В этой статье мы покажем, как добавить (установить) новый сертификат в список доверенных корневых сертификатов в Linux.
Например, вы используете на своем сайте самоподписанный SSL/TLS сертификат и не хотите, чтобы на клиентах при открытии сайта появлялась ошибка SEC_ERROR_UNKNOWN_ISSUER.
Чтобы проверить, что ваш хост Linux не может проверить (и соответственно не доверяет) SSL сертификату на определенном сайте, выполните команду:
В данном случае нам нужно добавить корневой центр сертификации этого сайта в список доверенных корневых сертификатов Linux.
Вот такая ошибка стала возникать в LanDocs (Ландоксе), при попытке добавления сертификата (у пользователя была плановая смена, выпустили сертификат по госту 2012 и нужно было все это дело подвязать в программе).
Error 0x80070005 (Отказано в доступе.) at CRegistryCertificateStorage::InsertCertificate
Сразу забегу вперед и расскажу как лечится.
Моя вырезка, шпаргалка так сказать:
Если не даёт завести криптографию, то под админом домена в реестре задать разрешение либо для группы пользователей домена, либо для самого доменного юзера на ветку HKEY_LOCAL_MACHINESOFTWARELANITLanDocsHKEY_LOCAL_MACHINESOFTWAREWow6432NodeLANITLanDocs
Можно конечно поиском по реестну пробежать со словов LANIT
Суть в чем. Стоял домен, у пользователя были «урезанные» права, сделать это под пользователем не представлялось возможность (правка реестра была запрещена).
1 — включить пользователя на время в группу Администраторы, добавить сертификаты в Ландоксе, убрать пользователя с группы Администратьры.
2 — зайти под админом и дать права на ветки. В моем случае я дал разрешения на юзера домена, но это не помогло!!! Пришлось раздать права для группы «пользователи домена».
куда копать как лечить
причину искать, если быкапов нет. Вирусы, например или что тому было причиной В поисковике советуют проверить с другим профилем, затем смотреть логи Process Monitor и RegMon
Доверенные корневые центры сертификации ставятся вместе с системой и пользователь может только добавлять сертификаты в этот контейнер. В вашем случае я бы попробовал новый профиль, если и там такой же косяк — переустановить ОС поверх.
Ну, или сделать «рол-бэк», тобишь запустить «Восстановление системы» и выбрать самую последнюю перед инцидентом точку восстановления!!! (Панель управления — Все элементы управления — Восстановление).
Тема: Системное хранилище доверенных сертификатов (Прочитано 7739 раз)
0 Пользователей и 1 Гость просматривают эту тему.
а погуглить? Установка корневых сертификатов в Linux Mint / Ubuntu / Debian . или так : Ubuntu 16.04 » Руководство по Ubuntu Server » Защита » Сертификаты
Гуглил. Указанные ссылки видел — ничем не помогло.
1. Скопировать сертификаты кудато, где вы их не потеряете. Например, в /etc/ssl/2. Создать на них симлинки в /etc/ssl/certs3. Запустить c_rehash
AnrDaemon
Для более новых систем, возможно, потребуется несколько другой подход.Линки в /etc/pki/ca-trust/source/anchors и update-ca-trustХотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.
31.03.2022Добрый день. не могу разобраться с проблемой подписи в 1с. ос. астра линукс 1.6 смоленск. крипто про 5.0, при попытке подписать документ выскакивает ошибка, хотя все сертификаты установлены. контейнер в криптопро видется
31.03.2022А в cptools проходит тестовое подписание документа?
31.03.2022
А в cptools проходит тестовое подписание документа?
Да, все подписывается. над окном криптопро подписанный файл и результат проверки.
31.03.2022OKO, спасибо за совет, на госты не обратил внимания, да и собстенно говоря, опыта ни с 1 с ни с линуксом вообще нет
Последнее редактирование: 31.03.2022
19.05.2022Покажите вкладку Программы в Настройках ЭП в 1С
20.05.2022Путь вида: /opt/cprocsp/lib/amd64/libcapilite.so:/opt/cprocsp/lib/amd64/libcapi10.so:/opt/cprocsp/lib/amd64/libcapi20.so
25.05.2022это отдельно устанавливается какой-то библиотекой или где-то включается галочкой?
03.06.2022oko, спасибо за ответ, но на настоящий момент так и не нашел информации о способе установки алгоритма ГОСТ-2012 КС1 256. если не сложно — подскажите где и как установить. при установке криптопро библиотек нижняя строчка pcsc вроде стоит плюсик.
16.06.2022Всем спасибо, вопрос решен путем переустановки сертификата — связано с выбором контейнера зк.
18.11.2018
Помогите разобраться пожалуйста.
18.11.2018
Помогите разобраться пожалуйста.
Там же написано, отказ в доступе. Так как разместили репозиторий в домашней директории пользователя.
18.11.2018
Там же написано, отказ в доступе. Так как разместили репозиторий в домашней директории пользователя.
А куда мне его правильнее будет разместить? Первый опыт с линуксом. Прошу понять и простить ))
18.11.2018
А куда мне его правильнее будет разместить? Первый опыт с линуксом. Прошу понять и простить ))
Сделайте что-то типо /opt/repo и дайте права на чтение
18.11.2018переместил smolensk.iso в папку opt, смонтировал в папку /opt/repo, прописал в sources.list deb file:///opt/ smolensk contribe main non-free, результат тот же
18.11.2018
переместил smolensk.iso в папку opt, смонтировал в папку /opt/repo, прописал в sources.list deb file:///opt/ smolensk contribe main non-free, результат тот же
Так если вы монтируете iso в /opt/repo, то и писать нужно file:///opt/repo smolensk contribe main non-free
19.11.2018Прикрутил CD и с болванки все удалось. Спасибо за помощь! Тема закрыта.
Начиная с сентября 2022 года многие российские сервисы начинают переходить на TLS-сертификаты, выпущенные российским удостоверяющим центром. В связи с чем пользователи могут испытывать проблемы при доступе к таким сайтам. Чтобы этого избежать, нам потребуется установить в систему корневые сертификаты удостоверяющего центра, что позволит системе и браузерам доверять выпущенным им сертификатам. В данной статье мы расскажем, как это сделать в среде операционных систем Ubuntu или Debian, а также в любых основанных на них дистрибутивах.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Сразу развеем некоторые досужие домыслы, что мол установка такого сертификата дает возможность перехватывать и расшифровывать весь пользовательский трафик с ПК. Ничего подобного, корневой сертификат только лишь позволяет проверить подлинность выпушенных этим удостоверяющим центром сертификатов, чтобы расшифровать трафик нам потребуется закрытый ключ владельца сертификата, который хранится у него локально и никто, включая удостоверяющий центр, доступа к нему не имеет.
Кроме того, современные алгоритмы шифрования используют одноразовые сеансовые ключи, формируемые с использованием протокола Диффи — Хеллмана, что не позволяет расшифровать сессию даже имея на руках закрытый ключ. Поэтому беспокоиться не стоит, это просто один из множества корневых сертификатов, установленных в вашей системе. Просто большинство из них входит в состав ОС и при этом регулярно обновляется, просто этот процесс скрыт от глаз пользователя.
Установка сертификатов в системное хранилище
Прежде всего скачаем сами сертификаты, для этого перейдем в домашнюю директорию:
И выполним команды:
Это официальные ссылки для скачивания сертификатов с портала Госуслуг.
Затем повысим права до суперпользователя:
В Debian, если не установлен sudo, используйте:
Затем создадим директорию:
И скопируем в нее сертификаты:
Затем установим их командой:
Ключ -v указывает вывести на экран подробности выполнения команды. В выводе можно увидеть, что нужные сертификаты были установлены.
Теперь можем проверить, что система доверяет сертификатам выпущенным данным УЦ, для этого попробуем соединиться с сайтом Сбербанка, который одним из первых перешел на отечественные сертификаты:
Если вы увидите следующий вывод, то все в порядке:
Установка сертификатов в Mozilla Firefox
Браузер Mozilla Firefox не использует системное хранилище сертификатов, поэтому если мы хотим работать с такими сайтами с его помощью, то нам нужно добавить сертификат в хранилище браузера. Для этого перейдите Настройки — Приватность и защита — Сертификаты — Просмотр сертификатов и на закладке Центры сертификации выполните импорт скачанных сертификатов.
Теперь проблем в этом браузере не возникнет, для проверки посетим тот же сайт Сбербанка.
На приведенном скриншоте видно, что сайт действительно использует сертификат от Минцифры, также обратите внимание на аббревиатуру ECDHE ниже, которая обозначает, что используются несохраняемые одноразовые сеансовые ключи на основе протокола Диффи-Хеллмана на эллиптических кривых.
Установка сертификатов в Chromium и основанные на нем браузеры
Также, как и Firefoх, Chromium и основанные на нем браузеры не используют системное хранилище и требуют отдельной установки сертификатов. Мы будем рассматривать установку на примере Chromium, в других браузерах путь к настройкам может отличаться. Переходим в Настройки — Конфиденциальность и безопасность — Безопасность — Настроить сертификаты. Затем на закладке Центры сертификации производим импорт сертификатов.
Затем точно также можем посетить сайт Сбербанка и убедиться, что сертификаты установлены успешно.
Как видим, установить российские корневые сертификаты в Linux достаточно несложно. При этом вам не обязательно устанавливать их во все хранилища, можно обойтись только необходимыми, исходя из рабочих потребностей.
Электронно-цифровая подпись (ЭЦП) давно уже стала неотъемлемой частью нашей жизни, позволяя удаленно взаимодействовать с органами власти, сдавать отчетность, участвовать в системах электронного документооборота (ЭДО). Все это стало особенно актуально в последнее время, когда сложная эпидемиологическая обстановка внесла серьезные коррективы в рабочий процесс, сделав упор на дистанционные технологии. Особый интерес работа с ЭЦП вызывает у пользователей Linux, действительно, данная тема пока не нашла широкого отражения, поэтому постараемся восполнить этот пробел.
Начнем с того, что в техническом плане представляет электронно-цифровая подпись, а говоря об ЭДО и взаимодействии с государственными органами под этим термином мы будем иметь ввиду усиленную квалифицированную электронную подпись, которая выдается аккредитованным удостоверяющим центром и приравнивается к «живой» подписи.
ЭЦП состоит из двух частей: закрытого и открытого ключей. Закрытый ключ (часто просто «ключ») является секретным, его утрата ведет к полной компрометации подписи, так как завладевшее им лицо имеет возможность подписывать любые документы от имени владельца ЭЦП. Открытый ключ, вместе с некоторыми сведениями о владельце ключа оформляется в виде сертификата. Он не является секретным и используется для аутентификации владельца ЭЦП на многих ресурсах, а также для проверки подписи, сделанной закрытым ключом.
Среди обычных пользователей ЭЦП называется «сертификатом», но если вы являетесь специалистом, то должны различать и понимать разницу между составляющими частями ЭЦП и не путать закрытый и открытый ключ (сертификат). Сертификаты хранятся в системном хранилище ОС, а вот для хранения закрытых ключей есть варианты:
- Токен — аппаратное устройство для хранения ключей, чаще всего без возможности их экспорта, является наиболее безопасным способом хранения, угрозу представляет только физическая утеря ключа.
- Съемный носитель — обычно флеш-карта на которой расположен контейнер закрытого ключа, менее безопасный способ, так как ключ может быть легко скопирован физически.
- Реестр или жесткий диск — самый небезопасный способ, но в тоже время самый удобный, особенно когда нужно работать с большим количеством ЭЦП, вполне приемлем на доверенных устройствах, но требует более серьезного подхода в разграничении прав доступа.
При этом нельзя сказать, что последние два способа представляют угрозу безопасности, при должном подходе по разграничению доступа и установке нестандартного пароля на контейнер закрытого ключа они также вполне безопасны.
Второй вопрос — браузеры. Так повелось, что основная разработка средств электронной подписи ориентируется на браузеры на основе WebKit, поэтому мы рекомендуем использовать для работы Google Chrome, для используемого по умолчанию Firefox мы так и не смогли нормально настроить работу с отечественной криптографией. Также можно использовать Яндекс.Браузер или Спутник, хотя последний может нестабильно работать в последних выпусках Linux, например, в Xubuntu 20.04.
На этом, пожалуй, закончим вводную часть и перейдем к практическим примерам.
Госуслуги
Основной по своей значимости портал для взаимодействия с государственными органами. Для входа на Госуслуги в Linux можно использовать только аппаратные ключи (токены), криптопровайдеры не поддерживаются. Поэтому если вам нужны только Госуслуги, то Крипто-Про вам устанавливать не нужно. Для работы с Госуслугами вам потребуется IFCPlugin, который можно загрузить со следующей страницы, на нее же вы будете перенаправлены автоматически при попытке входа с помощью электронной подписи без установленного плагина.
Система корректно распознает текущую ОС и автоматически предлагает к скачиванию нужную версию плагина в виде DEB-пакета. Но не будем спешить с его установкой, для работы с токенами нам потребуется установить дополнительные библиотеки, в частности pcscd:
apt install pcscd
Если вы используете токены, то мы рекомендуем установить данную библиотеку вне зависимости от того, будете ли вы использовать Госуслуги или нет, она вам потребуется для работы с аппаратным ключом.
Затем откройте терминал в директории со скачанным плагином, повысьте права до суперпользователя и установите его командой:
dpkg -i IFCPlugin-x86_64.deb
Установка Крипто-Про
Крипто-Про самый распространенный и популярный отечественный криптопровайдер. Это коммерческое ПО и для установки вам понадобится серийный номер, без него будет активирована триальная версия на три месяца. Обычно лицензия на Крипто-Про выдается вместе с ЭЦП, либо использующим его ПО (например, система сдачи отчетности), поэтому если вы затрудняетесь найти лицензию, то обратитесь к своему поставщику ЭЦП.
Теперь пару слов о ключах, если они располагаются на токене или флеш-карте, то ничего делать не надо, а вот если они находятся в реестре, то их нужно скопировать на переносной носитель (флешку). Для этого откройте Крипто-Про и перейдите на вкладку Сервис, в разделе Контейнер закрытого ключа нажмите Скопировать и в открывшемся окне выберите нужный контейнер из реестра.
Затем укажите новый носитель для закрытого ключа, в этом качестве можно использовать любую флеш-карту, в т.ч. с данными, также рекомендуем установить на контейнер ключа надежный пароль.
На этом подготовительные моменты закончились и перейдем непосредственно к установке Крипто-Про в среде Linux. Прежде всего нам потребуется получить дистрибутив, это не такая простая задача, как кажется на первый взгляд, проще всего это сделать с главной страницы официального сайта, нажав на ссылку в правой колонке.
Распакуйте полученный архив в любое удобное место и перейдите в терминал, этом можно сделать, кликнув правой кнопкой мыши в любом свободном месте и выбрав Открыть терминал.
И запустим установку Крипто-Про командой:
Продукт имеет текстовый установщик, который последовательно проведет вас по всем этапам. Набор установки по умолчанию следует дополнить пунктом Поддержка токенов и смарт-карт, также у вас должна быть установлена библиотека pcscd.
При отсутствии лицензионного ключа этап его ввода можно пропустить, впоследствии, для активации лицензии потребуется запустить программу установки еще раз.
После успешной установки запустите графическое приложение Инструменты КриптоПро, при старте оно автоматически находит и отображает все доступные контейнеры, и вы сразу можете выполнить необходимые действия, например, установить сертификат в системное хранилище ОС.
Альтернативой хранения ключей на флешке может быть размещение контейнеров на жестком диске, для этого нажмите Скопировать контейнер и выберите в качестве носителя Directory:
На этом установку Крипто-Про можно считать законченной.
Установка КриптоПро ЭЦП Browser plug-in
dpkg -i cpro*.deb
Затем перезапустим браузер и проверим работу плагина. Для этого нажмите на значок плагина на панели браузера и выберите в выпадающем меню Проверить работу плагина, если все сделано правильно вы увидите следующую страницу:
Теперь вы можете использовать Крипто-Про для входа по ЭЦП на сайты, поддерживающие работу с данным криптопровадером.
Установка корневого сертификата в Linux
Для обновления хранилища доверенных сертификатов в Linux вам нужен файл сертификата в формате PEM с расширением файла .crt. PEM сертификат представляет собой текстовый файл в формате base64, который содержит в начале файла строку —-BEGIN CERTIFICATE—- и в конце ——END CERTIFICATE——.
Если ваш файл сертификата в формате DER, вы можете конвертировать его в PEM формат с помощью утилиты openssl:
$ openssl x509 -in my_trusted_sub_ca.der -inform der -out my_trusted_sub_ca.cer
Сначала рассмотрим, как добавит корневой сертификат вашего CA в доверенные в дистрибутивах Linux на базе DEB (Ubuntu, Debian, Mint, Kali Linux).
Обновите хранилище сертификатов командой:
$ sudo update-ca-certificates -v
Если команда не найдена, установите пакет в Ubuntu:
$ sudo apt-get install -y ca-certificates
Если сертификаты успешно добавлены, появится сообщение о том, что сертфикат скопирован в /etc/ssl/certs/:
Также вы можете добавить новые сертификаты в хранилище с помощью команды:
$ sudo dpkg-reconfigure ca-certificates
Выберите из списка сертификаты, которые нужно добавить в доверенные.
В Linux список доверенных сертификатов содержится в файле /etc/ssl/certs/ca-certificates.crt. Обе рассмотренные выше команды обновят этот файл и добавят в информацию о новых сертификатах.
Вы можете проверить, что ваши сертификаты были добавлены в доверенные с помощью команды:
Укажите часть Common Name вашего сертификата вместо YourCASubj для поиска в хранилище по subject.
Вы можете убедиться, что ваша ОС доверяет сертификату с помощью команду:
$ openssl verify my_trusted_sub_ca.crt
Если Linux не доверяет сертификату, появится ошибка:
error 20 at 0 depth lookup: unable to get local issuer certificate
error my_trusted_sub_ca.crt: verification failed
Теперь проверьте, что на сайте используется доверенный SSL сертификат с помощью curl:
Можно также вручную добавить путь к сертификату:
Чтобы удалить сертификат, удалите ваш crt файл:
И обновите хранилище:
$ sudo update-ca-certificates —fresh
В дистрибутивах Linux на базе RPM (CentOS, Oracle, RHEL, Rocky Linux, Fedora) для добавления сертификата в доверенные:
- Установите пакет ca-certificates:
# yum install ca-certificates - Скопируйте файл сертификата в каталог /etc/pki/ca-trust/source/anchors/:
# cp mycert.crt /etc/pki/ca-trust/source/anchors/ - Обновите хранилище:
# update-ca-trust force-enable# update-ca-trust extract
Добавить корневой доверенный сертификат для браузеров Mozilla, Chrome
Теперь все системные утилиты будут доверять сайтам, использующим данный CA. Но это не повлияет на веб браузеры Mozilla Firefox или Google Chrome. Они по-прежнему будут показывать предупреждение о недоверенном сертификате.
Дело в том, что браузеры Firefox, Chromium, Google Chrome, Vivaldi и даже почтовый клиент Mozilla Thunderbird не используют системное хранилище сертификатов Linux. Хранилище сертификатов для этих программ находится в директории пользователя в файле cert8.db (для Mozilla) или cert9.db (для Chromium и Chrome). Для обновления этих хранилищ сертификатов используется утилита certutil из пакета libnss3-tools.
$ sudo apt install libnss3-tools
Теперь выполните следующие скрипты для добавления ваших сертификатов в хранилище через NSS:
После запуска скрипта, сайтам с данным CA будут доверять все браузеры.