Установка КриптоПро Ключ и дополнительного ПО (*nix)
Установка КриптоПро CSP и дополнительных пакетов
1. Распакуйте архив с дистрибутивом СКЗИ «КриптоПро CSP» в выбранную папку.
tar -xf linux-amd64_deb.tgz -C /opt/tmp
2. Перейдите в папку, в которую был распакован архив на предыдущем шаге, и выполните скрипт для установки необходимых пакетов в соответствии с используемым исполнением.
Пример с установкой cpnginx и cades:
# Выдача прав на выполнение владельцу файла
sudo chmod u+x install.sh
# Установка
sudo ./install.sh cprocsp-nginx cprocsp-pki-cades
3. Установите утилиту stunnel для работы с КриптоПро HSM.
sudo dpkg -i cprocsp-stunnel-*.deb #stunnel
4. Активируйте лицензии для КриптоПро CSP, TSP- и OCSP-клиентов.
5. Настройте подключение к КриптоПро HSM.
Примечание
В случае если при тестировании планируется использовать ДСЧ "Исходный материал", необходимо выполнить действия по его настройке.
Дополнительная информация об установке и работе КриптоПро CSP и дополнительных пакетов содержится в эксплуатационной документации на используемую версию КриптоПро CSP.
Установка СУБД PostgreSQL
1. Установите пакет postgresql:
sudo apt install postgresql-11
2. Выполните вход в сессию служебного пользователя postgres:
sudo su - postgres
3. Установите пароль для УЗ служебного пользователя СУБД:
psql -c "alter user postgres with password 'Пароль'"
4. Завершите работу в сессии служебного пользователя
exit
Установка CPShell
Примечание
Утилита CPShell для конфигурирования экземпляров сервисов необходима при использовании режима ЗПС в ОС СН Astra Linux SE Смоленск.
1. Распакуйте архив с дистрибутивом cprotools в выбранную папку.
2. Перейдите в папку, в которую был распакован архив на предыдущем шаге, и установите утилиту конфигурирования CPShell.
sudo dpkg -i "cprotools-shell_*"
Список модулей, загружаемых при помощи утилиты:
"CryptoPro.AuditService.PowerShell.dll",
"CryptoPro.SignatureServiceLite.PowerShell.dll",
"CryptoPro.SignatureService.PowerShell.dll",
"CryptoPro.PushService.PowerShell.dll",
"CryptoPro.IdentityService.PowerShell.dll",
"CryptoPro.Frontend.PowerShell.dll",
"CryptoPro.DocumentService.PowerShell.dll"
Примечание
Добавление других модулей в число подключаемых разрешено только по результатам проведения дополнительных тематических исследований.
Установка PowerShell и импорт модулей
Установка PowerShell
В случае если для конфигурирования сервисов будет использован PowerShell, скачайте и установите его дистрибутив, следуя инструкции по установке.
Импорт модулей PowerShell
Для автоматической загрузки модулей требуется создать PowerShell-профиль или добавить в существующий следующие данные:
/opt/cprokey/powershell/Modules
Каталог с PowerShell-профилем расположен по следующему адресу: /opt/microsoft/powershell/7/profile.ps1.
В случае отсутствия файла профиля его необходимо создать самостоятельно.
1. Создайте директорию:
sudo touch /opt/microsoft/powershell/7/profile.ps1
2. Создайте файл профиля со следующим содержимым:
cat << EOF | sudo tee /opt/microsoft/powershell/7/profile.ps1
#Путь к файлам модулей cprokey
\$env:PSModulePath+=':/opt/cprokey/powershell/Modules'
#Переменные cprokey с данными УЗ служебного пользователя СУБД
\$DssAdmin = "укажите УЗ СУБД PostgreSQL"
\$DssAdminPwd = "укажите пароль УЗ"
EOF
3. Запустите PowerShell и получите список доступных модулей:
sudo pwsh
get-module -ListAvailable
В списке должны присутствовать модули с названием CryptoPro для каталога установки КриптоПро Ключ.
CryptoPro.AuditService.PowerShell
CryptoPro.DocumentService.PowerShell
CryptoPro.Frontend.PowerShell
CryptoPro.IdentityService.PowerShell
CryptoPro.Mdag.PowerShell
CryptoPro.SignatureService.PowerShell
CryptoPro.PushService.PowerShell
CryptoPro.SignatureServiceLite.PowerShell
Установка КриптоПро Ключ
1. Перейдите в папку с дистрибутивом КриптоПро Ключ и распакуйте архив с дистрибутивом.
tar -xf cprokey_*.tar.gz -C /opt/tmp
2. Перейдите в папку с распакованным дистрибутивом и установите компоненты КриптоПро Ключ .
# Центр Идентификации, Сервис Подписи, Сервис Аудита, Сервис Обработки Документов
sudo dpkg -i cprokey-base_*.deb
# Веб-интерфейс
sudo dpkg -i cprokey-fe_*.deb
# Сервис Взаимодействия с SDK
sudo dpkg -i cprokey-mdag_*.deb
# Сервис PUSH-уведомлений
sudo dpkg -i cprokey-push_*.deb
# Сервис Lite (при использовании)
sudo dpkg -i cprokey-lite_*.deb
Создание сервисной УЗ КриптоПро Ключ
1. Создайте УЗ с произвольным именем, которая будет использоваться для работы сервисов "КриптоПро Ключ":
sudo useradd -r cprokey-srv
2. Добавьте созданную УЗ в группы безопасности сервисов "КриптоПро Ключ". Группы безопасности создаются автоматически при установке пакетов из дистрибутива и имеют статичные наименования:
#Центр Идентификации
sudo usermod -a -G idsrv cprokey-srv
#Сервис Подписи
sudo usermod -a -G signsrv cprokey-srv
#Сервис Обработки документов
sudo usermod -a -G docsrv cprokey-srv
#Сервис Аудита
sudo usermod -a -G auditsrv cprokey-srv
#Веб-интерфейс
sudo usermod -a -G fesrv cprokey-srv
#Сервис взаимодействия с SDK (mdag)
sudo usermod -a -G mdagsrv cprokey-srv
#Сервис PUSH-уведомлений
sudo usermod -a -G pushsrv cprokey-srv
#Сервис Ключ Lite (при использовании)
sudo usermod -a -G litesrv cprokey-srv
3. Добавьте учетную запись администратора(-ов) КриптоПро Ключ в группы администрирования.
Пример для УЗ cp:
ADMIN_ACC="cp"
sudo usermod -aG idsrvadmin,auditsrvadmin,signsrvadmin,docsrvadmin,fesrvadmin,pushsrv,mdagsrv,litesrv $ADMIN_ACC
Установка КриптоПро Ключ и дополнительного ПО (Windows)
Установка КриптоПро CSP и дополнительных пакетов
1. Выполните установку КриптоПро CSP в соответствии эксплуатационной документацией на КриптоПро CSP выбранного исполнения.
2. Установите модуль поддержки «Поддержка RSA/ECDSA» криптопровайдеров в соответствии эксплуатационной документацией на КриптоПро CSP выбранного исполнения.
Настройка веб-сервера
Для настройки работы веб-сервера необходимо установить Microsoft Internet Information Services 8 и новее. В Мастере добавления ролей и компонентов необходимо добавить следующие роли веб-сервера IIS:
- ASP.NET 4.5;
- Расширяемость .NET (.NET Extensibility 4.5) (3.5 достаточно для Windows Server 2012);
- Расширения ISAPI (ISAPI Extensions);
- Фильтры ISAPI (ISAPI Filters);
- Статическое содержимое (Static content);
- Фильтрация запросов (Request Filtering);
- Консоль управления IIS (IIS Management Console);
- Дополнительные службы .NET Framework 4.5 (NetFx4Extended-ASPNET45);
- Активация по HTTP (HTTP Activation).
Для автоматической настройки работы веб-сервера необходимо в командной строке, запущенной от имени администратора, выполнить следующую команду:
dism.exe /Online /Enable-Feature /FeatureName:IIS-WebServerRole /FeatureName:IIS-WebServer /FeatureName:IIS-ASPNET45 /FeatureName:IIS-NetFxExtensibility45 /FeatureName:IIS-ISAPIExtensions /FeatureName:IIS-ISAPIFilter /FeatureName:IIS-StaticContent /FeatureName:IIS-ManagementConsole /FeatureName:IIS-RequestFiltering /FeatureName:WAS-WindowsActivationService /FeatureName:WCF-HTTP-Activation45 /FeatureName:IIS-NetFxExtensibility45 /FeatureName:NetFx4Extended-ASPNET45 /FeatureName:WAS-ConfigurationAPI
См. также:
Установка ASP.NET Core Hosting Bundle
Внимание!
Данный пункт необходимо выполнять после настройки веб-сервера.
1. Выполните установку ASP.NET Core Hosting Bundle версии 8.0 из комплекта поставки.
В случае если после выполнения настройки сервисов возникает ошибка HTTP 500.19, необходима переустановка ASP.NET Core Hosting Bundle.
Установка СУБД MS SQL
1. Загрузите и установите Microsoft SQL Server выбранной версии в соответствии с эксплуатационной документацией.
2. Установите (при необходимости) SQL Server Management Studio.
3. Создайте пользователя для SQL-аутентификации и выдайте ему права на создание баз данных.
Установка PowerShell и импорт модулей
1. Выполните установку PowerShell из комплекта поставки.
Для автоматической загрузки модулей требуется создать PowerShell-профиль или добавить в существующий необходимые данные. Для этого выполните следующие действия.
2. Откройте PowerShell с правами администратора.
3. Откройте для редактирования файл C:\Windows\System32\WindowsPowerShell\v1.0\profile.ps1 или
создайте его, выполнив следующую команду:
notepad $PROFILE.AllUsersAllHosts
4. Добавьте в файл профиля следующие данные:
$Env:PSModulePath = $Env:PSModulePath+";C:\Program Files\Crypto Pro\KEY\powershell\Modules"
$CproKeyAdmin = "<учетная запись для подключения к sql>"
$CproKeyAdminPwd = "<пароль от УЗ>"
5. Получите в PowerShell список доступных модулей:
get-module -ListAvailable
В списке должны присутствовать следующие модули с названием CryptoPro для каталога установки КриптоПро Ключ.
CryptoPro.AuditService.PowerShell
CryptoPro.DocumentService.PowerShell
CryptoPro.Frontend.PowerShell
CryptoPro.IdentityService.PowerShell
CryptoPro.Mdag.PowerShell
CryptoPro.SignatureService.PowerShell
CryptoPro.PushService.PowerShell
CryptoPro.SignatureServiceLite.PowerShell
Установка КриптоПро Ключ
1. Перейдите в папку с дистрибутивом КриптоПро Ключ и распакуйте архив с дистрибутивом.
2. Перейдите в папку с распакованным дистрибутивом и запустите файлы с компонентами КриптоПро Ключ. Требуются права администратора.
cprokey-base_*.msi
cprokey-fe_*.msi
cprokey-mdag_*.msi
cprokey-push_*.msi
cprokey-lite_*.msi (если используется)
Удаление КриптоПро Ключ
Примечание
Перед удалением КриптоПро Ключ необходимо сначала остановить сервисы и удалить их экземпляры.
Удаление установленных компонентов КриптоПро Ключ может быть выполнено при помощи следующей команды.
sudo dpkg -r cprokey-base cprokey-fe cprokey-lite cprokey-mdag cprokey-push
Обновление КриптоПро Ключ
1. Остановите запущенные сервисы:
sudo systemctl stop cprokey-*.service
2. Установите новые пакеты аналогично первой установке.
3. Обновите конфигурации сервисов, имеющих БД:
#Центр Идентификации
Update-IdsInstance -DisplayName $idp_name
#Сервис Подписи
Update-SignInstance -DisplayName $ss_name
#Сервис Аудита
Update-AuditInstance -DisplayName $audit_name
#Сервис Обработки Документов
Update-DsInstance -DisplayName $ds_name
4. Запустите сервисы:
sudo systemctl start cprokey-*.service