Работа с токенами

Возможны два варианта использования токенов:

      Вариант 1. Токен используется в качестве ключевого носителя для контейнера с секретным ключом локального сертификата.

      Вариант 2. Создается специальный пользовательский токен, на котором находятся: СА сертификат, сертификат пользователя, контейнер с секретным ключом и локальная политика безопасности пользователя. Также на компьютере пользователя вносятся дополнительные настройки, после установки которых С-Терра Клиент А будет работать только при наличии подключенного пользовательского токена.

Продукт совместим с Рутокен ЭЦП 2.0, Рутокен Lite, JaCarta PKI, JaCarta PKI/GOST.

В режиме пользовательского токена Продукт совместим с Рутокен Lite, JaCarta PKI.

По умолчанию С-Терра Клиент А настроен на работу с токенами JaCarta.

 

Внимание!

С-Терра Клиент А может одновременно работать только с одним типом токена, настройки которого установлены в Продукте. Также нельзя подключать одновременно несколько токенов одного типа.

 

Для ОС Astra Linux Special Edition, помимо образа исходного диска, в списке репозиториев /etc/apt/sources.list должен присутствовать образ диска с обновлением. Для его добавления следует выполнить следующие шаги:

      скачать образ диска с установленным патчем безопасности 20200722SE16 с сайта разработчика и разместить его в удобной директории;

      смонтировать образ:

sudo mount /mnt/20200722SE16.iso /media/cdrom

      добавить образ в локальный репозиторий, указав название диска 20200722SE16:

sudo apt-cdrom -m add

      обновить индексы пакетов:

sudo apt update

 

Для работы с нужным типом токена в ОС Astra Linux Сommon Edition (Орел) и ОС Astra Linux Special Edition(Смоленск) на компьютер пользователя необходимо установить следующее ПО:

1.    Установите библиотеку libccid и пакеты: libpcsclite1, pcscd  и  (необязательно) opensc. Проверить установлен ли пакет можно с помощью команды:

sudo dpkg -s <package_name>

 

Для ОС Astra Linux CE (Орел).

•    Для работы токена Rutoken установите пакет librtpkcs11ecp.so. Получить пакет можно на официальном сайте производителя токена https://www.rutoken.ru/support/download/pkcs/. Установите пакет librtpkcs11ecp_<version>_amd64.deb. Перейдите в директорию, в которой лежит deb-пакет, и выполните команду:

dpkg -i librtpkcs11ecp_2.0.5.1-1_amd64.deb

•    Для работы токена JaCarta установите пакет libjcPKCS11-2. Получить пакет можно на официальном сайте производителя токена https://www.aladdin-rd.ru/support/downloads/jacarta_client. Скачайте архив и установите jcpkcs11-2_<version>_amd64.deb. Для установки перейдите в директорию, в которой лежит deb-пакет, и выполните команду:

dpkg -i jcpkcs11-2_2.6.0.333astra1_x64.deb

 

Для ОСAstra Linux SE (Смоленск).

Внимание!

Если на компьютере пользователя включен режим ЗПС (Панель управления - Безопасность - Политика безопасности - Вкладка "Замкнутая программная среда" – включены параметры "Контроль исполняемых файлов" и "Контроль расширенных атрибутов"), то устанавливаемые библиотеки должны быть подписаны подписью производителя для ОС Astra Linux.

Далее рассмотрим установку с включённым режимом ЗПС.

      Для работы токена Rutoken установите пакет librtpkcs11ecp (version 2.0.5.1 или 2.0.9.0). Получить пакет можно на официальном сайте производителя. Для установки воспользуйтесь командой:

dpkg -i librtpkcs11ecp_2.0.5.1-1_amd64.deb

При включенном режиме ЗПС необходимо запросить ключ у производителя токена. Полученный ключ rutoken_pub.key необходимо разместить в директории /etc/digsig/keys.

Выполните команду по обновлению ядра:

update-initramfs -uk all

Затем перезапустите ПК.

reboot

      Для работы токена JaCarta установите пакет jcpkcs11-2 (version 2.6.0.333). Получить пакет можно на официальном сайте производителя. Для установки воспользуйтесь командой:

dpkg -i jcpkcs11-2_2.6.0.333astra1_x64.deb

Установить пакет astra-digsig-oldkeys.

При включенном режиме ЗПС необходимо запросить ключи у производителя токена. Полученный ключ Aladdin_al1.5_pub_key.gpg разместите в директории /etc/digsig/keys/legacy/keys/, а ключ Aladdin_al1.6_pub_key.gpg  в директории /etc/digsig/keys/.

Выполните команду по обновлению ядра:

update-initramfs -uk all

Затем перезапустите ПК.

reboot

2.    Для проверки работы токена в системе используйте следующие команды:

•   pcsc_scan

     Проверка работоспособности токена при установленном пакете opensc осуществляется командой:

    для Rutoken - pkcs11-tool --module /usr/lib/librtpkcs11ecp.so –T (Рисунок 43 ): 

Рисунок 43

•    для JaCarta - pkcs11-tool --module /usr/lib/libjcPKCS11-2.so –T (Рисунок 44):

Рисунок 44

3.    Выполнить настройки для работы с токеном можно разными способами, после и до установки Продукта. Настройки токена можно задать:

      При изготовлении установочных скриптов на Сервере управления, указав в поле Token settings тип используемого токена и путь к его библиотеке. Более подробное описание см. в Руководстве администратора ПК «С-Терра КП. Версия 4.3» (настройки задаются перед установкой Продукта).

      При неинтерактивной настройке deb-пакета с помощью debconf (настройки задаются перед установкой Продукта).

Пример для токена JaCarta:

sterraclient sterraclient/token_login boolean true

sterraclient sterraclient/token_type select etoken

sterraclient sterraclient/token_lib_path string /usr/lib/libjcPKCS11-2.so

      При редактировании конфигурационного файла /etc/S-Terra/skzi.conf. (настройки задаются после установки Продукта).

     Если контейнер с секретным ключом хранится на токене, тип которого отличается от JaCarta, и при настройке установочного скрипта С-Терра Клиент А настройки для токена предварительно не выставлялись администратором, то для работы с токенами отредактируйте конфигурационный файл /etc/S-Terra/skzi.conf. Необходимо раскомментировать строки, относящиеся к нужному типу токена. Убедитесь, что расположение библиотеки и ее название соответствует указанным в параметре TokenLibPath. Если пути различны - укажите в параметре верный путь к библиотеке. Также необходимо указать путь к библиотеке токена в параметре TokenLibPath в файле /opt/VPNagent/etc/s_tknskills.ini. Выполните редактирование skzi.conf и s_tknskills.ini, затем перезагрузите систему.

 

Пример для токена JaCarta:

Пример настроек в файле /etc/S-Terra/skzi.conf:

RNG=/opt/VPNagent/lib/libSobolRNG.so,
/opt/VPNagent/lib/libAccordRNG.so,/opt/VPNagent/lib/libCryptonRNG.so,
/opt/VPNagent/lib/libMaksimRNG.so,/opt/VPNagent/lib/libExtGammaRNG.so,
/opt/VPNagent/lib/libConsBioRNG.so

ExtGammaPath=/var/s-terra/ext-gamma

MaximDevPath=/dev/hw_tpm

 

TokenLibPath=/usr/lib/libjcPKCS11-2.so

TokenType=etoken

#TokenLibFlag=0

 

#TokenLibPath=/usr/lib/librtpkcs11ecp.so

#TokenType=rutoken

#TokenLibFlag=1

Пример настроек в файле /opt/VPNagent/etc/s_tknskills.ini:

[PATH]

!!! for ruToken :

!TokenLibPath=/usr/lib/librtpkcs11ecp.so

!!!

!!! for JaCarta :

TokenLibPath=/usr/lib/libjcPKCS11-2.so

 

Внимание!

При инициализации токена JaCarta PKI не устанавливайте в разделе дополнительных настроек инициализации - флажок «При первом входе необходимо изменить пароль» / «Пользователь должен сменить PIN-код».

Внимание!

При зависании обращения к токену перезапустите службу pcscd:

systemctl restart pсsсd