Установка КриптоПРО и JCP для service_gost_proxy#

Для использования модуля ГОСТ proxy необходимо выполнить установку плагина gost_proxy и JCP в соответствии с приведенным ниже описанием.

  1. Установка gost_proxy плагина.

    Для установки дополнительных модулей КриптоПРО с необходимыми лицензиями необходимо выполнить скрипт установки installGost.sh. Пример запуска скрипта ниже:

    cd owned-distrib/bin/altlinux
sudo im-sowa ./installPlugin.sh -i -f "GOST Proxy"

    Полный список ключей installPlugin.sh (должны быть указаны до названия плагина):

    Ключ

    Значение ключа

    -i

    Установка плагина и зависимостей.

    -u

    Удаление плагина и зависимостей.

    -f

    Подавляет пользовательский ввод о подтверждении установки.

    Также необходимо установить часть библиотек с токсичными лицензиями из party-дистрибутива:

    cd party-distrib/bin/altlinux
sudo im-sowa ./installGostPartyLibs.sh

  2. Установка JCP

    Для установки JCP необходимы root права.

    1. Скачать архив https://www.cryptopro.ru/download?pid=129.

    2. Выполнить установку со следующими ключами:

      1. Команда для быстрой установки, без лицензионных ключей (указывается путь в jdk/jre):

      printf 'i\n\nyes\nyes\nno\nno\nyes\nno\nyes\nyes\nno' | sudo ./setup_console.sh /etc/alternatives/jre

      1. Команда для последовательной установки с лицензионными ключами (указывается путь в jdk/jre):

      sudo ./setup_console.sh /etc/alternatives/jre

      1. Выбрать вариант install ( i )3Java CryptoGraphic provider - yes.

    3. Encryption module - yes.

    4. Card Module - no.

    5. Card Module - no.

    6. Java TLS Provider - yes.

    7. Cades module - no.

    8. JCP trial - лицензионный ключ JCP или значение "yes", если лицензии нет.

    9. Java TLS provider trial - лицензионный ключ JTLS или значение "yes", если лицензии нет.

    10. Enable StrengthenedKeyUsageControl - no.

  3. Настройка Java

    В файле /etc/alternatives/jre/lib/security/java.security заменить значения параметров с

    ssl.KeyManagerFactory.algorithm=GostX509
ssl.TrustManagerFactory.algorithm=GostX509

    на следующие:

    ssl.KeyManagerFactory.algorithm=SunX509
ssl.TrustManagerFactory.algorithm=SunX509

    Для Oracle JDK убрать экспортные ограничения java. Для этого необходимо скачать local_policy.jar и US_export_policy.jar и установить их в каталог /etc/alternatives/jre/lib/security, а также в каталог /usr/local/sowa/lib/gostLibs.

    https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/44/6/snjatie-ehksportnykh-ogrnichenijj

  4. Настройка JCP

    Для серверов без доступа в интернет требуется отключить проверку списков отзыва для сертификатов с помощью следующих команд:

    sudo java ru.CryptoPro.JCP.Util.SetPrefs -system -node ru/CryptoPro/ssl -key Enable_CRL_revocation_ofline_default -value false
sudo java ru.CryptoPro.JCP.Util.SetPrefs -system -node ru/CryptoPro/ssl -key Enable_revocation_default -value false

    Для переопределения ГОСТового хранилища закрытых ключей используется команда:

    sudo java ru.CryptoPro.JCP.Util.SetPrefs -system -node ru/CryptoPro/JCP/KeyStore/HDImage -key HDImageStore_class_default -value /mnt/profiles

    Для настройки окружения для пользователя sowactl необходимо выполнить следующие команды:

    mkdir -p /sowarun/.java/
sudo cp -rf /etc/alternatives/jre/.systemPrefs/ /sowarun/.java/
sudo chown -R sowactl:sowactl /sowarun/.java/