Автор Тема: Электронная цифровая подпись (ЭЦП) для пользователей CentOS 6.5/6.6  (Прочитано 11372 раз)

0 Пользователей и 2 Гостей просматривают эту тему.

Оффлайн determination

  • Moderator
  • Специалист ИТ
  • ***
  • Сообщений: 265
  • Karma: +34/-0
  • Пол: Мужской
  • Мы быстрее
    • Share Post
    • ЦАРКА
Ежедневно каждая компания сталкивается с необходимостью использования ЭЦП - тендерные комиссии, статистические центры, портал электронного правительства и др., в связи с этим каждый системный администратор RHEL или CentOS должен уметь настраивать компьютер для работы с ЭЦП.

Почему CentOS 6, когда уже вышел CentOS 7? Концептуально в 7 версии системы этот процесс ничем не отличается, но если ориентироваться на уже внедренные системы, то на сегодняшний день больше всего используется версия 6. Второй аргумент - срок поддержки 6 версии сейчас установлен до 2020 года. Что означает - решаем проблему фундаментально и не дергаемся.

Когда мне потребовалось обеспечить этот функционал в группе пользователей CentOS (раньше такой необходимости не было), пройдя по процессу, я пришел к выводу, что, несмотря на наличие ряда инструкций, ощущается разобщенность материалов и лишь поверхностное покрытие. Справляются лишь опытные системные администраторы Linux (RHEL/CentOS), которые свободно себя ощущают и понимают принципы работы этих технологий.

Поэтому я написал свою инструкцию конкретно для CentOS 6.5/6.6. Вещь банальная, но иногда очень нужная. Инструкция описывает получение ЭЦП для юридических лиц и настройку JAVA для работы с ними. Может быть кому-нибудь пригодится. У меня в компании такой инструкции не было, поэтому раз уж работа сделана - пользуйтесь, уверен утвержденных инструкций для CentOS 6.5/6.6 в Казахстанских предприятиях счет на едницы, если вообще есть.

 

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8757
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Очень полезная и актуальная статья, в том числе для меня, спасибо :smile3: Держи +
« Последнее редактирование: Ноябрь 21, 2014, 04:54:45 pm от sysadmin »
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

Оффлайн determination

  • Moderator
  • Специалист ИТ
  • ***
  • Сообщений: 265
  • Karma: +34/-0
  • Пол: Мужской
  • Мы быстрее
    • Share Post
    • ЦАРКА
Очень полезная и актуальная статья, в том числе для меня, спасибо :smile3: Держи +

Еще один шаг в плане защиты позиции CentOS в качестве корпоративной операционной системы. JAVA кроссплатформенная, CentOS халявный и стабильный. Нет проблемы в использовании системы для к примеру отдела закупок, они ничего не делают кроме отчетов и тендеров.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8757
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Абсолютно соласен. Со своей стороны активно стараюсь внедрять CentOS в текущую инфраструктуру, взамен частично отказываясь от коммерческого ПО в отношении виртуализации, WEB, резервного копирования, автоматизации рутинных задач и многого другого, теперь еще и ЭЦП, по этой причине приходилось поднимать Win систему и там все это добро настраивать, благо эта "проблема" решаема )
« Последнее редактирование: Ноябрь 21, 2014, 05:09:09 pm от sysadmin »

Оффлайн determination

  • Moderator
  • Специалист ИТ
  • ***
  • Сообщений: 265
  • Karma: +34/-0
  • Пол: Мужской
  • Мы быстрее
    • Share Post
    • ЦАРКА
Абсолютно соласен. Со своей стороны активно стараюсь внедрять CentOS в текущую инфраструктуру, взамен частично отказываясь от коммерческого ПО в отношении виртуализации, WEB, резервного копирования, автоматизации рутинных задач и многого другого, теперь еще и ЭЦП, по этой причине приходилось поднимать Win систему и там все это добро настраивать, благо эта "проблема" решаема )

Она всегда была решаема, просто в некоторых нестабильных дистрах был бардак в плане подключения JAVA плагинов от оракл в кривособранные браузеры. К Таким относится и Fedora между прочим, там из-за поверхностной настройки мандатного доступа плагин не имеет прав на запись в домашний каталог пользователя (и что не логично не требует создания своего рабочего каталога в хомяке), поэтому писать можно было только в /tmp или в другой 777 каталог, я потратил час на телепатию и мистицизм, прежде чем открыл консоль JAVA и увидел там дождь сообщений permission denied. В общем в стабильных дистрибутивах этот процес легок, вот только на установку JAVA инструкция от JAVA и она не особо буквальна. Хотя, конечно в основу этого упрощенного мана легла именно оракловская отписка.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8757
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Хотел спросить, в статье указана конкретная версия Java, что если использовать latest, ведь при выходе новой версии Java, ресурс постоянно ругается на устаревшую версию и т.п.?

Оффлайн determination

  • Moderator
  • Специалист ИТ
  • ***
  • Сообщений: 265
  • Karma: +34/-0
  • Пол: Мужской
  • Мы быстрее
    • Share Post
    • ЦАРКА
Хотел спросить, в статье указана конкретная версия Java, что если использовать latest, ведь при выходе новой версии Java, ресурс постоянно ругается на устаревшую версию и т.п.?

Нет проблем, можно просто заменить пакет из примера на любой другой. Частота обновления пакета в CentOS 6 будет реже, чем в Windows. На практике на Windows обновления чуть ли не раз в неделю происходят. Буду дома, накатаю скрипт на обновление. Ругнулась? Запускаем скрипт в терминале и проблема решена. Может быть его даже будет резонно повесить в автозапуск.

Оффлайн mogilka

  • Юзер
  • *
  • Сообщений: 22
  • Karma: +0/-1
  • Пол: Женский
    • Share Post
Отличная инструкция, спасибо! Теперь бы ещё разобраться, как исправить все эти ошибки в java-консоли, например, эту

security: Javascript from a non secure page is accessing privileged code. Consider using HTTPS protocol when using Javascript -> Java liveconnect calls.
liveconnect: Security Exception: JavaScript from http://cabinet.salyk.kz/sonowebinfo/content/master/start.xhtml?private=1 attempted to access a resource it has no rights to.

Указанный URL http://cabinet.salyk.kz/sonowebinfo/content/master/start.xhtml?private=1 в браузере показывает, что Java нету (см. скриншот), хотя, может быть, это просто отмазка на непонятную ошибку. Тем более что java-аплеты egov.kz прекрасно работают в этом же браузере
Через more, через less мы идём в страну чудес

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8757
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
...как исправить все эти ошибки в java-консоли, например, эту

security: Javascript from a non secure page is accessing privileged code. Consider using HTTPS protocol when using Javascript -> Java liveconnect calls.
liveconnect: Security Exception: JavaScript from http://cabinet.salyk.kz/sonowebinfo/content/master/start.xhtml?private=1 attempted to access a resource it has no rights to.

Добавить ресурс в исключения Java.

Как в Linux открыть панель управления Java написано здесь, ресурс добавляется на вкладке Security...
« Последнее редактирование: Декабрь 24, 2014, 04:12:06 pm от sysadmin »

Оффлайн mogilka

  • Юзер
  • *
  • Сообщений: 22
  • Karma: +0/-1
  • Пол: Женский
    • Share Post
Добавить ресурс в исключения Java.

Добавляла с самого начала. Меняла уровень безопасности с высокого на средний, бестолку.

Думала там же поставить https вместо http по рекомендации "Consider using HTTPS protocol when using Javascript -> Java liveconnect calls.", тоже никакого эффекта. К тому же, в указанном URL http://cabinet.salyk.kz/sonowebinfo/content/master/start.xhtml?private=1 ссылка везде на незащищённый протокол.

И где вообще находится настройка "Javascript -> Java liveconnect calls"?

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8757
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Какая версия Java используется? Был такой баг в некоторых версиях Java, начиная с 7u25 по 7u40 - http://bugs.java.com/view_bug.do?bug_id=8027405

Оффлайн Deonis

  • Опытный пользователь
  • ***
  • Сообщений: 240
  • Karma: +43/-0
  • Пол: Мужской
  • https://iptest.kz
    • Share Post
    • iptest.kz
Скорее всего проблема с Java, сталкивались с подобным. Сообщите версию Java и ОС.

Оффлайн determination

  • Moderator
  • Специалист ИТ
  • ***
  • Сообщений: 265
  • Karma: +34/-0
  • Пол: Мужской
  • Мы быстрее
    • Share Post
    • ЦАРКА
Если вы в Алмате, можем договориться о времени, как появится свободный день - можем настроить на месте.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8757
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Сегодня пробовал прикрутить в Fedora, при поиске ключа (после запуска из кабинета налогоплательщика) в консоли выдает то же самое, что и выше:

security: Javascript from a non secure page is accessing privileged code. Consider using HTTPS protocol when using Javascript -> Java liveconnect calls.
liveconnect: Security Exception: JavaScript from http://cabinet.salyk.kz/sonowebinfo/content/master/start.xhtml?private=1 attempted to access a resource it has no rights to.

Разрешил по моему разумению уже все что можно - сертификаты в jcontrol добавил, добавил в Firefox, теперь пытаюсь решить вопрос с liveconnect, если кто ни будь сталкивался, просьба направить в нужное русло..

Весь текст консоли:
Спойлер
security: Grant liveconnect connect perm for http://cabinet.salyk.kz/sonowebinfo/content/master/start.xhtml?private=1 : [email protected] (
 ("java.util.PropertyPermission" "java.specification.version" "read")
 ("java.util.PropertyPermission" "path.separator" "read")
 ("java.util.PropertyPermission" "java.vm.vendor" "read")
 ("java.util.PropertyPermission" "os.version" "read")
 ("java.util.PropertyPermission" "browser.version" "read")
 ("java.util.PropertyPermission" "java.vendor.url" "read")
 ("java.util.PropertyPermission" "browser" "read")
 ("java.util.PropertyPermission" "browser.vendor" "read")
 ("java.util.PropertyPermission" "os.name" "read")
 ("java.util.PropertyPermission" "java.vm.specification.version" "read")
 ("java.util.PropertyPermission" "java.vm.name" "read")
 ("java.util.PropertyPermission" "javaws.*" "read,write")
 ("java.util.PropertyPermission" "javaplugin.vm.options" "read")
 ("java.util.PropertyPermission" "mrj.version" "read")
 ("java.util.PropertyPermission" "java.version" "read")
 ("java.util.PropertyPermission" "jnlp.*" "read,write")
 ("java.util.PropertyPermission" "javaplugin.version" "read")
 ("java.util.PropertyPermission" "os.arch" "read")
 ("java.util.PropertyPermission" "java.specification.vendor" "read")
 ("java.util.PropertyPermission" "java.vm.specification.name" "read")
 ("java.util.PropertyPermission" "file.separator" "read")
 ("java.util.PropertyPermission" "line.separator" "read")
 ("java.util.PropertyPermission" "java.vendor" "read")
 ("java.util.PropertyPermission" "java.specification.name" "read")
 ("java.util.PropertyPermission" "java.vm.specification.vendor" "read")
 ("java.util.PropertyPermission" "java.vm.version" "read")
 ("java.util.PropertyPermission" "javapi.*" "read,write")
 ("java.util.PropertyPermission" "java.class.version" "read")
 ("java.util.PropertyPermission" "http.agent" "read")
 ("java.net.URLPermission" "http://cabinet.salyk.kz:80" "*:*")
 ("java.net.URLPermission" "http://cabinet.salyk.kz:80/-" "*:*")
 ("com.sun.deploy.security.SecureCookiePermission" "origin.http://cabinet.salyk.kz:80")
 ("java.lang.RuntimePermission" "accessClassInPackage.sun.audio")
 ("java.lang.RuntimePermission" "stopThread")
 ("java.net.SocketPermission" "localhost:0" "listen,resolve")
)

security: Javascript from a non secure page is accessing privileged code. Consider using HTTPS protocol when using Javascript -> Java liveconnect calls.
liveconnect: Security Exception: JavaScript from http://cabinet.salyk.kz/sonowebinfo/content/master/start.xhtml?private=1 attempted to access a resource it has no rights to.
[свернуть]

Версия Java - 8 Update 20
ОС - Fedora 20 - 3.17.6-200.fc20.i686
« Последнее редактирование: Январь 05, 2015, 10:18:21 pm от sysadmin »

Оффлайн Deonis

  • Опытный пользователь
  • ***
  • Сообщений: 240
  • Karma: +43/-0
  • Пол: Мужской
  • https://iptest.kz
    • Share Post
    • iptest.kz
Как вариант нужно попробовать откатится на Java 7.


xx
выпуск сертификата с атрибутом - Цифровая подпись

Автор bessmertnyi_poni

5 Ответов
1196 Просмотров
Последний ответ Август 12, 2015, 02:53:25 pm
от bessmertnyi_poni
xx
Не срабатывают права пользователей на доступ к папкам CentOS 7 + Samba + AD

Автор Incredible

13 Ответов
1954 Просмотров
Последний ответ Январь 05, 2017, 04:51:34 pm
от Incredible
xx
Проблема с ЭЦП Подпись относится к сторонней организации

Автор ww220ww

4 Ответов
1283 Просмотров
Последний ответ Октябрь 29, 2018, 09:50:41 am
от ww220ww
xx
Выгрузка пользователей AD в xml

Автор Kastiel318

9 Ответов
1765 Просмотров
Последний ответ Май 25, 2016, 11:45:16 am
от Kastiel318