

Теперь на место удаленных необходимо добавить новые строки. Для этого, не передвигая курсор после удаления трёх строк, нажмите клавишу «i» на клавиатуре. Это действие переведёт редактор в режим редактирования, как изображено ниже:

image013.png

Введите следующие строки вместо удалённых:

security.provider.10=ru.CryptoPro.JCP.JCP
security.provider.11=ru.CryptoPro.reprov.RevCheck
security.provider.12=ru.CryptoPro.Crypto.CryptoProvider

После этого нажмите клавишу «Esc» на клавиатуре. Это выключит режим редактирования. Проверьте, что у вас получилась последовательность криптопровайдеров, изображённая ниже:

image015.png

Для сохранения результатов и выхода из редактора наберите на клавиатуре последовательность символов «:wq!» и нажмите «Enter»:

image017.png

Перенесите ключи электронной подписи в целевую директорию

Теперь необходимо поместить ключи электронной подписи в целевую директорию для использования их под ранее созданной учётной записью smev. Для этого выполните под учётной записью root команды:

# mkdir /var/opt/cprocsp/keys/smev
# unzip /root/<имя архива ключей.zip> -d /var/opt/cprocsp/keys/smev
# chown -R smev:smev /var/opt/cprocsp/keys/smev
# chmod g+rw /var/opt/cprocsp/keys/smev

Внимание: Вместо «<имя архива ключей.zip>» следует указать имя вашего архива ключей. Например, команда может выглядеть следующим образом:

# unzip /root/6aaba4ab.000.zip -d /var/opt/cprocsp/keys/smev

Внимание: Имя директории, в которой будут размещены ключи, изменять не следует. Оставьте то имя, которое было в архиве.

Что вы сделали данными командами:

  • создали директорию для размещения ключей, принадлежащих учётной записи smev;
  • распаковали архив с ключами в директорию для размещения ключей;
  • изменили владельца и права доступа к директории для размещения ключей.

Проведите инициализацию усиленного режима контроля использования ключевой информации

Под учётной записью root запустите контрольную панель КриптоПро JCP следующими командами:

$ cd /opt/jcp-2.0.40502
$ /opt/jcp-2.0.40502/ControlPane.sh $JAVA_HOME

Для инициализации усиленного режима контроля использования ключевой информации КриптоПро JCP предлагает пользователю некоторое время выполнять произвольные движения указателя мыши по экрану и нажатия клавиш клавиатуры. Периодически система подсказывает, в какую часть экрана следует переместить указатель мыши:

image019.png

По завершении процесса инициализации откроется окно контрольной панели:

image021.png

Контрольная панель служит для настройки КриптоПро JCP. Однако сейчас она запущена под учетной записью root, а не smev. Поэтому закройте панель и выйдите из учетной записи root.

Авторизуйтесь под учетной записью smev и запустите контрольную панель КриптоПро JCP посредством команд:

$ cd /opt/jcp-2.0.40502
$ /opt/jcp-2.0.40502/ControlPane.sh $JAVA_HOME

Вы вновь увидите знакомое вам окно инициализации усиленного режима контроля использования ключевой информации, еще раз выполните произвольные движения указателя мыши по экрану и нажатия клавиш клавиатуры.

Примечание: Каждый пользователь, впервые открывший контрольную панель под своей учётной записью, должен будет выполнить эти действия для инициализации усиленного режима.

Обратите внимание, что в контрольной панели, открытой под обычной учётной записью, некоторые элементы управления будут недоступны. Однако, дальнейшие действия, связанные с подключением ключей ЭЦП, необходимо выполнять именно под тем пользователем, от имени которого мы планируем запускать Адаптер:

image023.png

Подключите ключи электронной цифровой подписи информационной системы Участника

Для подключения ключей ЭЦП информационной системы Участника в КриптоПро JCP перейдите на вкладку «Keys and certificates stores» и откройте хранилище контейнеров «HDImageStore». Если вы делали всё согласно процедуре, описанной в данной статье, то увидите свой контейнер с ключами. После двойного клика на контейнере и ввода пароля подписи вам откроется ключ обмена и сертификат, как изображено на рисунке:

image025.png

Возможно, что у вас будут ключи подписи без пароля. В таком случае в окне ввода пароля выберите вариант «Не задавать пароль» («don't set password»).

Так же необходимо проверить, что открытый ключ добавлен в контейнер. Если нет, то нажмите «Добавить ключ» («Add key») и выберете файл открытого ключа с расширением .cer.

После подключения ключей настоятельно рекомендуем изменить пароль контейнера. Для этого выделите контейнер и нажмите кнопку «Change password». Откроется окно «Password input»:

image029.png

Введите новый пароль, состоящий минимум из восьми знаков, нажмите кнопку «ОК» и закройте панель управления.

Теперь КриптоПро JCP установлен на CentOS 7 и готов к работе, можно переходить к установке и настройке СУБД.

Авторизуйтесь, чтобы оставить комментарий к статье