- Госуслуги: что делать, если портал не видит сертификат
- Что еще я могу сделать со своей ca?
- Что рекомендует криптопро
- Введение
- 1 — настраиваем ssh сервер
- Создайте учетные данные Google OAuth
- 2- создаем директорию для ключей
- Запустите ваш Certificate Authority
- 3 — добавляем на целевую машину открытый ключ
- На борту нового аккаунта
- Cisco nexus 9.3
- Huawei usg (6000)
- Mac os x
- Putty
- Securecrt
- Single sign-on с openid connect и ssh сертификатами
- Анонимность в интернете своими руками. настройка ssh (вход по сертификату) – securityforall
- Буду ли я отрезан от всех своих хостов при отключении моей ca?
- Время попробовать!
- Вход в интернет-банк
- Генерация rsa ключей на клиенте windows
- Генерирование rsa-пары в securecrt
- Генерирование публичных ключей на mac os x средствами операционной системы
- Генерируем ключи ssh
- Загрузите новый хост
- Использование секретного ключа для подключения по ssh
- Как мне добавить поддержку sudo?
- Как мне зарегистрировать в ca уже существующий хост?
- Как не следует пользоваться ssh
- Конвертирование rsa-ключа из формата putty private key (putty) в формат openssh (securecrt)
- Конвертирование rsa-ключа из формата vandyke private key (securecrt) в формат putty private key (putty)
- Куда обращаться при ошибке: у вас нет действующих сертификатов
- Могу я изменить срок действия ssh сертификата?
- Могу я использовать хост-бастион (инсталляционный сервер)?
- Могу я использовать хосты на нескольких aws аккаунтах?
- Могу я пользоваться gcp или azure вместо aws?
- Настраиваем целевую машину
- Настройка openssh в windows для авторизации по ключам
- Настройка и подключения putty
- Не отображается сертификат, список причин и их решение #
- Но я не хочу пользоваться certificate authority!
- Применение публичного ключа на оборудовании
- Пример автоматического подключения из windows через putty и puttygen
- Проблема 2. при нажатии на кнопку «запросить сертификат» возникают ошибки или не открывается программа криптопро.
- Проблема 3. не удается выполнить запрос на сертификат.
- Проблема 4. при создании запроса на сертификат в криптопро csp отсутствует биологический датчик случайных чисел и не удается сформировать контейнер закрытого ключа. вместо окна биологического датчика случайных чисел открылось окно:
- Проблема 6. если вы выпускали электронную подпись до 01.07.2021 и не удается войти в личный кабинет на сайте удостоверяющего центра ооо «программный центр». например, возникает следующая ошибка:
- Проверяем работу
- Решение проблемы tls internet explorer
- Сбербанк-аст – электронная торговая площадка [#f5]
- Создание ssh-ключей
- Создание публичного rsa-ключа
- Список источников:
- Установка публичного ключа на сервере
- Подведение итогов
- Заключение
Госуслуги: что делать, если портал не видит сертификат
Проблема в работе с сайтом Госуслуг может быть связана с ошибками в регистрации. При работе с порталом необходимо следовать четкому алгоритму при регистрации. Правильный порядок действий выглядит следующим образом: пункт меню «Регистрация» → ввод мобильного номера и данных → заполнение анкеты.
В этом случае ошибиться сложно, поскольку система сама проверяет каждый пункт на соответствие числу цифр и букв в каждой графе. Если допущены неточности, вы не сможете продвинуться дальше. Области с ошибкой подчеркиваются красным знаком.
В законе ФЗ-63 описано, как должны действовать сертификаты в системе. Если при регистрации с ЭЦП не возникло проблем, но в дальнейшем всплывает предупреждение об ошибке, стоит обратиться в службу поддержки.
Самостоятельная работа с ошибкой:
Что еще я могу сделать со своей ca?
Многое! Теперь, когда у вас есть свой личный CA, вы можете настроить TSL сертификаты для
. Если вы хотите узнать побольше о CA, поставщиках, вариантах конфигурации и прочем, прочтите
Что рекомендует криптопро
Чтобы действовать в рамках ФЗ, рекомендовано установить плагины с официального сайта «КриптоПро». Бесперебойно Plugin взаимодействует с Google Chrome, Internet Explorer. Остальные браузеры игнорируют установку.
Введение
Кроме стандартной аутентификации по паролю (password/keyboard) в протоколе SSH существует также аутентификация по публичному ключу (RSA).
RSA (
https://ru.wikipedia.org/wiki/RSA
) — криптографический алгоритм с открытым ключом. Существует публичный открытый ключ (public key) и частный секретный ключ (private key). Обычно они используются для шифрования или цифровой подписи: сообщение зашифровывается с помощью открытого ключа и расшифровывается с помощью секретного ключа. То есть прочитать сообщение может только владелец частного ключа. Сообщение можно подписать контрольной суммой с использованием частного ключа, а любой обладатель открытого ключа сможет убедиться, что сообщение было зашифровано с помощью секретного ключа.
Аутентификация с помощью RSA-ключей состоит из нескольких этапов:
Почему только RSA? Почему не DSA? К сожалению, ответа на этот вопрос я не нашел (и не особо искал). Но официально на оборудовании Cisco поддерживается только RSA.
Документ Secure Shell Configuration Guide, Cisco IOS Release 15E:
Secure Shell Configuration Guide, Cisco IOS Release 15E
Restrictions for Secure Shell Version 2 Support
Rivest, Shamir, and Adleman (RSA) key generation is an SSH server-side requirement. Devices that act as SSH clients need not generate RSA keys.
Попытка ввести данные DSA-ключа:
1 — настраиваем ssh сервер
sudo nano /etc/ssh/sshd_config
Создайте учетные данные Google OAuth
В этом проекте вам потребуются
, их создание займет пару минут.
Запишите
Client IDClient Secret
, они понадобятся в следующем шаге!
Заметка: Ваш CA будет выдавать пользовательские сертификаты только тем пользователям, которые авторизованы в GSuite Organization, соответствующем вашему аккаунту Google Cloud project.
2- создаем директорию для ключей
в домашней директории пользователя создаем директорию
.ssh
Запустите ваш Certificate Authority
Мы установим
step-ca
Ubuntu 18.04 LTS
в инстансе AWS. Нам должно хватить бесплатного уровня инстанса AWS (t2.micro/t3.micro).
https://www.youtube.com/watch?v=Sivt7R09EOs
Возьмите этот скрипт запуска CA и вставьте сверху требуемые значения:
Загрузите его в виде
3 — добавляем на целевую машину открытый ключ
В созданной директории .ssh нам необходимо создать файл с отрытым ключом
На борту нового аккаунта
Давайте настроим ваш первый пользовательский аккаунт. Запустите на вашем локальном устройстве следующее:
Cisco nexus 9.3
Вариант 1: предустанавливаем файл публичного ключа на устройство и привязываем файл публичного ключа к пользователю.
Huawei usg (6000)
Конфигурация полностью аналогична настройкам на маршрутизаторе, но имеет некоторые особенности.
По умолчанию уровень привилегий после журналирования с использованием сертификатов равен 0 и повышению не поддается. Поэтому уровень приоритета задается с помощью
Mac os x
Настройка стандартного клиента для использования публичных ключей:
Putty
В настройках SSH (Connection → SSH → Auth) в поле “Private key file for authentication” укажите файл Putty Private Key (*.ppk):
Securecrt
В окне настроек SSH есть список Authentication. В нём необходимо увеличить приоритет PublicKey до самого высокого — сделать верхним в списке.
Затем перейдите в параметры PublicKey и выберите файл приватного ключа. Самый верхний переключатель позволяет использовать глобальные настройки секретного ключа или сеансовые настройки — другой секретный ключ (ключ не по умолчанию) — только для этого подключения.
Настраиваем глобальный публичный ключ: в меню Options → Global options → Категория SSH2.
Single sign-on с openid connect и ssh сертификатами
Вместо использования файлов
authorized_keys
мы настроим SSH Certificate Authority и осуществим доступ по SSH через краткосрочные сертификаты, а для поддержки single sign-on мы добавим
. Как только у нас все получится, результат будет отменный, поэтому прошу вашего терпения, так как нам понадобится чуть больше подготовительных настроек, чем при типичной SSH-конфигурации «из коробки».
Что такое SSH сертификат? SSH сертификат — это альтернатива, которая превосходит пару открытого/секретного SSH ключей. Пользователь и хост обмениваются сертификатами в ходе SSH-соединения (handshake), своего рода урезанной версии сертификата TLX X.
Ниже можно увидеть расшифрованный SSH сертификат:
Анонимность в интернете своими руками. настройка ssh (вход по сертификату) – securityforall
Все настройки выполнены в VPS от hostsailor.com
Управлять нашим сервером мы будем через SSH-консоль. Да, есть множество решений графического интерфейса для управления linux-серверами, но это не наш путь. Во-первых, наш VPS очень базового уровня и его ресурсов если и хватит для работы графического интерфейса, то впритык. Во-вторых, практически для любого графического интерфейса потребуется Web-сервер и дополнительные открытые порты, что резко увеличивает уязвимость нашего сервера для атак злоумышленников. Ну и в-третьих, нам его один раз настроить и забыть.
Нам потребуется сам SSH-клиент, а также утилиты для генерации ключей. Качаем и распаковываем архив https://the.earth.li/~sgtatham/putty/latest/w32/putty.zip
Из архива нужны будут сам клиент putty.exe и утилита генерации ключей puttygen.exe. Также можно скачать их по-отдельности на этой странице:
https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.ht…
Еще нам понадобиться WinSCP. Очень удобная штука, особенно для тех, кто не любит работать в консоли. Качаем здесь:
https://my-sertif.ru/download/files/202105310908cd3ce105c1c1ca… и распаковываем архив. Для запуска используем WinSCP.exe
Теперь все готово. Начинаем настраивать.
Для начала подключимся по SSH по паролю и убедимся, что наш сервер работает. Для этого запускаем putty.exe
в поле Host Name вписываем полученный по почте IP-адрес и жмем кнопку Open (если появится окно PuTTY Security, жмем «Да») и вводим логин (root) и пароль из письма.
Маленький лайфхак: сейчас вам придётся в консоль вводить длинный и не удобный пароль, а в дальнейшем длинные и неудобные команды. Можно сократить ручной труд и просто копировать вставлять. Копировать как обычно, а для вставки переводим курсор на черное окно putty и жмем правую кнопку мыши. Всё. То, что копировали, будет вставлено. И пароль тоже вставиться. Этого будет не видно, но ничего страшно, после нажатия правой кнопки мыши сразу нажмите Enter. При копировании будьте аккуратны, выделяя текст для копирования не зацепите лишние пробелы.
login as: root [email protected]'s password: [[email protected]~]#
Чтобы завершить ввод команды, нужно набрать Enter. Например, добавим нужный репозиторий и обновим наш сервер. Вводим (или копируем отсюда) следующую команду и жмем Enter.
yum install epel-release -y
Результат будет выглядеть примерно так:
Теперь обновим сервер:
yum update –y
Свернём пока консоль, она нам понадобиться чуть позже. Попробуем подключать к серверу в WinSCP. Запускаем WinSCP.exe.
Настраиваем параметры:
File protocol: SFTP
Host name: IP-адрес из письма
User name: root
Password: оставляем пустым
Жмём “Save”, в появившемся окне «ОК». Теперь слева, в списке, появилась запись вида [email protected][IP-адрес]. Дважды кликнем по ней. Появится окно с предупреждением, жмём Yes. Вводим пароль и WinSCP подключается. Теперь мы видим две панели: слева файловую систему своего компьютера (диск С), а справа файловую систему VPS (обычно бывает открыта папка /root). Обратите внимание: в правой понели сверху списка папок всегда будет символ папки со стрелочкой и двумя точками. Если его два раза кликнуть (или стрелками переместить на него курсор и нажать Enter) вы перейдёте на уровень вверх. Например, сейчас сможете попасть в корень файловой структуры и сервера. Выглядит это так:
Свернём пока WinSCP и запустим puttygen.exe.
Сейчас мы создадим сертификаты для SSH-подключения. Ранее мы подключились по простому паролю. Использование пароля не безопасно: его можно перехватить или подобрать. Поэтому сделаем ключи и настроим наш сервер на подключение только с этими ключами.
Проверяем, что выбран тип ключа RSA, количество бит не менее 2048
И жмём кнопку “Generate”. Теперь на время освоим роль биологического генератора случайных чисел: двигаем хаотично мышкой и(или) жмем хаотично кнопки на клавиатуре (желательно кнопки с буквами и цифрами, остальные не трогаем). Как только зелёная полоска доползет, закрытый ключ готов. Придумываем для его защиты хороший пароль (Не менее 10 символов, латинские маленькие и большие буквы, хотя бы один спец-символ [email protected]#$%^&*()<>,.:;”’). Пароль забывать нельзя, его никак не восстановить! Вводим этот пароль два раза:
Жмем “Save public key” и сохраняем публичный ключ (даём ему имя public.pub и не забываем куда сохранили. Я создал папку test на диске С:, дальше буду использовать её). Жмём “Save private key” и сохраняем приватный ключ (даём ему имя private и сохраняем рядом с публичным). У нас должно получиться два файла: private.ppk и public.pub
Рuttygen можно закрывать, он нам больше не понадобиться. Возвращаемся к WinSCP. Слева находим папку с двумя указанными выше файликами, а права открываем папку /tmp. Слева «становимся» на файл public.pub, нажимаем F5 (одна из ненужных кнопок в самом верхнем ряду клавиатуры) и ОК. Наш файлик копируется на сервер. Получится вот так:
Возвращаемся к консоли PuTTY. Вводим команду:
ssh-keygen -i -f /tmp/public.pub >> /root/.ssh/authorized_keys
Если команда возвращает ошибку, то Вы должны создать .ssh каталог и authorized_keys файл в первый раз.
Для этого выполните последовательно команды:
mkdir ~/.ssh chmod 700 ~/.ssh touch ~/.ssh/authorized_keys chmod 600 ~/.ssh/authorized_keys
А затем уже
ssh-keygen -i -f /tmp/public.pub >> /root/.ssh/authorized_keys
Всё, наш сервер готов принимать подключения по сертификату. Закрываем (совсем, крестиком) окно PuTTY и снова запускаем putty.exe. Создадим профиль для нашего сервера. Опять в поле “Host Name” вписываем IP-адрес сервера. Справа, в списке находим пункт Connection -> Data и в поле “Auto-login username” вписываем root. Справа в списке находим пункт Connection -> SSH -> Auth находим поле “Private key file for authentication:” и жмём кнопу “Browse …”. Указываем путь на приватный ключ (в моём случае C:testprivate.ppk)
Слева в списке выбираем пункт Session, в поле “Saved Session” вписываем любое имя профиля (например, my_vpn) и жмем “Save”.
Ниже в списке появится строчка с этим именем. Щелкнем её двойным кликом. Появится консоль и попросит ввести пароль от приватного ключа (вы ведь его не забыли):
Вводим его, жмём Enter. Если все сделали правильно, мы авторизуемся. Отлично. Теперь настроим WinSCP. Закроем его окно (крестиком) и вновь запустим wincsp.exe. У нас есть уже сохраненный профиль, просто отредактируем его. Выберем профиль («встать» на него в списке слева) и нажмём кнопку Edit, а затем кнопку Advanced… В появившемся окне слева, в списке, выбираем пункт SSH -> Authentication. Возле поля “Private key file” жмем кнопку с тремя точками и указываем путь на файл приватного ключа (также, как мы это делали для putty).
Жмём ОК и в первоначальном окне жмём кнопку Save. Теперь двойным кликом по названию профиля подключаемся, вводим пароль от приватного ключа.
Теперь запретим нашему серверу принимать подключения по простому паролю. В правой панели WinCSP открываем папку /etc/ssh/ и находим файл sshd_config
Двойным кликом открываем его. Находим строчку, в которой написано
PasswordAuthentication yes
Именно так, без символа #, и меняем yes на no. Получится:
PasswordAuthentication no
Нажимает сверху символ дискеты и закрываем окно редактирования файла. Если кто-то никогда не видел дискет, то просто закрываем окно редактирования файла и нажимаем Yes в окне с предупреждением. Закрываем окно WinSCP. В консоли PuTTY вводим команду
reboot
и закрываем окно. Сервер перезагружается. Обычно это занимает от 10 до 60 секунд. По истечении это времени снова запускаем putty.exe и wincsp.exe и подключаемся к серверу и подключаемся к серверу в каждом из них.
со своего сайта.
Буду ли я отрезан от всех своих хостов при отключении моей ca?
Будете, хотя SSH и SHHD не взаимодействуют с CA напрямую. CA выдает сертификаты и поддерживает базу данных хостов. Ваши пользователи полагаются на эту базу, чтобы понять, нужно ли пробовать соединяться с хостом через аутентификацию сертификата.
Для безопасности системы не пользуйтесь SSH сертификатами для подключения напрямую к CA: это единственное место, где стоит и дальше использовать пары ключей.
Время попробовать!
Мы готовы соединиться по SSH с настроенным вами хостом. Вы можете запустить SSH командой
-v
чтобы пронаблюдать handshake. В частности, вы должны увидеть что-то такое:
Вход в интернет-банк
Для безопасной работы в my-sertif.ru придерживайтесь следующих правил:
Храните носители ключей (смарт-ключи, USB-флеш, CD) в месте, недоступном посторонним лицам. Исключите хранение ключей на жёстком диске, в сетевых каталогах и прочих общедоступных ресурсах, либо используйте крипто-контейнеры.
Храните в тайне пароль доступа к ключу, исключите запись пароля на стикерах, носителях ключей и т.п., никому не сообщайте пароль по телефону, даже сотрудникам банка.
Подключите email или SMS/PUSH-уведомления об отправке платежей и при обнаружении подозрительных операций незамедлительно обращайтесь в банк!
Используйте встроенные средства блокировки и разблокировки мобильного телефона (логин/пароль для входа в ОС, логин/PIN-код/отпечаток пальца).
Соблюдайте общие правила безопасности, применяющиеся для защиты данных, хранящихся на компьютерах:
Используйте только доверенные компьютеры с лицензионными программами, установленным антивирусом. Регулярно проверяйте компьютер на вирусы, обновляйте операционную систему, браузеры и антивирусные базы.
При работе с электронной почтой не открывайте письма, полученные от неизвестных отправителей, и вложения к ним, не переходите по ссылкам из таких писем.
Не используйте права администратора без крайней необходимости. В повседневной практике входите в систему, как пользователь без прав администратора.
При работе в Интернет не соглашайтесь на установку дополнительных программ.
По возможности используйте выделенный компьютер только для работы с Интернет-банком.
Не сохраняйте логин и пароль на общедоступных компьютерах/терминалах.
Храните в тайне номер банковской карты, срок ее действия, CVV/CVC/batch коды.
Генерация rsa ключей на клиенте windows
На клиентском, компьютере, с которого вы будет подключаетесь к удалённому серверу Windows с OpenSSH, вам нужно сгенерировать пару RSA-ключей (открытый и закрытый). Закрытый ключ хранится на клиенте (не отдавайте его никому!), а открытый ключ помещается на SSH сервер в файл authorized_keys. Чтобы на клиенте Windows сгенерировать RSA ключи, вы должны установить клиент OpenSSH.
В Windows 10 1809 и Windows Server 2021 клиент OpenSSH устанавливается как отдельный встроенный компонент:
Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0
Запустите обычную (непривилегированную сессию PowerShell) и сгенерируйте пару RSA 2048 ключей с помощью команды:
ssh-keygen
Утилита попросит вас указать пароль для защиты закрытого ключа. Если вы укажете пароль, то каждый раз при использовании этого ключа для SSH авторизации, вы должны будете вводить этот пароль. Я не стал указывать пароль для ключа (не рекомендуется).
Генерирование rsa-пары в securecrt
SecureCRT → Tools → Create Public Key…:
Чуть-чуть теории → кнопка “Next >”:
Тип сертификата RSA/DSA → Выбираем RSA → кнопка “Next >”:
Генерирование публичных ключей на mac os x средствами операционной системы
Будем использовать встроенную утилиту ssh-keygen (man ssh-keygen).
Генерируем RSA-ключ с длиной 2048 бит с указанием имени ключа, путем к папке с местом хранения ключа:
Генерируем ключи ssh
для этого существует утилита ssh-keygen
Загрузите новый хост
Давайте загрузим инстанс Ubuntu, который станет нашим первым
ssh
target хостом.
Заметка: Ваш CA будет выдавать сертификаты хоста только инстансам на его аккаунте AWS.
Использование секретного ключа для подключения по ssh
Этот раздел посвящен настройке SSH-клиентов для аутентификации по RSA-ключам на сетевом оборудовании (или другом оборудовании, при условии, что оборудование и ПО поддерживает аутентификацию по публичным ключам).
Мы рассмотрим настройку использования публичного ключа в самых популярных программах: SecureCRT и PuTTY.
Как мне добавить поддержку sudo?
Воспользуйтесь agent forwarding и
Как мне зарегистрировать в ca уже существующий хост?
Для хостов Ubuntu 18.04 LTS этот процесс аналогичен загрузке нового хоста, достаточно запустить
под рутом. Для других платформ вам потребуется портировать скрипт под ваши нужды.
После того как вы запустите и настроите все ваши хосты, у вас может возникнуть желание подправить настройки instanceAge вашего поставщика AWS для CA. Эти настройки хранятся в /etc/step-ca/config/ca.json. Инстанс любого возраста может запустить сам себя по умолчанию.
Заметка: Созданный скриптом Instance Identity токен — это одноразовый токен. Вы не можете перерегистрировать хост, вы можете лишь обновить его сертификат. Почему? Потому что любой пользователь на хосте может в любой момент получить доступ к IID, и мы не хотим, чтобы пользователи могли получить сертификат хоста от CA.
Как не следует пользоваться ssh
Еще в далеком 2004 году кто-то научил меня копипастить открытый ключ в файл
authorized_keys
. С тех пор я продолжал невинно копировать один и тот же старый публичный ключ на каждый сервер, с которым мне приходилось работать, и у меня постоянно не получалось сделать это с первого раза, потому что я забывал корректно настраивать
chmod
Лишь однажды, когда в 2021 году OpenSSH объявил мой тип ключа устаревшим, я с неохотой заменил свой ключ. Теперь, за давностью лет, остается только гадать, на каких серверах мой открытый ключ все еще лежит. Может, у старых стартапов, с которыми я когда-то работал? У клиентов с фриланса? На криптоферме моей племянницы?
С организационной точки зрения файлы authorized_keys — это полный отстой. Возможно, поначалу кто-то и пишет их вручную, как я, но с ростом числа хостов и пользователей подобная задача превращается в кошмар. И однажды утром ты просыпаешься посреди затянувшего инфраструктуру болота открытых ключей.
Большинство организаций обычно создают сценарий (playbook) для автоматизации управления файлами authorized_keys, однако их сбор, выгрузка и обслуживание остаются месивом вне зависимости от продуманности исполнения.
Конвертирование rsa-ключа из формата putty private key (putty) в формат openssh (securecrt)
Чтобы использовать в SecureCRT RSA-ключи, которые сгенерированы в PuTTYgen и сохранены в формате Putty Private Key (*.ppk), экспортируем их с помощью PuTTYgen в формат OpenSSH:
- Запускаем PuTTYgen.
- Загружаем существующий RSA-ключ в формате Putty Private Key (*.ppk) → Кнопка “Load”.
- Сохраняем файл публичного ключа → “Save public key”.
- Экспортируем секретный ключ в формат OpenSSH: меню PuTTYgen → “Conversions” → “Export OpenSSH key”.
- Используем в SecureCRT файлы в формате OpenSSH. Файл с публичным ключом имеет расширение .pub, файл с секретным ключом не имеет расширения.
Конвертирование rsa-ключа из формата vandyke private key (securecrt) в формат putty private key (putty)
Чтобы использовать в PuTTY RSA-ключи, которые сгенерированы в SecureCRT и сохранены в формате VanDyke Private Key (файл публичного ключа — *.pub, файл секретного ключа *. (без расширения)), экспортируем их с помощью SecureCRT в формат OpenSSH, а затем с помощью PuTTYgen экспортируем в формат Putty Private Key (*.ppk):
- Запускаем SecureCRT.
- Меню “Tools” → “Convert Private Key to OpenSSH format…”
- Выбираем исходный файл с ключами VanDyke Private Key.
- Сохраняем OpenSSH-ключи с новым именем.
- Запускаем PuTTYgen.
- Загружаем существующий RSA-ключ в формате OpenSSH (*.): PuTTYgen Menu → “Conversions” → “Import key”.
- Сохраняем файл в формате Putty: “Save private key”.
Куда обращаться при ошибке: у вас нет действующих сертификатов
При работе с ЭЦП следует знать, что электронный сертификат или флеш-носитель не могут быть источниками ошибки. Если при работе с порталами вы видите предупреждение об отсутствии рабочего сертификата, значит, сбой выдает сайт или обслуживающий сервис.
Возможно, потребуется установка через «КриптоПро» и дальнейшая настройка в программе. Для решения задачи необходимо найти источник сбоя и воспользоваться инструкцией. Под каждый сайт или портал разработан свой алгоритм устранения ошибок.
Получить инструкции и консультацию нужно в техподдержке того удостоверяющего центра, в котором выдавался сертификат.
Могу я изменить срок действия ssh сертификата?
Да. По умолчанию они действительны 16 часов, и в файле конфигурации CA (
ca.json
) под объектом
claims
, у вашего поставщика OIDC, вы можете внести изменения в соответствующих строчках, например:
Могу я использовать хост-бастион (инсталляционный сервер)?
Можете. Сначала выдайте всем своим хостам сертификаты, а затем добавьте в
known_hosts
на вашем бастионе CA ключ хоста:
Могу я использовать хосты на нескольких aws аккаунтах?
Конечно. Для этого достаточно добавить ID аккаунта в файл конфигурации CA (
/etc/step-ca/config/ca.json
) и перезапустить сервер CA.
Могу я пользоваться gcp или azure вместо aws?
Да! У
step-ca
есть поставщики для всех трех, вам только нужно будет внести правки в конфигурацию CA и скрипт загрузки хоста. Более подробно об этом можно почитать в
step-ca
Настраиваем целевую машину
Настраиваем машину на которую будем выполнять вход по ключу, тут необходимо выполнить 3 действия:
1) Настроить SSH сервер
2) Создать директорию для ключей в домашней директории пользователя
3) Положить на машину открытый ключ
Настройка openssh в windows для авторизации по ключам
Теперь открытый ключ, который вы сгенерировали на клиенте, нужно скопировать на ваш SSH сервер (в этом примере это удаленный компьютер с Windows 10 1903 и настроенной службой OpenSSH).
Настройка и подключения putty
Теперь все что нам осталась это создать новый сеанс и настроить его подключения к SSH серверу по ключу.
Создаем новый сеанс пиши на IP Адрес к серверу.
Далее, мы выбираем меню категорию SSH и там выберем под категорию Auth
В поле Private key file for authentication загружаем наш приватный ключ.
Далее переходим обратно в раздел Session и сохраняем нашу сессию для того чтобы следующий раз не заполнять все эти поля.
Остаётся только проверить правильность аутентификации к SSH серверу по ключу. Запустите PuTTY и подключитесь к своему серверу. Если вы при создании, ключа заполнили поле Key Passphrase и Confirm Passphrase то вас запросит вести этот пароль. Если же всё настроено неправильно, то будет выдано сообщение об ошибке и предложено ввести пароль.
Не отображается сертификат, список причин и их решение #
- Проверьте на компьютере верность указания даты, часового пояса и времени.
- Убедитесь в том что сертификат был установлен в хранилище «Личные». Если потребуется установите его, используя инструкцию.
- Проверьте срок действия сертификата, убедитесь что срок действия вашей ЭП не закончился.
- Включите режим представления совместимости в Internet Explorer (Кнопка«Сервис» или значок в виде «шестеренки» / Здесь «Параметры просмотра в режиме совместимости» / добавить этот веб-сайт).
- Попробуйте в других веб-браузерах (Mozilla Firefox, Яндекс Браузер, Google Chrome, Спутник), или на другом компьютере.
- Проверьте установку дополнительных компонентов, которые требуются для работы. Например, плагин для Портала Госуслуг, КриптоПро ЭЦП Browser plug-in, Компонент Ланит для сайта Госзакупок. При необходимости обновите их. Инструкция по установке плагинов.
- Посмотрите статус блокировки всплывающих окон. Необходимо отключить блокировку всплывающих окон. В браузере IE нажимаем на клавиатуре кнопку «Alt», потом кнопку«Сервис», в разделе «Блокирование всплывающих окон» выбираем «Выключить блокирование всплывающих окон».
- Проверьте срок действия лицензии КриптоПро. Нажимаем кнопку Пуск, переходим / Все программы / КриптоПро / . Нажимаем на КриптоПро CSP в открывшейся программе на вкладке «Общие» смотрим срок действия лицензии.
Это может быть полезно:
- Установка КриптоПро CSP
- Проверка сертификата Электронной Подписи
- Как подписать документ электронной подписью?
Но я не хочу пользоваться certificate authority!
Возможно, вы думаете, что это сложно и страшно. Такую репутацию Certificate Authorities заработали из-за загадочных подробностей сертификатов TLS X.509, одного только числа акронимов в мире ИОК (инфраструктуры открытых ключей, PKI), и сложности таких инструментов, как
openssl.
Кроме того, у больших CA, например Let’s Encrypt, есть огромное число ответственностей по обеспечению безопасности интернета.
Мы не будем пользоваться Let’s Encrypt.
SSH сертификаты проще, чем TLS сертификаты. SSH CA попросту позволяет нам делегировать часть ответственностей в области аутентификации и авторизации множества хостов одному централизованному сервису.
В этом проекте мы настроим CA с тремя поставщиками — тремя методами выдачи сертификатов:
Приступим?
Применение публичного ключа на оборудовании
Как на различном оборудовании привязать открытый ключ к пользователю?
Процесс привязки публичного ключа к пользователю не стандартный и меняется от оборудования к оборудованию, поэтому приведены примеры для каждого типа оборудования, которое чаще всего применяется в сети.
Пример автоматического подключения из windows через putty и puttygen
Для начала скачаем с официального сайта обе утилиты отсюда.
еперь утилитой PuTTYgen сгенерируем публичный и приватный ключ. Открываем утилиту и нажимаем Generate:
После нажатия, необходимо произвольно водить мышкой для заполнения массива случайных чисел, примерно в квадрате под полосой загрузки:
По окончании процесса генерации, утилита предоставит Вам сгенерированный приватный и публичный ключ. Публичный, который обведен красным прямоугольником, нужно занести в файл authorized_keys, который находится в папке .
ssh корне Вашего аккаунта на сервере, а приватный ключ сохраняем себе на компьютер. Для этого нажимаем на кнопку Save private key. Учтите, что приватный ключ нельзя ни показывать, ни передавать, иначе смысл безопасного подключения теряется.
Сейчас скопируем публичный ключ в файл .ssh/authorized_keys находящийся на Вашем аккаунте. Для этого открываем утилиту Putty:
Проблема 2. при нажатии на кнопку «запросить сертификат» возникают ошибки или не открывается программа криптопро.
Решение:
Если у Вас установлена антивирусная программа «Avast» или «Антивирус Касперского», то данные программы достаточно временно отключить.
Проблема 3. не удается выполнить запрос на сертификат.
Решение: проверьте версию операционной системы (ОС).
Например, в программе «Подпись Про» нажмите кнопку О Программе» нажмите кнопку «О системе…»:
Проверьте версию операционной системы:
К сожалению на версии операционной системы отличной от Windows 10 невозможно выполнить запрос на сертификат из программы.
Для продолжения операции выпуска сертификата обратитесь в отдел технической поддержки по номеру 8 (800) 100-58-90.
Также Вы можете обновить свою операционную систему до Windows 10 или воспользоваться другим компьютером с уже установленной версией ОС.
Проблема 4. при создании запроса на сертификат в криптопро csp отсутствует биологический датчик случайных чисел и не удается сформировать контейнер закрытого ключа. вместо окна биологического датчика случайных чисел открылось окно:
Решение: добавить биологический датчик случайных чисел.
Для добавления биологического датчика ДСЧ запустите программу КриптоПро CSP от имени администратора. Перейдите на вкладку «Оборудование» и нажмите кнопку «Настроить ДСЧ»:
- Если в открывшемся окне отсутствует «Биологический ДСЧ», нажмите «Добавить»:
В открывшемся окне нажмите «Далее». В окне «Выбор ДСЧ» выберите «Биологический ДСЧ» и нажмите кнопку «Далее»:
Задайте имя добавляемого ДСЧ или оставьте по умолчанию, нажмите «Далее» и «Готово».
В окне «Управление датчиками случайных чисел» появится «Биологический ДСЧ».
- Если биологический датчик есть в списке, но находится не напервом месте, поднимите его с помощью стрелки вверх.
Проблема 6. если вы выпускали электронную подпись до 01.07.2021 и не удается войти в личный кабинет на сайте удостоверяющего центра ооо «программный центр». например, возникает следующая ошибка:
Решение:
- Используйте браузер Internet Explorer версии 11. При работе в других версиях браузера могут возникать затруднения.
- Добавьте сайт УЦ в надежные сайты.
Проверяем работу
На рабочей машине, если мы работаем под именем
Решение проблемы tls internet explorer
Сбербанк-аст – электронная торговая площадка [#f5]
Данное сообщение информирует о том, что сертификат, с помощью которого Вы пытаетесь войти в кабинет, еще не зарегистрирован в системе.
Для регистрации нового сертификата электронной подписи в системе предусмотрен штатный функционал – «Заявление на регистрацию нового пользователя».
Вне зависимости от того, был ли ранее зарегистрирован в системе данный пользователь, если у него произошла смена электронной подписи, то для добавления нового сертификата и «сопоставления» его с личным кабинетом организации, необходимо создать пользователю новый аккаунт (с новым логином) посредством формирования данного заявления.
Чтобы перейти к заполнению «Заявления на регистрацию нового пользователя» выберите в меню раздел «Участникам – Регистрация» или воспользуйтесь
прямой ссылкой
.
С инструкцией по формированию и подаче «Заявления на регистрацию нового пользователя» Вы можете ознакомиться перейдя по
ссылке
.
Информация для Организаторов закупок (Заказчики, Уполномоченные органы и Спец.организации).
Регистрация новых сертификатов пользователей Организаторов закупок производится на Официальном Сайте РФ по адресу в сети Интернет www.my-sertif.ru.
Информация об обновлении регистрационных данных пользователей, в том числе о регистрации нового сертификата, автоматически интегрируется (передается) на электронную площадку. В случае, если при входе в личный кабинет система Информирует Вас о том, что «Сертификат не сопоставлен с пользователем», то для повторной автоматической отправки сведений о пользователе на электронную площадку с ООС в режиме интеграции, необходимо выполнить регистрацию данного сертификата на ООС, даже если ранее указанная процедура уже производилась. С инструкцией по регистрации нового сертификата пользователя на Официальном Сайте РФ Вы можете ознакомиться перейдя по ссылке.
2. Я забыл пароль для входа в личный кабинет? Как его восстановить?
а) в случае, если у Вас есть действующий сертификат электронной подписи:
Войдите в личный кабинет по сертификату. Далее перейдите в раздел «Личный кабинет – Смена пароля».
На странице смены пароля указаны ФИО и Логин авторизованного пользователя. Т.е., данный сертификат «сопоставлен» именно с тем логином, который отображается на этой странице. Дважды введите в поля «Новый пароль» и «Подтверждение нового пароля» Ваш новый пароль, далее введите капчу (текст с картинки) и нажмите кнопку «Отправить» для сохранения. Теперь для входа в личный кабинет Вы можете использовать логин, который был указан на странице смены пароля и придуманный Вами пароль.
б) в случае, если у Вас нет действующего сертификата электронной подписи:
Для восстановления пароля из открытой части сайта электронной площадки, Вы можете воспользоваться функционалом «Забыли пароль».
Для этого, нажмите на ссылку «Забыли пароль», размещенную в верхней части стартовой страницы сайта, справа от кнопки «Войти в кабинет», или перейдите по прямой ссылке.
На странице восстановления пароля необходимо указать ИНН организации, ФИО и Логин пользователя, пароль которого Вы восстанавливаете, а также заполнить одно из двух полей: кодовая фраза или адрес электронной почты пользователя, указанный при регистрации.
Последним шагом введите капчу (текст с картинки) и нажмите кнопку «Отправить».
В случае, если вся информация на странице была указана верно, на адрес электронной почты Вам придет ссылка на временный пароль, который будет действителен в течение суток
Временный пароль Вы сможете заменить в личном кабинете в разделе «Личный кабинет – Смена пароля».
3. Какие требования к сложности пароля установлены на электроной площадке Сбербанк – АСТ?
Требованиями политики информационной безопасности к сложности пароля установлено, что пароль пользователя должен отвечать минимум трем перечисленным ниже критериям:
– содержит латинские буквы в заглавном регистре;
– содержит латинские буквы в строчном регистре;
– содержит цифры;
– содержит знаки препинания.
При этом, общая длина пароля должна быть не менее 8 символов.
4. При входе в личный кабинет через «Единую страницу входа» появляются сообщения об ошибках
Создание ssh-ключей
По умолчанию в корневой директории пользователя находится директория .ssh, если по какой то причине её нет, то создаём её командой:
1) Cоздаем открытый и закрытый ключ нашей локальной системы:
$ ssh-keygen -t rsa -q -N '' -f ~/.ssh/id_rsa
Подробнее о ключах можете посмотреть с помощью команды:
2) Если в системе есть программа ssh-copy-id, то настраиваем удаленную систему на то, чтобы она авторизовывала SSH по открытому ключу:
переходим к шагу 4
3) Если ssh-copy-id нет, то можно сделать это вручную.
Вот последовательность действий:
3.1) копируем открытый ключ на удаленную систему:
3.2) Авторизуемся на удаленном сервере:
3.3) Заносим открытый ключ нашей локальный системы в авторизованные ключи удаленной системы, устанавливаем правильные права и “убираем за собой мусор”:
remote$ [ -d ~/.ssh ] || (mkdir ~/.ssh; chmod 711 ~/.ssh) # создаем директорию и даём права
remote$ cat ~/id_rsa.pub >> ~/.ssh/authorized_keys # добавляем открытый ключ
remote$ chmod 600 ~/.ssh/authorized_keys # делаем правильные права
remote$ rm ~/id_rsa.pub # удаляем не нужное
4) Проверяем, что все работает, запускаем на локальном компьютере:
Создание публичного rsa-ключа
Пару RSA-ключей можно создать с помощью различных утилит: SecureCRT, PuTTYgen или любым другим ПО. При создании ключа можно задать Passphrase (защита ключа с помощью пароля).
Список источников:
- Википедия RSA
- Conversion from Putty to SecureCRT with auth. keys, SecureCRT Forum
- Secure Shell Configuration Guide, Cisco IOS Release 15E
- Скачивание PuTTYgen
- Huawei, официальная документация — описание различных форматов ключей для импортирования на маршрутизатор Huawei
- Huawei USG 6000, настройка аутентификации по публичным ключам (CLI: Example for Logging In to the CLI Using STelnet (RSA Authentication))
- Nexus 9000 Configuration guide SSH public key
- man ssh-keygen — всё про генерацию ключей на mac os x.
- SSH config file на MAC OS X
- Как указывать другой публичный ключ в параметрах SSH
- Как указывать сторонний публичный ключ в параметрах SSH config
- Как преобразовать openssh public key в формат RFC4716
Установка публичного ключа на сервере
Далее необходимо скопировать наш публичный ключ на сервер. Мы воспользуемся для передачи на сервер ключа утилитой PSFTP, но вам ничего не мешает его передать через любой FTP клиент.
# Подключаемся к нашему серверу open 185.65.247.114 # Далее стандартная процедура авторизации # После успешной авторизации пиши: put public_key.pub /tmp/public_key.pub
Подведение итогов
С нашим базовым сетапом любой пользователь вашей Google-организации сможет получить сертификат. Также он получит доступ только к тем хостам, на которых у него есть аккаунты.
Заключение
RSA-ключи могут использоваться для замены аутентификации по паролю, но не во всех случаях:
Незащищенные паролем публичные ключи удобно применять в стендовом оборудовании. Недостаток: приходится рассылать коллегам и партнерам связку приватных и публичных ключей.
На некотором оборудовании одному пользователю может соответствовать несколько пар публичных ключей, на другом оборудовании одному пользователю соответствует только один публичный ключ.
Также разнятся форматы, в которых хранится пара из публичного и секретного ключа. Но это руководство поможет вам экспортировать ключи в разные форматы.
Сегодня оптимально использовать ключи длиной 2048 бит, но для некоторого оборудования это максимально возможная длина ключа (быть может, в новых прошивках это исправят). Например:
[R1]rsa peer-public-key test-key2 encoding-type pem
Enter "RSA public key" view, return system view with "peer-public-key end".
NOTE: The number of the bits of public key must be between 769 and 2048.
[R1-rsa-public-key]
Рекомендуется использовать публичные ключи для замены паролей, если пароли вводятся с помощью скриптов (пример: autologon в SecureCRT).
Рекомендуется использовать публичные ключи для защиты от передачи пароля по сети.
Некоторое ПО по умолчанию использует публичные ключи для аутентификации по SSH вместо пароля (пример: Ansible).