From a8ea62eff6faaa100ebe71cf472439d1dcb3b9ca Mon Sep 17 00:00:00 2001
From: alashkova <n.alashkova@micord.ru>
Date: Mon, 18 Nov 2024 12:50:28 +0300
Subject: [PATCH] =?UTF-8?q?SUPPORT-8703.=20=D0=9F=D1=80=D0=B0=D0=B2=D0=BA?=
 =?UTF-8?q?=D0=B8=20=D0=B2=20"=D0=98=D0=BD=D1=81=D1=82=D1=80=D1=83=D0=BA?=
 =?UTF-8?q?=D1=86=D0=B8=D0=B8=20=D0=BF=D0=BE=20=D1=83=D1=81=D1=82=D0=B0?=
 =?UTF-8?q?=D0=BD=D0=BE=D0=B2=D0=BA=D0=B5"?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 Инструкция по установке.md | 25 +++++++++++++++++++++++--
 1 file changed, 23 insertions(+), 2 deletions(-)

diff --git a/Инструкция по установке.md b/Инструкция по установке.md
index a090705..5ad3274 100644
--- a/Инструкция по установке.md	
+++ b/Инструкция по установке.md	
@@ -63,10 +63,10 @@ chown -R ervu:ervu /var/opt/cprocsp/keys/ervu/key_cont.000/
 
 4. Установить сертификаты УЦ (поля "URL сертификата УЦ" в свойствах сертификата). Для каждого сертификата выполнить команду от имени **root**:
 ``` bash
-/opt/cprocsp/bin/amd64/certmgr -install -store uRoot -file <sign_ca_cert>.cer
+/opt/cprocsp/bin/amd64/certmgr -install -store mRoot -file <sign_ca_cert>.cer
 ```
 
-5. Установить CRL (поле "URL списка отзыва" в свойствах сертификата). Для каждого CRL выполнить команду от имени **ervu**:
+5. В случае отсутствия доступа к УЦ, установить CRL (поле "URL списка отзыва" в свойствах сертификата). Для каждого CRL выполнить команду от имени **ervu**:
 ``` bash
 /opt/cprocsp/bin/amd64/certmgr -install -store uCA -crl -file <sign_ca_crl>.crl
 ```
@@ -112,6 +112,27 @@ rm -f test.txt test.txt.sgn
 - Поле "SHA1 отпечаток": это значение нужно будет указать в конфигурационном файле модуля подписания в качестве настройки \<esia_cert_thumbprint\>.
 - Поле "Алгоритм подписи": проверить, что значение совпадает с настройками ИС в ЕСИА.
 - Поле "Истекает": проверить, что срок действия сертификата не истёк.
+- Поля "URL сертификата УЦ": по ссылкам, указанным в этом значении, скачать сертификаты УЦ и установить их (описано далее)
+- Поля "URL списка отзыва": по ссылкам, указанным в этом значении, скачать CRL и установить их (описано далее)
+
+4. Установить сертификаты УЦ (поля "URL сертификата УЦ" в свойствах сертификата). Для каждого сертификата выполнить команду от имени **root**:
+``` bash
+/opt/cprocsp/bin/amd64/certmgr -install -store mRoot -file <sign_ca_cert>.cer
+```
+
+5. В случае отсутствия доступа к УЦ, установить CRL (поле "URL списка отзыва" в свойствах сертификата). Для каждого CRL выполнить команду от имени **ervu**:
+``` bash
+/opt/cprocsp/bin/amd64/certmgr -install -store uCA -crl -file <sign_ca_crl>.crl
+```
+
+6. Проверить цепочку сертификатов (команда выполняется от имени **ervu**):  
+``` bash
+/opt/cprocsp/bin/amd64/certmgr -list -thumbprint <esia_cert_thumbprint> -chain
+```
+
+Результатом команды должна быть строка "Цепочка сертификатов: Успешно проверена."
+
+Подробнее о проверке цепочки сертификатов здесь: https://www.altlinux.org/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%9F%D1%80%D0%BE#%D0%9F%D1%80%D0%BE%D0%B2%D0%B5%D1%80%D0%BA%D0%B0_%D1%86%D0%B5%D0%BF%D0%BE%D1%87%D0%BA%D0%B8_%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D0%BE%D0%B2
 
 ### Установка и настройка nginx