citto-cryptopro¶
Модуль устанавливает необходимые пакеты для работы криптопро, позволяет настраивать его параметры, а также управлять корневыми сертификатами и списками отзыва (CRL).
Так же есть класс cryptopro::citto, который автоматически ставит все сертификаты/crl для ЦИТ ТО (от сюда http://citto.ru/citto/actions/CertificationCenter/download.htm, кроме 2015 и 2014 годов).
Пример минимальной настройки:
classes: - cryptopro::citto
Это установит пакеты КрипроПро и добавит сертификаты ЦИТ ТО.
Пример с добавлением сертификатов:
classes:
- base
- cryptopro
cryptopro::certs:
local_ca:
thumbprint: 8cae88bbfd404a7a53630864f9033606e1dc45e2
source: /etc/pki/local/local_ca.crt
type: cert
files:
/etc/pki/local/local_ca.crt:
content: |
-----BEGIN CERTIFICATE-----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!Y/RjtGJ0LjQuSDRhtC10L3RgtGAMGMwHAYGKoUDAgITMBIGByqFAwICIwEGByqF
!wICHgEDQwAEQI+lv3kQI8jWka1kMVdbvpvFioP0Pyn3Knmp+2XD6KgPWnXEIlSR
!8g/IYracDr51YsNc2KE3C7mkH6hA3M3ofujggGCMIIBfjCBxgYFKoUDZHAEgbww
!bkMI9Cf0JDQmtCcIMKr0JrRgNC40L/RgtC+0J/RgNC+IEhTTcK7DCDQn9CQ0Jog
!qvQk9C+0LvQvtCy0L3QvtC5INCj0KbCuww20JfQsNC60LvRjtGH0LXQvdC40LUg
!oSWIDE0OS8zLzIvMi05OTkg0L7RgiAwNS4wNy4yMDEyDDjQl9Cw0LrQu9GO0YfQ
!dC90LjQtSDihJYgMTQ5LzcvMS80LzItNjAzINC+0YIgMDYuMDcuMjAxMjAuBgUq
!QNkbwQlDCPQn9CQ0JrQnCDCq9Ca0YDQuNC/0YLQvtCf0YDQviBIU03CuzBDBgNV
!SAEPDA6MAgGBiqFA2RxATAIBgYqhQNkcQIwCAYGKoUDZHEDMAgGBiqFA2RxBDAI
!gYqhQNkcQUwBgYEVR0gADAOBgNVHQ8BAf8EBAMCAQYwDwYDVR0TAQH/BAUwAwEB
!zAdBgNVHQ4EFgQUi5g7iRhR6O+cAni46sjUILJVyV0wCAYGKoUDAgIDA0EA23Re
!c/Y27rpMi+iFbgWCazGY3skBTq5ZGsQKOUxCe4mO7UBDACiWqdA0nvqiQMXeHgq
!//fO9pxuIHtymwyMg==
-----END CERTIFICATE-----
Обратите внимание: при обновлении корневых сертификатов ЦИТ ТО нужно обновлять сертификаты в модуле папета, при этом изменится их thumbprint.
Определение thumbprint¶
Для сертификата:
# /opt/cprocsp/bin/amd64/certmgr -list -file UC-CITTO-2015.cer Certmgr 1.0 (c) "CryptoPro", 2007-2010. program for managing certificates, CRLs and stores ============================================================================= 1------- Issuer : INN=007202190205, OGRN=1087232038794, E=citto-ca@72to.ru, L=Тюмень, S=72 Тюменская область, C=RU, O=ГКУ ТО Центр информационных технологий Тюменской области, CN=UC-CITTO Subject : INN=007202190205, OGRN=1087232038794, E=citto-ca@72to.ru, L=Тюмень, S=72 Тюменская область, C=RU, O=ГКУ ТО Центр информационных технологий Тюменской области, CN=UC-CITTO Serial : 0x50BCE400D38391944B6A9EE6A839B40B SHA1 Hash : 0x191ddf1a4fd35050e51ba6c936eb356eca47eaa7 SubjKeyID : d75dd9f077b0386358c17f16f7196116a179850f Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 31/07/2015 06:55:00 UTC Not valid after : 30/07/2024 07:03:32 UTC PrivateKey Link : No ============================================================================= [ErrorCode: 0x00000000]
Нужное значение в поле SHA1 Hash, без 0x.
Для CRL:
# /opt/cprocsp/bin/amd64/certmgr -list -crl -file guc.crl Certmgr 1.0 (c) "CryptoPro", 2007-2010. program for managing certificates, CRLs and stores ============================================================================= 1------- Issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр ThisUpdate: 23/08/2017 14:44:42 UTC NextUpdate: 22/09/2017 14:44:42 UTC AuthKeyID : 8b983b891851e8ef9c0278b8eac8d420b255c95d =============================================================================
Нужное значение в поле AuthKeyID.
Класс cryptopro::fix::curl¶
Класс исправляет проблемы с получением CRL после установки и удаления пакета cryptopro-curl.
Проблема возникает из-за того что в конфигурации криптопро остается ссылка на старую библиотеку из пакета cryptopro-curl.
