2024-11-25 16:33:57 +03:00
## Обновление сертификата для подписи
### Установка ключевой пары ИС, зарегистрированной в ЕСИА
1. Запросить у с
2. Установить полученную ключевую пару для пользователя, от которого запускается модуль подписания (команды выполняются от имени **ervu** ).
Внимание! В ** *key_cont.000*** на название контейнера, полученного на предыдущем шаге.
```
mkdir /var/opt/cprocsp/keys/ervu/
cp -r key_cont.000/ /var/opt/cprocsp/keys/ervu/
chmod 700 /var/opt/cprocsp/keys/ervu/key_cont.000
chmod 600 /var/opt/cprocsp/keys/ervu/key_cont.000/*
chown -R ervu:ervu /var/opt/cprocsp/keys/ervu/key_cont.000/
/opt/cprocsp/bin/amd64/csptest -absorb -certs -autoprov
```
3. Получить перечень сертификатов:
```
/opt/cprocsp/bin/amd64/certmgr -list
```
Для нового сертификата получить следующие значения:
- Поле "SHA1 отпечаток": это значение нужно будет указать в конфигурационном файле модуля подписания в качестве настройки < sign_cert_thumbprint >
- Поле "Ссылка на ключ": убедиться, что значение равно "Есть" (иначе необходимо проверить выполнение предыдущих шагов)
- Поля "URL сертификата УЦ": по ссылкам, указанным в этом значении, скачать сертификаты УЦ и установить их (описано далее)
- Поля "URL списка отзыва": в случае отсутствия доступа к УЦ, по ссылкам, указанным в этом значении, скачать CRL и установить их (описано далее)
4. Установить сертификаты УЦ (поля "URL сертификата УЦ" в свойствах сертификата). Для каждого сертификата выполнить команду от имени **root** :
``` bash
/opt/cprocsp/bin/amd64/certmgr -install -store mRoot -file < sign_ca_cert > .cer
```
5. В **ervu** :
``` bash
/opt/cprocsp/bin/amd64/certmgr -install -store uCA -crl -file < sign_ca_crl > .crl
```
6. Проверить цепочку сертификатов (команда выполняется от имени **ervu** ):
``` bash
/opt/cprocsp/bin/amd64/certmgr -list -thumbprint < sign_cert_thumbprint > -chain
```
Результатом команды должна быть строка "Цепочка сертификатов: Успешно проверена."
Подробнее о
7. (опционально) Сделать тестовую подпись с
``` bash
touch test.txt
/opt/cprocsp/bin/amd64/cryptcp -signf -thumbprint < sign_cert_thumbprint > -pin < sign_cert_password > -errchain ./test.txt
rm -f test.txt test.txt.sgn
```
### Настройка ervu-sign-module.
1. В
```
[sign]
sign_cert_thumbprint = sha1_thumbprint_of_signer_cert # SHA1 отпечаток сертификата, которым ИС подписывает секрет
sign_cert_password = ** ** # пароль от контейнера
```
2. Перезапустить службу:
```
systemctl restart ervu-sign-module
```
3. (опционально) Удалить старый сертификат для подписи
3.1. Удалить старый сертификат из хранилища:
```
/opt/cprocsp/bin/amd64/certmgr -delete -thumbprint < old_sign_cert_thumbprint >
```
где < old_sign_cert_thumbprint > - SHA1 отпечаток старого сертификата
3.2. Удалить директорию с о
```
rm -rf /var/opt/cprocsp/keys/ervu/< key_cont.000 >
```
где < key_cont.000 > - название директории с о
## Обновление сертификата ЕСИА для проверки ЭП маркера доступа
### Установка сертификата ЕСИА.
1. Скачать сертификаты тестовой и продуктивной сред ЕСИА, используемые для формирования электронных подписей ответов как поставщика, по ссылке: https://esia.gosuslugi.ru/public/esia.zip
2. Из списка сертификатов выбрать тот, который подходит под конфигурацию стенда (в зависимости от алгоритма подписи и от того, является ли среда тестовой или продуктивной).
3. Установить выбранный сертификат для пользователя, выполнив команду от имени **ervu** :
```
/opt/cprocsp/bin/amd64/certmgr -install -file '< esia_cert > .cer'
```
где < esia_cert > .cer - название файла выбранного сертификата.
Результатом команды будет список полей сертификата. Из него необходимо получить следующие значения:
- Поле "SHA1 отпечаток": это значение нужно будет указать в конфигурационном файле модуля подписания в качестве настройки < esia_cert_thumbprint > .
- Поле "Алгоритм подписи": проверить, что значение совпадает с
- Поле "Истекает": проверить, что срок действия сертификата не истёк.
- Поля "URL сертификата УЦ": по ссылкам, указанным в этом значении, скачать сертификаты УЦ и установить их (описано далее)
- Поля "URL списка отзыва": в случае отсутствия доступа к УЦ, по ссылкам, указанным в этом значении, скачать CRL и установить их (описано далее)
4. Установить сертификаты УЦ (поля "URL сертификата УЦ" в свойствах сертификата). Для каждого сертификата выполнить команду от имени **root** :
``` bash
2024-11-29 16:37:23 +03:00
/opt/cprocsp/bin/amd64/certmgr -install -store mRoot -file < esia_ca_cert > .cer
2024-11-25 16:33:57 +03:00
```
5. В **ervu** :
``` bash
2024-11-29 16:37:23 +03:00
/opt/cprocsp/bin/amd64/certmgr -install -store uCA -crl -file < esia_ca_crl > .crl
2024-11-25 16:33:57 +03:00
```
6. Проверить цепочку сертификатов (команда выполняется от имени **ervu** ):
``` bash
/opt/cprocsp/bin/amd64/certmgr -list -thumbprint < esia_cert_thumbprint > -chain
```
Результатом команды должна быть строка "Цепочка сертификатов: Успешно проверена."
Подробнее о
### Настройка ervu-sign-module.
1. В
```
[verify]
esia_cert_thumbprint = old_esia_cert_thumbprint,esia_cert_thumbprint # список SHA1 отпечатков сертификатов ЕСИА, указанных через запятую (без пробелов)
```
где < old_esia_cert_thumbprint > - SHA1 отпечаток старого сертификата ЕСИА.
Примечание. SHA1 отпечаток старого сертификата ЕСИА необходимо оставить в списке esia_cert_thumbprint до тех пор, пока срок е г о
2. Перезапустить службу:
```
systemctl restart ervu-sign-module
```
3. (опционально) Удалить старый сертификат ЕСИА.
```
/opt/cprocsp/bin/amd64/certmgr -delete -thumbprint < old_esia_cert_thumbprint >
```
где < old_esia_cert_thumbprint > - SHA1 отпечаток старого сертификата ЕСИА.
