Для использования алгоритмов ГОСТ Р 34.10‑2012 и RSA eCA-VA может взаимодействовать со средством криптографической защиты информации (СКЗИ) ‑ криптопровайдером СКЗИ «КриптоПро CSP».
Взаимодействие eCA-VA с криптопровайдером СКЗИ «КриптоПро CSP» осуществляется через модуль «КриптоПро Java CSP»[1]. При каждом запуске eCA-VA определяется наличие на его хосте активного криптопровайдера СКЗИ «КриптоПро CSP».
[1] Модуль «КриптоПро Java CSP» входит в состав СКЗИ «КриптоПро CSP».
Настройка взаимодействия с СКЗИ «КриптоПро CSP»
До выполнения настройки взаимодействия СКЗИ «КриптоПро CSP» с eCA-VA необходимо подготовить внешнюю гамму[1]. Подключение внешней гаммы необходимо для генерации ключевых пар центров сертификации, субъектов и пользователей по алгоритмам, криптопровайдером которых является СКЗИ «КриптоПро CSP».
При развертывание нескольких экземпляров eCA-VA под одним средством балансирования нагрузки необходимо для каждого экземпляра программного средства подготовить уникальную внешнюю гамму, чтобы исключить совпадения ключевых пар.
Порядок настройки взаимодействия СКЗИ «КриптоПро CSP» с eCA-VA:
- На сервере eCA-VA выполнить установку криптопровайдера СКЗИ «КриптоПро CSP» в соответствии с инструкцией, описанной в разделе 2 документа «СКЗИ «КриптоПро CSP». Руководство администратора безопасности. Использование СКЗИ под управлением ОС Linux» ЖТЯИ.00101‑03 91 03.
Внимание! Перед установкой СКЗИ «КриптоПро CSP» в ОС Альт 8 СП Сервер установите пакет newt52 командой sudo apt‑get install newt52.
- При отсутствии создайте каталог /opt/aecaVa/services/cryptoproviders командой:
sudo mkdir ‑p /opt/aecaVa/services/cryptoproviders- Переместите в каталог /opt/aecaVa/services/cryptoproviders файлы jar, asn1rt.jar, JCP.jar и JCSP.jar из состава дистрибутива ПО«КриптоПро Java CSP» командой:
sudo cp {ASN1P.jar,asn1rt.jar,JCP.jar,JCSP.jar} /opt/aecaVa/services/cryptoproviders- Назначьте права доступа на скопированные файлы:
- Если выполняется первоначальная установка eCA-VA, то назначьте файлам права доступа (chmod 777) командой:
sudo chmod 777 /opt/aecaVa/services/cryptoproviders/{ASN1P.jar,asn1rt.jar,JCP.jar,JCSP.jar}- Если eCA-VA был ранее установлен, то назначьте владельцем данных файлов пользователя «aeca» и предоставьте ему права доступа к файлам (chmod 700) командами:
sudo chown aeca:aeca /opt/aecaVa/services/cryptoproviders/{ASN1P.jar,asn1rt.jar,JCP.jar,JCSP.jar}sudo chmod 700 /opt/aecaVa/services/cryptoproviders/{ASN1P.jar,asn1rt.jar,JCP.jar,JCSP.jar}- Если используется уже заранее подготовленная внешняя гамма, то пропустите этот пункт. Иначе подготовьте внешнюю гамму с помощью утилиты /opt/cprocsp/bin/amd64/genkpim (утилита genkpim входит в состав дистрибутива СКЗИ «КриптоПро CSP») командами:
mkdir ‑p ~/gamma/opt/cprocsp/bin/amd64/genkpim <количество ключей> 0x12345678 ~/gamma- На хосте eCA-VA поместите каталог с заранее подготовленной внешней гаммой в каталог /opt/aecaVa/dist/ командой:
sudo cp ‑a ~/gamma/. /opt/aecaVa/dist/gamma- В результате в каталоге /opt/aecaCa/dist/gamma появятся подкаталоги db1, db2, kpim.
- Если выполняется первоначальная установка eCA-VA, то назначьте права доступа файлам (chmod 777) командой:
sudo chmod ‑R 777 /opt/aecaVa/dist/gamma- Если eCA-VA был ранее установлен, то назначьте владельцем данных файлов пользователя «aeca» и предоставьте ему права доступа (chmod 700) командами:
sudo chown ‑R aeca:aeca /opt/aecaVa/dist/gammasudo chmod ‑R 700 /opt/aecaVa/dist/gamma- Подключить данную внешнюю гамму к СКЗИ «КриптоПро CSP» посредством следующих команд[2]:
sudo ./cpconfig ‑hardware rndm ‑add cpsd ‑name ‘cpsd rng’ ‑level 3sudo ./cpconfig ‑hardware rndm ‑configure cpsd ‑add string /db1/kis_1 /opt/aecaVa/dist/gamma/db1/kis_1sudo ./cpconfig ‑hardware rndm ‑configure cpsd ‑add string /db2/kis_1 /opt/aecaVa/dist/gamma/db2/kis_1- Если eCA-VA был ранее установлен, перезапустите сервис aeca‑va.service командой:
sudo systemctl restart aeca‑va.serviceЕсли в дальнейшем к СКЗИ «КриптоПро CSP» будет подключен ПАКМ «КриптоПро HSM», для обнаружения eCA-VA наличия такого подключения необходимо перезапустить сервис aeca‑va.service.
[1] Заранее сформированный набор случайных данных, необходимых для генерирования закрытых ключей. При создании сертификатов на КН и с закрытым ключом (PKCS#12) для субъектов с использованием алгоритмов ключей, для которых в активном центре сертификации выбран криптопровайдер СКЗИ «КриптоПро CSP», Центр сертификации использует внешнюю гамму, заранее подготовленную на биологическом датчике случайных числе (БДСЧ) криптопровайдера «КриптоПро CSP».
[2] Подключение осуществляется с помощью файла cpconfig (находится в /opt/cprocsp/sbin/amd64). Путь к файлу в командах приведен с учётом нахождения в каталоге /opt/cprocsp/sbin/amd64.
Индикация об отсутствии связи с СКЗИ «КриптоПро CSP»
При отсутствии на хосте eCA-VA активного криптопровайдера «КриптоПро CSP» для центров сертификации, закрытый ключ которых создан с его помощью, в пользовательском интерфейсе будет отображаться следующая индикация:
- В разделе «Центр сертификации» в списках для центров сертификации в соответствующих строках слева от имени отображаемого центра сертификации будет присутствовать индикация вида «треугольник с восклицательным знаком», при наведении на которую курсора будет отображаться всплывающее сообщение «Закрытый ключ центра сертификации недоступен».
- При переходе на карточку центра сертификации справа от индикации состояния центра сертификации будет присутствовать индикация «треугольник с восклицательным знаком», при наведении на которую курсора будет отображаться всплывающее сообщение «Закрытый ключ центра сертификации недоступен».
- В карточке центра сертификации в подразделе «Криптопровайдеры» справа от названия криптопровайдера СКЗИ «КриптоПро CSP» в полях алгоритмов, для которых он был выбран в качестве криптопровайдера при создании центра сертификации, будет присутствовать индикация «треугольник с восклицательным знаком», при наведении курсора на которую будет отображаться всплывающее сообщение «Криптопровайдер недоступен».