Возможны два варианта использования токенов:
· Вариант 1. Токен используется в качестве ключевого носителя для контейнера с секретным ключом локального сертификата.
· Вариант 2. Создается специальный пользовательский токен, на котором находятся: СА сертификат, сертификат пользователя, контейнер с секретным ключом и локальная политика безопасности пользователя. Также на компьютере пользователя вносятся дополнительные настройки, после установки которых С-Терра Клиент А будет работать только при наличии подключенного пользовательского токена.
Продукт совместим с Rutoken ЭЦП 2.0, Rutoken Lite, JaCarta PKI, JaCarta PKI/GOST.
В режиме пользовательского токена Продукт совместим с Rutoken Lite, JaCarta PKI.
По умолчанию С-Терра Клиент А настроен на работу с токенами JaCarta.
Внимание! |
С-Терра Клиент А может одновременно работать только с одним типом токена, настройки которого установлены в Продукте. Также нельзя подключать одновременно несколько токенов одного типа. |
Для Astra Linux Special Edition помимо образа исходного диска в списке репозиториев /etc/apt/sources.list должен присутствовать образ диска с обновлением. Для его добавления следует выполнить следующие шаги:
• скачать образ диска с установленным патчем безопасности 20200722SE16 с сайта разработчика и разместить его в удобном каталоге;
• смонтировать образ:
sudo mount /mnt/20200722SE16.iso /media/cdrom
• добавить образ в локальный репозиторий, указав название диска 20200722SE16:
sudo apt-cdrom -m add
• обновить индексы пакетов:
sudo apt update
Для работы с нужным типом токена в ОС Astra Linux Сommon Edition (Орел) и ОС Astra Linux Special Edition (Смоленск) на компьютер пользователя необходимо установить следующее ПО:
1. Установите библиотеку libccid и пакеты: libpcsclite1, pcscd и (необязательно) opensc. Проверить установлен ли пакет можно с помощью команды:
sudo dpkg -s <package_name>
Для ОС Astra Linux CE (Орел)
· Для работы токена Rutoken установите пакет librtpkcs11ecp.so. Получить пакет можно на официальном сайте производителя токена https://www.rutoken.ru/support/download/pkcs/. Установите пакет librtpkcs11ecp_<version>_amd64.deb. Перейдите в директорию, в которой лежит deb-пакет, и выполните команду:
dpkg -i librtpkcs11ecp_2.0.5.1-1_amd64.deb
· Для работы токена JaCarta установите пакет libjcPKCS11-2. Получить пакет можно на официальном сайте производителя токена https://www.aladdin-rd.ru/support/downloads/jacarta_client. Скачайте архив и установите jcpkcs11-2_<version>_amd64.deb. Для установки перейдите в директорию, в которой лежит deb-пакет, и выполните команду:
dpkg -i jcpkcs11-2_2.6.0.333astra1_x64.deb
Для ОС Astra Linux SE (Смоленск)
Внимание! |
Если на компьютере пользователя включен режим ЗПС (Панель управления - Безопасность - Политика безопасности - Вкладка "Замкнутая программная среда" – включены параметры "Контроль исполняемых файлов" и "Контроль расширенных атрибутов"), то устанавливаемые библиотеки должны быть подписаны подписью производителя для ОС Astra Linux. |
Далее рассмотрим установку с включенным режимом ЗПС.
· Для работы токена Rutoken установите пакет librtpkcs11ecp (version 2.0.5.1 или 2.0.9.0). Получить пакет можно на официальном сайте производителя. Для установки воспользуйтесь командой:
dpkg -i librtpkcs11ecp_2.0.5.1-1_amd64.deb
При включенном режиме ЗПС необходимо запросить ключ у производителя токена. Полученный ключ rutoken_pub.key необходимо разместить в директории /etc/digsig/keys.
Выполните команду по обновлению ядра:
update-initramfs -uk all
Затем перезапустите ПК.
reboot
· Для работы токена JaCarta установите пакет jcpkcs11-2 (version 2.6.0.333). Получить пакет можно на официальном сайте производителя. Для установки воспользуйтесь командой:
dpkg -i jcpkcs11-2_2.6.0.333astra1_x64.deb
Установить пакет astra-digsig-oldkeys.
При включенном режиме ЗПС необходимо запросить ключи у производителя токена. Полученный ключ Aladdin_al1.5_pub_key.gpg разместите в директории /etc/digsig/keys/legacy/keys/, а ключ Aladdin_al1.6_pub_key.gpg в директории /etc/digsig/keys/.
Выполните команду по обновлению ядра:
update-initramfs -uk all
Затем перезапустите ПК.
reboot
2. Для проверки работы токена в системе используйте следующие команды:
· pcsc_scan
Проверка работоспособности токена при установленном пакете opensc осуществляется командой:
· дляRutoken - pkcs11-tool --module /usr/lib/librtpkcs11ecp.so –T (Рисунок 29 ):
Рисунок 29
· для JaCarta - pkcs11-tool --module /usr/lib/libjcPKCS11-2.so –T (Рисунок 30)
Рисунок 30
3. Выполнить настройки для работы с токеном можно разными способами до и после инсталляции Продукта. Настройки токена можно задать:
· При изготовлении инсталляционных скриптов на Cервере управления, указав в поле Token settings тип используемого токена и путь к его библиотеке. Более подробное описание см. в Руководстве администратора ПК «С-Терра КП. Версия 4.3» (настройки задаются перед установкой Продукта).
· При неинтерактивной настройке deb-пакета с помощью debconf (настройки задаются перед установкой Продукта). Более подробно см. раздел «Подготовка к инсталляции и настройка С-Терра Клиент А при помощи debconf и конфигурационного файла».
· При редактировании конфигурационного файла /etc/S-Terra/skzi.conf и /opt/VPNagent/etc/s_tknskills.ini. (настройки задаются после установки Продукта).
Если контейнер с секретным ключом хранится на токене, тип которого отличается от JaCarta, и при настройке инсталляционного скрипта С-Терра Клиент А настройки для токена предварительно не задавались администратором, то для работы с токенами отредактируйте конфигурационный файл /etc/S-Terra/skzi.conf. Необходимо раскомментировать строки, относящиеся к нужному типу токена. Убедитесь, что расположение библиотеки и ее название соответствует указанным в параметре TokenLibPath. Если пути различны - укажите в параметре верный путь к библиотеке. Также необходимо указать путь к библиотеке токена в параметре TokenLibPath в файле /opt/VPNagent/etc/s_tknskills.ini. Выполните редактирование skzi.conf и s_tknskills.ini, затем перезагрузите систему.
Пример для токена JaCarta:
Пример настроек в файле /etc/S-Terra/skzi.conf:
RNG=/opt/VPNagent/lib/libSobolRNG.so,/opt/VPNagent/lib/libAccordRNG.so,
/opt/VPNagent/lib/libCryptonRNG.so,/opt/VPNagent/lib/libMaksimRNG.so,
/opt/VPNagent/lib/libExtGammaRNG.so,/opt/VPNagent/lib/libConsBioRNG.so
ExtGammaPath=/var/s-terra/ext-gamma
MaximDevPath=/dev/hw_tpm
TokenLibPath=/usr/lib/libjcPKCS11-2.so
TokenType=etoken
#TokenLibFlag=0
#TokenLibPath=/usr/lib/librtpkcs11ecp.so
#TokenType=rutoken
#TokenLibFlag=1
Пример настроек в файле /opt/VPNagent/etc/s_tknskills.ini:
[PATH]
!!! for ruToken :
!TokenLibPath=/usr/lib/librtpkcs11ecp.so
!!!
!!! for JaCarta :
TokenLibPath=/usr/lib/libjcPKCS11-2.so
Внимание! |
При инициализации токена JaCarta PKI не устанавливайте в разделе дополнительных настроек инициализации - флажок «При первом входе необходимо изменить пароль»/«Пользователь должен сменить PIN-код». |
Внимание! |
При зависании обращения к токену перезапустите службу pcscd: systemctl restart pсsсd |