Ошибка нет доверия сертификату для web archive org

Подготовка к установке обновления

Если при установке системы был создан отдельный загрузочный раздел, то перед установкой обновлений необходимо определить размер свободного пространства на этом разделе. Для этого в терминале выполнить команду:

df -h /boot

Для установки настоящего обновления требуется не менее 100 МБ. Если размер свободного пространства на дисковом разделе /boot недостаточен, то следует увеличить размер дискового раздела /boot (рекомендуется не менее 512МБ).

См. статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция.

В случаях, если интернет-репозиторий Astra-Linux CE по каким-либо причинам не представляется возможным использовать, можно создать собственный репозиторий.

Для установки обновления с использованием интернет-репозитория Astra Linux CE необходимо выполнить следующие действия:

1. Подключить интернет-репозиторий Astra-Linux CE (если ранее он не был подключен), для этого:

   1. для использования сетевых репозиториев, работающих по протоколу HTTPS, установить пакеты apt-transport-https и ca-certificates командой: 

      sudo apt install apt-transport-https ca-certificates

      Кроме того, для подключения интернет-репозиториев Astra-Linux CE можно использовать протокол HTTP.

   2. в файле /etc/apt/sources.list добавить (раскомментировать) строку:

      • при использовании протокола HTTPS

        deb https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ orel main contrib non-free

      • при использовании протокола HTTP 

        deb http://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ orel main contrib non-free

2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 

   sudo apt update

3. Установить обновление командой:

   sudo apt dist-upgrade

Завершение установки обновления

После выполнения обновления перезагрузить систему.

Действия после установки обновления

Описанные ниже действия не обязательны и выполняются по необходимости.

Добавление корневого сертификата удостоверяющего центра Минцифры России

Добавление корневого сертификата необходимо выполнить после установки пакета ca-certificates-local и для каждого пользователя.

Добавление корневого сертификата в Firefox

1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
2. В адресную строку ввести «about:preferences» и нажать клавишу <Enter>.
3. На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
4. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать…].
5. В открывшемся окне импорта выбрать файл /etc/ssl/certs/rootca_MinDDC_rsa2022.pem и нажать на кнопку [Открыть].
6. В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
7. В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].

Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:

The Ministry of Digital Development and Communications
Russian Trusted Root CA

Добавление корневого сертификата в Chromium

1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
2. В адресную строку ввести «chrome://settings/certificates» и нажать клавишу <Enter>.
3. На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
4. В открывшемся окне импорта выбрать файл /etc/ssl/certs/rootca_MinDDC_rsa2022.pem и нажать на кнопку [Открыть].
5. В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].

После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:

org-The Ministry of Digital Development and Communications
Russian Trusted Root CA

Подключение интернет-репозиториев предыдущих обновлений Astra Linux CE

Если необходимо использовать предыдущие версии репозиториев, то в файле /etc/apt/sources.list необходимо удалить (закомментировать) строку с описанием текущего актуального репозитория и добавить следующую строку:

• при использовании протокола HTTPS

  deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.<номер_обновления>/repository/ orel main contrib non-free

• при использовании протокола HTTP 

  deb http://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.<номер_обновления>/repository/ orel main contrib non-free

Например, для Astra Linux CE 2.12.29 (при использовании протокола HTTPS) строка будет иметь вид:

deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.29/repository/ orel main contrib non-free

После добавления интернет-репозитория необходимо выполнить повторную синхронизацию файлов описаний пакетов с их источником:

sudo apt update

Обновление корневых сертификатов на Linux

От корневых сертификатов в системе может зависеть правильная работа при обращении к ресурсам, которые работают по зашифрованному каналу связи. Если данные сертификаты устареют, мы можем столкнуться с рядом проблем:

Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживания.

Установка из репозитория

Самый простой способ, который нужно попробовать, установить сертификаты из официального репозитория системы. В зависимости от ее типа, наши команды будут немного отличаться.

а) для систем на базе DEB (Debian, Ubuntu, Mint):

apt install ca-certificates

б) для систем на базе RPM (Rocky Linux, CentOS):

yum install ca-certificates

Если нам повезет и в репозитории будут обновленные корневые центры, наша работа закончена. Иначе, устанавливаем сертификаты вручную.

Загрузка пакета с сертификатами

Установка из репозитория может не дать нужного эффекта, если в нем находятся не самые свежие сертификаты или наша система сильно устарела или не имеет выхода в Интернет.

В этом случае нам нужно загрузить пакет с корневыми сертификатами вручную. Разберем пример на системе Ubuntu. В официальном репозитории или в поисковой системе находим пакет для загрузки, например, по ссылке ftp.ru.debian.org/debian/pool/main/c/ca-certificates копируем ссылку на файл с последней версией сертификатов, и загружаем его на наш компьютер:

Полученный пакет устанавливаем в системе:

И обновляем корневые сертификаты:

Установка вручную

Выше рассмотрены самые удобные способы обновления корневых сертификатов. Но мы можем столкнуться с ситуацией, когда в предоставляемых официальных пакетах не окажется обновленного сертификата. Например, на момент написания данной инструкции у систем на базе Deb не оказалось нового сертификата для Let’s Encrypt, а старый закончил свое действие 30 сентября 2022 года.

В данном случае, мы можем установить любой нужный нам сертификат руками. Для этого скачала находим его и копируем — приведем пример с Let’s Encrypt. На странице letsencrypt.org/ru/certificates мы можем увидеть ссылки на корневые сертификаты. Допустим, нам нужен Let’s Encrypt Authority X3 (Signed by ISRG Root X1), который доступен по ссылке letsencrypt.org/certs/letsencryptauthorityx3.pem.txt. Копируем последовательность и создаем файл на компьютере:

——BEGIN CERTIFICATE——
MIIFjTCCA3WgAwIBAgIRANOxciY0IzLc9AUoUSrsnGowDQYJKoZIhvcNAQELBQAw
TzELMAkGA1UEBhMCVVMxKTAnBgNVBAoTIEludGVybmV0IFNlY3VyaXR5IFJlc2Vh
cmNoIEdyb3VwMRUwEwYDVQQDEwxJU1JHIFJvb3QgWDEwHhcNMTYxMDA2MTU0MzU1
WhcNMjExMDA2MTU0MzU1WjBKMQswCQYDVQQGEwJVUzEWMBQGA1UEChMNTGV0J3Mg
RW5jcnlwdDEjMCEGA1UEAxMaTGV0J3MgRW5jcnlwdCBBdXRob3JpdHkgWDMwggEi
MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCc0wzwWuUuR7dyXTeDs2hjMOrX
NSYZJeG9vjXxcJIvt7hLQQWrqZ41CFjssSrEaIcLo+N15Obzp2JxunmBYB/XkZqf
89B4Z3HIaQ6Vkc/+5pnpYDxIzH7KTXcSJJ1HG1rrueweNwAcnKx7pwXqzkrrvUHl
Npi5y/1tPJZo3yMqQpAMhnRnyH+lmrhSYRQTP2XpgofL2/oOVvaGifOFP5eGr7Dc
Gu9rDZUWfcQroGWymQQ2dYBrrErzG5BJeC+ilk8qICUpBMZ0wNAxzY8xOJUWuqgz
uEPxsR/DMH+ieTETPS02+OP88jNquTkxxa/EjQ0dZBYzqvqEKbbUC8DYfcOTAgMB
AAGjggFnMIIBYzAOBgNVHQ8BAf8EBAMCAYYwEgYDVR0TAQH/BAgwBgEB/wIBADBU
BgNVHSAETTBLMAgGBmeBDAECATA/BgsrBgEEAYLfEwEBATAwMC4GCCsGAQUFBwIB
FiJodHRwOi8vY3BzLnJvb3QteDEubGV0c2VuY3J5cHQub3JnMB0GA1UdDgQWBBSo
SmpjBH3duubRObemRWXv86jsoTAzBgNVHR8ELDAqMCigJqAkhiJodHRwOi8vY3Js
LnJvb3QteDEubGV0c2VuY3J5cHQub3JnMHIGCCsGAQUFBwEBBGYwZDAwBggrBgEF
BQcwAYYkaHR0cDovL29jc3Aucm9vdC14MS5sZXRzZW5jcnlwdC5vcmcvMDAGCCsG
AQUFBzAChiRodHRwOi8vY2VydC5yb290LXgxLmxldHNlbmNyeXB0Lm9yZy8wHwYD
VR0jBBgwFoAUebRZ5nu25eQBc4AIiMgaWPbpm24wDQYJKoZIhvcNAQELBQADggIB
ABnPdSA0LTqmRf/Q1eaM2jLonG4bQdEnqOJQ8nCqxOeTRrToEKtwT++36gTSlBGx
A/5dut82jJQ2jxN8RI8L9QFXrWi4xXnA2EqA10yjHiR6H9cj6MFiOnb5In1eWsRM
UM2v3e9tNsCAgBukPHAg1lQh07rvFKm/Bz9BCjaxorALINUfZ9DD64j2igLIxle2
DPxW8dI/F2loHMjXZjqG8RkqZUdoxtID5+90FgsGIfkMpqgRS05f4zPbCEHqCXl1
eO5HyELTgcVlLXXQDgAWnRzut1hFJeczY1tjQQno6f6s+nMydLN26WuU4s3UYvOu
OsUxRlJu7TSRHqDC3lSE5XggVkzdaPkuKGQbGpny+01/47hfXXNB7HntWNZ6N2Vw
p7G6OfY+YQrZwIaQmhrIqJZuigsrbe3W+gdn5ykE9+Ky0VgVUsfxo52mwFYs1JKY
2PGDuWx8M6DlS6qQkvHaRUo0FMd8TsSlbF0/v965qGFKhSDeQoMpYnwcmQilRh/0
ayLThlHLN81gSkJjVrPI0Y8xCVPB4twb1PFUd2fPM3sA1tJ83sZ5v8vgFv2yofKR
PB0t6JzUA81mSqM3kxl5e+IZwhYAyO0OTg3/fs8HqGTNKd9BqoUwSRBzp06JMg5b
rUCGwbCUDI0mxadJ3Bz4WxR6fyNpBK2yAinWEsikxqEt
——END CERTIFICATE——

Открываем на редактирование файл:

И добавляем в него строку с указанием на созданный файл:

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Как добавить сертификат Центра Сертификации (CA) в доверенные в Linux

Как добавить корневой сертификат в доверенные в Linux на уровне системы

Сертификат с расширением .crt можно открыть двойным кликом и просмотреть его содержимое:

Если вы работаете в системе от обычного пользователя (не root), то кнопка «Импортировать» будет недоступна.

Чтобы разблокировать кнопку «Импортировать», выполните следующую команду:

Данный способ может не сработать, поэтому рассмотрим, как добавить доверенные корневые центры сертификации в командной строке.

Суть метода очень проста:

Пути и команды в разных дистрибутивах Linux чуть различаются.

Просмотреть Subject всех корневых CA сертификатов можно уже знакомой командой:

Для демонстрации я добавлю сертификат с Common Name, включающим «HackWare», тогда для проверки, имеется ли сертификат с таким именем среди корневых CA, я могу использовать команду:

Для добавления своего корневого CA в доверенные в Debian, Kali Linux, Linux Mint, Ubuntu и их производных:

1. Проверьте, существует ли директория /usr/local/share/ca-certificates:

Если её ещё нет, то создайте:

Сертификат должен быть в формате PEM (обычно так и есть) и иметь расширение .crt — если расширение вашего сертификата .pem, то достаточно просто поменять на .crt.

2. Скопируйте ваш сертификат командой вида:

3. Запустите следующую команду для обновления общесистемного списка:

Проверим наличие нашего CA сертификата среди доверенных:

Сертификат успешно найден:

Для добавления своего корневого CA в доверенные в Arch Linux, BlackArch и их производных:

1. Выполните команду вида:

2. Обновите общесистемный список доверенных CA:

Чтобы удалить этот сертификат:

Добавление сертификатов в базу данных NSS

Некоторые приложения используют базу данных NSS, и у вас может быть необходимость добавить доверенные CA в неё.

Последующие изменения повлияют только на приложения, использующие базу данных NSS и учитывающие файл /etc/pki/nssdb.

1. Сначала создайте структуру каталогов для системных файлов базы данных NSS:

Затем создайте новый набор файлов базы данных. Пароль нужен для того, чтобы базу данных могли редактировать только люди, которые его знают. Если все пользователи в системе (и с доступом к резервным копиям) заслуживают доверия, этот пароль можно оставить пустым.

2. Убедитесь, что файлы базы данных доступны для чтения всем:

Примечание: вышеприведённые инструкции применимы только в том случае, если пока не существует общесистемного набора файлов базы данных NSS. Если он уже существует, то важно знать пароль для этого набора баз данных (конечно, если он защищён паролем).

3. Теперь, когда доступны файлы базы данных NSS, добавьте сертификат в хранилище следующим образом:

Биты доверия, используемые в приведённом выше примере, помечают сертификат как надёжный для подписи сертификатов, используемых для связи SSL/TLS. Имя (указывается после опции -n), используемое в команде, можно выбрать любое, но убедитесь, что его легко отличить от других сертификатов в магазине.

Аналогичные инструкции можно использовать для включения сертификата только в базу данных NSS конкретного пользователя:

Удаление из файлов базы данных NSS

Чтобы удалить сертификат из любой базы данных NSS, используйте команду certutil следующим образом. В этом примере используется общесистемное расположение базы данных NSS, но его можно легко изменить на пользовательское

Как добавить корневой сертификат в доверенные в Linux в веб браузеры

Chrome, Chromium, Firefox и созданные на их основе веб браузеры доверяют корневым сертификатам, установленным на уровне системы. То есть вам достаточно добавить в доверенные CA сертификат как это показано в предыдущем разделе.

Причём эти браузеры хотя и используют NSS, они игнорируют общесистемные сертификаты NSS, которые можно добавить в файл /etc/pki/nssdb!

Тем не менее приложения, которые используют NSS (такие как Firefox, Thunderbird, Chromium, Chrome) хранят свои списки доверенных сертификатов в файлах cert9.db. Чтобы добавить свой сертификат в каждый из этих файлов можно использовать скрипт.

Сохранить следующий код в файл CAtoCert9.sh:

В этом файле измените значение certfile на имя файла вашего сертификата и значение certname на имя вашего сертификата, сохраните и закройте файл.

Затем запустите его следующим образом:

В результате в домашней папке пользователя будут найдены все файлы cert9.db и в каждый из них будет добавлен указанный CA сертификат.

Вы можете добавить CA сертификаты в графическом интерфейсе каждого браузера.

Нажмите кнопку «Импорт»:

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

Нажмите кнопку «Импортировать»:

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Windows admin blog

Полезные команды cmd, powershell, администрирование, фичи и решения проблем на win/winserver

Установка корневого сертификата в Astra Linux

В данной статье рассмотрим, как установить корневой сертификат в системное хранилище доверенных корневых сертификатов. Здесь надо учесть, что браузеры после этого не станут автоматически доверять сайту, сертификат которого выпущен таким центром сертификации, потому что веб-браузеры в Linux используют свои собственные хранилища корневых сертификатов, поэтому будет затронута также тема добавления корневого сертификата в веб-браузеры. Инструкция подойдет не только для Astra Linux, но и для других Debian подобных дистрибутивов.

Установка корневого сертификата в системное хранилище

1. Сертификат должен иметь формат crt. Если формат сертификата отличается, необходимо выполнить его конвертацию. Так, например, для cer-сертификатов:

Если исходный сертификат имеет кодировку DER

Если исходный сертификат имеет кодировку PEM

В параметре out можно сразу указать полный путь сохранения сертификата, в противном случае, он сохранится в текущий каталог.

2. Скопировать полученный сертификат в папку /usr/share/ca-certificates:

вместо /path/certificate.crt подставить свой путь до сертификата и имя сертификата

Есть, однако, мнение, что сертификаты лучше копировать сюда: /usr/local/share/ca-certificates

3. Установить сертификат можно такой командой:

Выбрать «Да», нажать «ОК» (Enter), а в следующем окне отметить звездочками сертификаты, которые необходимо установить. При этом, если все успешно, вы должны увидеть информацию о добавлении вашего сертификата. В моем случае выполнялась установка сразу двух сертификатов (2 added)

Есть еще и вот такая команда:

По идее, делает все что нужно в автоматическом режиме.

По итогу, ваш сертификат должен будет находиться здесь: /etc/ssl/certs

Проверка установки

Способ 1

Короткая команда, которая выведет список доверенных сертификатов. В списке вы должны найти свой сертификат — значит он установился.

Способ 2

Для проверки есть такая конструкция:

Вместо СЕРТИФИКАТ вводим критерий поиска (точное имя сертификата), можно часть имени заменить символом * (например, Digi*) — но в случае со «звездочкой» поиск будет чувствителен к регистру (игнорирует ключ -i), если в имени серитфиката есть пробелы, то критерий поиска обязательно нужно взять в кавычки, даже при использовании маски поиска *.

Способ 3

Проверка посредством выполнения подключения к сайту. То есть, здесь мы выполняем не поиск по хранилищу сертификатов, а осуществляем подключение к сайту

Вместо example.site.com вводите ваш сайт, на котором нужно проверить работу сертификата.

Если в результате вывода где-то есть verify error, значит есть проблемы с доверием. Нужно детально изучить вывод — на какой сертификат ругается.

Способ 4

Может потребоваться установка пакета curl. В ответе должен быть получен код страницы — значит все ОК, доверие к сертификату есть, в противном случае, получим ошибку.

Импорт сертификата в профиль пользователя для Chromium-подобных браузеров

Можно автоматизировать данный процесс. Для выполнения команды должна быть установлена утилита certutil.

certificate_name — имя сертификата
certificate_file — имя файла сертификата, в примере подразумевается, что сертификат расположен в том же каталоге, что и скрипт

После выполнения данной команды, браузеры на Chromium движке под текущим пользователем будут доверять сертификату (Chrome, Chromium, Opera и т.п.).

Отдельно отмечу, что браузер Firefox использует собственную базу сертификатов, которая располагается в другом месте.

Те же самые действия можно проделать и через GUI браузера.

Настройки — Конфиденциальность и безопасность — Безопасность — Настроить сертификаты

Далее импортировать нужный сертификат в разделе «Центры сертификации»

Источник

Методика безопасности № 2022-0318СE212MD

Методика безопасности операционной системы общего назначения Astra Linux Common Edition 2.12, далее по тексту — Astra Linux, предназначено для нейтрализации уязвимостей в информационных системах.

Настоящая методика безопасности содержит отдельные программные пакеты, в которые внесены изменения с целью устранения ряда уязвимостей ядра linux и пакета liblog4j2-java , а также методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2.

Кроме того, в пакет ca-certificates.deb репозитория Astra Linux добавлен сертификат удостоверяющего центра Минцифры России.

Настоящая методика безопасности не является кумулятивной. При выполнении указаний данной методики безопасности другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Перечень уязвимостей, закрываемых настоящей методикой безопасности, предоставляется после соответствующего обращения на портале технической поддержки.

Перед применением настоящей методикой безопасности рекомендуется обновить Astra Linux до версии 2.12.43

Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux

Нейтрализация угрозы эксплуатации уязвимостей осуществляется путём обновления отдельных пакетов. Пакеты с устраненными уязвимостями войдут в состав последующей версии Astra Linux.

Подготовка к установке обновления

Установка обновления

Скачать tar-архив с помощью WEB-браузера по следующей ссылке: https://dl.astralinux.ru/astra/stable/2.12_x86-64/iso/2022-0318CE212MD.tar.gz, либо выполнив команду:

Настоящее обновление безопасности подписано усиленной квалифицированной электронной подписью ООО «РусБИТех-Астра»:https://dl.astralinux.ru/astra/stable/2.12_x86-64/iso/2022-0318CE212MD.tar.gz_2022-03-24_14-25-18.tsp.sig.

Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.

Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:

Распаковать архив, например, в каталог /mnt/ , выполнив команду:

Полученный в результате распаковки tar-архива каталог 2022-0318CE212MD подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог /mnt/2022-0318CE212MD/ , необходимо:

с помощью текстового редактора в файле /etc/apt/sources.list добавить строку вида:

либо выполнить команду:

затем выполнить повторную синхронизацию файлов описаний пакетов с их источником:

Обновить пакеты, выполнив следующую команду:

Завершение установки обновления

После выполнения обновления необходимо перезагрузить систему.

Добавление корневого сертификата удостоверяющего центра Минцифры России

Добавление корневого сертификата необходимо выполнить для каждого пользователя после установки обновления пакетов.

Добавление корневого сертификата в Firefox

1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
2. В адресную строку ввести » about:preferences » и нажать клавишу .
3. На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
4. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать. ].
5. В открывшемся окне импорта выбрать файл /usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crt и нажать на кнопку [Открыть].
6. В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
7. В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].

Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:

Добавление корневого сертификата в Chromium

1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
2. В адресную строку ввести » chrome://settings/certificates » и нажать клавишу .
3. На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
4. В открывшемся окне импорта выбрать файл /usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crt и нажать на кнопку [Открыть].
5. В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].

После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:

Методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2

Методика устранения уязвимости, связанной с переполнением буфера в lua_module при разборе запросов, состоящих из нескольких частей (multipart)

Для устранения этой уязвимости необходимо отключить модуль поддержки языка LUA. Чтобы просмотреть перечень используемых модулей, необходимо выполнить команду:

Методика устранения SSRF-уязвимости (Server Side Request Forgery) в mod_proxy

Для устранения этой уязвимости необходимо отключить поддержку прямого proxy в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf ).

Параметр ProxyRequests должен иметь значение » off «. При этом, если это необходимо, реверс-прокси может остаться включенным.

В случае, если есть возможность отключить все режимы работы proxy, то необходимо выполнить команду:

После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:

Методика устранения угрозы атаки типа HTTP Request Smuggling

Для устранения этой уязвимости необходимо в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf ) отключить поддержку протокола http/2 — из строки параметров Protocols (перечня используемых протоколов) следует исключить значение » h2 » (протокол HTTP/2).

После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:

Веб-сервер Apache необходимо настроить на работу по HTTPS.

Устранение риска эксплуатации уязвимости пакета liblog4j2-java

Уязвимости подвержен только класс JndiLookup из файла JAR /usr/share/java/log4j-core.jar , входящего в пакет liblog4j2-java, а приложения, использующие только файл JAR log4j-api без файла JAR log4j-core , не подвержены этой уязвимости. Уязвимость присутствует в пакетах log4j в версиях 2.14.1 и ниже.

Проверить, установлен ли пакет liblog4j2-java в системе и версию установленного пакета можно командой:

Если пакет не установлен, то компьютер не подвержен уязвимости.

Устранение риска эксплуатации уязвимости путем замены пакета

1. Скачать обновлённый пакет liblog4j2-java_2.7-2+deb9u1_all.deb с помощью WEB-браузера по следующей ссылке;
2. Перейти в каталог с полученным пакетом;

Установить обновлённый пакет командой:

Устранение риска эксплуатации уязвимости путем удаления уязвимого класса JndiLookup

Для оперативного устранения уязвимости без переустановки пакетов, с учетом того, что этой уязвимости подвержен только один класс из файла /usr/share/java/log4j-core.jar, следует удалить этот класс (JndiLookup) из пути к классам, для чего:

Установить пакет zip, если он не был ранее установлен, следующей командой:

Источник

Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux

Нейтрализация угрозы эксплуатации уязвимостей осуществляется путём обновления отдельных пакетов. Пакеты с устраненными уязвимостями войдут в состав последующей версии Astra Linux.

Подготовка к установке обновления

Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке необходимо выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).

Установка обновления

Скачать tar-архив с помощью WEB-браузера по следующей ссылке: https://dl.astralinux.ru/astra/stable/2.12_x86-64/iso/2022-0318CE212MD.tar.gz, либо выполнив команду:

Настоящее обновление безопасности подписано усиленной квалифицированной электронной подписью ООО «РусБИТех-Астра»:https://dl.astralinux.ru/astra/stable/2.12_x86-64/iso/2022-0318CE212MD.tar.gz_2022-03-24_14-25-18.tsp.sig.

Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.

Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:

Распаковать архив, например, в каталог /mnt/ , выполнив команду:

sudo tar xzvf 2022-0318CE212MD.tar.gz -C /mnt/

Полученный в результате распаковки tar-архива каталог 2022-0318CE212MD подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог /mnt/2022-0318CE212MD/ , необходимо:

с помощью текстового редактора в файле /etc/apt/sources.list добавить строку вида:

либо выполнить команду:

echo «deb file:/mnt/2022-0318CE212MD/ orel main contrib non-free» | sudo tee -a /etc/apt/sources.list

затем выполнить повторную синхронизацию файлов описаний пакетов с их источником:

sudo apt update

Обновить пакеты, выполнив следующую команду:

sudo apt dist-upgrade

Завершение установки обновления

После выполнения обновления необходимо перезагрузить систему.

Добавление корневого сертификата удостоверяющего центра Минцифры России

Добавление корневого сертификата необходимо выполнить для каждого пользователя после установки обновления пакетов.

Добавление корневого сертификата в Firefox

1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
2. В адресную строку ввести » about:preferences » и нажать клавишу .
3. На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
4. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать. ].
5. В открывшемся окне импорта выбрать файл /usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crt и нажать на кнопку [Открыть].
6. В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
7. В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].

Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:

Добавление корневого сертификата в Chromium

1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
2. В адресную строку ввести » chrome://settings/certificates » и нажать клавишу .
3. На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
4. В открывшемся окне импорта выбрать файл /usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crt и нажать на кнопку [Открыть].
5. В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].

После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:

Методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2

Методика устранения уязвимости, связанной с переполнением буфера в lua_module при разборе запросов, состоящих из нескольких частей (multipart)

Для устранения этой уязвимости необходимо отключить модуль поддержки языка LUA. Чтобы просмотреть перечень используемых модулей, необходимо выполнить команду:

sudo apachectl -M

Если в перечне используемых модулей присутствует модуль с наименованием lua , то следует выполнить команду:

sudo a2dismod lua

После этого необходимо перезапустить веб-сервер Apache, выполнив команду:

sudo systemctl restart apache2

Методика устранения SSRF-уязвимости (Server Side Request Forgery) в mod_proxy

Для устранения этой уязвимости необходимо отключить поддержку прямого proxy в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf ).

Параметр ProxyRequests должен иметь значение » off «. При этом, если это необходимо, реверс-прокси может остаться включенным.

В случае, если есть возможность отключить все режимы работы proxy, то необходимо выполнить команду:

sudo a2dismod proxy

После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:

sudo systemctl restart apache2

Методика устранения угрозы атаки типа HTTP Request Smuggling

Для устранения этой уязвимости необходимо в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf ) отключить поддержку протокола http/2 — из строки параметров Protocols (перечня используемых протоколов) следует исключить значение » h2 » (протокол HTTP/2).

После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:

sudo systemctl restart apache2

Веб-сервер Apache необходимо настроить на работу по HTTPS.

Устранение риска эксплуатации уязвимости пакета liblog4j2-java

Уязвимости подвержен только класс JndiLookup из файла JAR /usr/share/java/log4j-core.jar , входящего в пакет liblog4j2-java, а приложения, использующие только файл JAR log4j-api без файла JAR log4j-core , не подвержены этой уязвимости. Уязвимость присутствует в пакетах log4j в версиях 2.14.1 и ниже.

Проверить, установлен ли пакет liblog4j2-java в системе и версию установленного пакета можно командой:

apt policy liblog4j2-java

Если пакет не установлен, то компьютер не подвержен уязвимости.

Устранение риска эксплуатации уязвимости путем замены пакета

1. Скачать обновлённый пакет liblog4j2-java_2.7-2+deb9u1_all.deb с помощью WEB-браузера по следующей ссылке;
2. Перейти в каталог с полученным пакетом;

Установить обновлённый пакет командой:

sudo apt install ./liblog4j2-java_2.7-2+deb9u1_all.deb

Предупреждение «Download is performed unsandboxed«/»Загрузка без ограничения песочницы» при установке обновления можно игнорировать, подробнее здесь: Предупреждение «Download is performed unsandboxed»/»Загрузка без ограничения песочницы» при установке пакетов из файлов с помощью apt

Устранение риска эксплуатации уязвимости путем удаления уязвимого класса JndiLookup

Для оперативного устранения уязвимости без переустановки пакетов, с учетом того, что этой уязвимости подвержен только один класс из файла /usr/share/java/log4j-core.jar, следует удалить этот класс (JndiLookup) из пути к классам, для чего:

Установить пакет zip, если он не был ранее установлен, следующей командой:

sudo zip -d /usr/share/java/log4j-core.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

пример вывода после успешного выполнения команды:

Источник

0

1

https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/Release
https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/Release.gpg
https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/binary-amd64/Packages.gz
https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/binary-amd64/Release
https://dl.astralinux.ru/astra/stable/1.7_x86-64/main/Release
https://dl.astralinux.ru/astra/stable/1.7_x86-64/main/Release.gpg
https://dl.astralinux.ru/astra/stable/1.7_x86-64/main/binary-amd64/Packages.gz
https://dl.astralinux.ru/astra/stable/1.7_x86-64/main/binary-amd64/Release

В данной статье рассмотрим, как установить корневой сертификат в системное хранилище доверенных корневых сертификатов. Здесь надо учесть, что браузеры после этого не станут автоматически доверять сайту, сертификат которого выпущен таким центром сертификации, потому что веб-браузеры в Linux используют свои собственные хранилища корневых сертификатов, поэтому будет затронута также тема добавления корневого сертификата в веб-браузеры. Инструкция подойдет не только для Astra Linux, но и для других Debian подобных дистрибутивов.

Установка корневого сертификата в системное хранилище

1. Сертификат должен иметь формат crt. Если формат сертификата отличается, необходимо выполнить его конвертацию. Так, например, для cer-сертификатов:

Если исходный сертификат имеет кодировку DER

openssl x509 -inform DER -in /path/certificate.cer -out certificate.crt

Если исходный сертификат имеет кодировку PEM

openssl x509 -inform PEM -in /path/certificate.cer -out certificate.crt

В параметре out можно сразу указать полный путь сохранения сертификата, в противном случае, он сохранится в текущий каталог.

2. Скопировать полученный сертификат в папку /usr/share/ca-certificates:

sudo cp /path/certificate.crt /usr/share/ca-certificates

вместо /path/certificate.crt подставить свой путь до сертификата и имя сертификата

Есть, однако, мнение, что сертификаты лучше копировать сюда: /usr/local/share/ca-certificates

3. Установить сертификат можно такой командой:

sudo dpkg-reconfigure ca-certificates

Выбрать «Да», нажать «ОК» (Enter), а в следующем окне отметить звездочками сертификаты, которые необходимо установить. При этом, если все успешно, вы должны увидеть информацию о добавлении вашего сертификата. В моем случае выполнялась установка сразу двух сертификатов (2 added)

Есть еще и вот такая команда:

sudo update-ca-certificates

По идее, делает все что нужно в автоматическом режиме.

По итогу, ваш сертификат должен будет находиться здесь: /etc/ssl/certs

Проверка установки

Способ 1

trust list

Короткая команда, которая выведет список доверенных сертификатов. В списке вы должны найти свой сертификат — значит он установился.

Способ 2

Для проверки есть такая конструкция:

awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep -i СЕРТИФИКАТ

Вместо СЕРТИФИКАТ вводим критерий поиска (точное имя сертификата), можно часть имени заменить символом * (например, Digi*) — но в случае со «звездочкой» поиск будет чувствителен к регистру (игнорирует ключ -i), если в имени серитфиката есть пробелы, то критерий поиска обязательно нужно взять в кавычки, даже при использовании маски поиска *.

Способ 3

openssl s_client -connect example.site.ru:443 -quiet

Проверка посредством выполнения подключения к сайту. То есть, здесь мы выполняем не поиск по хранилищу сертификатов, а осуществляем подключение к сайту

Вместо example.site.com вводите ваш сайт, на котором нужно проверить работу сертификата.

Если в результате вывода где-то есть verify error, значит есть проблемы с доверием. Нужно детально изучить вывод — на какой сертификат ругается.

Способ 4

curl https://example.site.com --cacert /etc/ssl/certs/ca-certificates.crt

Может потребоваться установка пакета curl. В ответе должен быть получен код страницы — значит все ОК, доверие к сертификату есть, в противном случае, получим ошибку.

Импорт сертификата в профиль пользователя для Chromium-подобных браузеров

Можно автоматизировать данный процесс. Для выполнения команды должна быть установлена утилита certutil.

certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n "certificate_name" -i certificate_file.crt

certificate_name — имя сертификата
certificate_file — имя файла сертификата, в примере подразумевается, что сертификат расположен в том же каталоге, что и скрипт

После выполнения данной команды, браузеры на Chromium движке под текущим пользователем будут доверять сертификату (Chrome, Chromium, Opera и т.п.).

Отдельно отмечу, что браузер Firefox использует собственную базу сертификатов, которая располагается в другом месте.

Те же самые действия можно проделать и через GUI браузера.

Настройки — Конфиденциальность и безопасность — Безопасность — Настроить сертификаты

Далее импортировать нужный сертификат в разделе «Центры сертификации»

Цепочка сертификатов не может быть построена до доверенного корневого сертификата

При возникновении ошибки «Цепочка сертификатов не может быть построена до доверенного корневого сертификата.» необходимо выполнить проверку сертификата электронной подписи.

Алгоритм проверки электронной подписи:

В программном продукте 1С необходимо

1. перейти в раздел «Администрирование»

2. «Обмен электронными документами»

3. «Настройка электронной подписи и шифрования»

4. На вкладке «Сертификаты» открыть используемый сертификат

5. Нажать на кнопку «Проверить»

6. Ввести пароль закрытой части ключа и нажать «Проверить»

! Обращаем Ваше внимание, что программа сама увеличит количество * в поле «Пароль:» до 16 при проверке. Данное поведение является штатным и выступает дополнительной защитой конфиденциальных данных в виде количества символов в пароле. Проверка будет осуществлена на основании введенных Вами данных .

Если в ходе проверки напротив пункта «Корректность данных сертификата» возникнет сигнализирующий об ошибке красный символ, на него необходимо нажать для открытия технической информации об ошибке.

Если в технической информации об ошибке указано «Цепочка сертификатов не может быть построена до доверенного корневого

сертификата.» это обозначает, что цепочка сертификации выстроена не полностью. Данная ошибка чаще всего встречается при первичной установке сертификата. Для просмотра пути сертификации необходимо сохранить сертификат, указав директорию компьютера, где его можно будет найти. Сделать это можно из программы 1С открыв сертификат в настройках электронной подписи и шифрования и нажать кнопку «Сохранить в файл» и указать директорию операционной системы для сохранения файла.

После сохранения сертификата необходимо открыть его в сохраненной директории.

Открыть сертификат можно дважды нажав на него левой кнопкой мыши или правая кнопка мыши — Открыть.

На вкладке «Общие» в логотипе сертификата будет присутствовать сигнализирующий о проблеме желтый знак, а в сведениях о сертификате будет присутствовать надпись «Недостаточно информации для проверки этого сертификата».

Следующим этапом необходимо перейти во вкладку «Путь сертификации». Можно заметить, что путь сертификации состоит из одного личного сертификата, а в состоянии сертификата присутствует надпись «Невозможно обнаружить поставщика этого сертификата».

В компьютерной безопасности цифровые сертификаты проверяются с помощью цепочки доверия. Сертификаты удостоверяются ключами тех сертификатов, которые находятся выше в иерархии сертификатов. Наивысший сертификат в цепочке называется корневым.

Пример корректного пути сертификации

Решение: Восстановить путь сертификацию

В сертификате необходимо перейти во вкладку «Состав» и в верхнем окне необходимо найти и нажать на поле «Доступ к информации о центрах сертификации». В нижнем окне сертификата появится информация о доступах к сведениям центра сертификации, в котором необходимо найти ссылку, которая заканчивается на .cer или .crt. Данную ссылку необходимо скопировать от http:// до конца строки не включая URL=. Копирование производится при помощи комбинации клавиш Ctrl+C.

Открыть браузер и вставить скопированное ранее значение в адресную строку, нажать «Перейти» (Enter). Откроется окно просмотра загрузок, в котором браузер предложит сохранить или открыть файл. Необходимо нажать «Сохранить как» и указать директорию, куда произойдёт сохранение.

Произойдет скачивание сертификата удостоверяющего центра, который выдал личный сертификат. После скачивания необходимо перейти в указанную директорию и открыть скаченный сертификат. В нашем примере это сертификат astral-883-2018.

После открытия сертификата удостоверяющего центра необходимо нажать «Установить сертификат»

В открывшемся мастере импорта сертификатов выбрать Расположение хранилища: «Текущий пользователь» и нажать «Далее».

В следующем окне выбрать «Поместить все сертификаты в следующее хранилище» нажать «Обзор» и выбрать «Доверенные корневые центры сертификации», нажать «Далее» и завершить установку.

После появится окно предупреждения системы безопасности. Для установки сертификата необходимо нажать «Да»

Затем появится окно, сообщающее о том, что импорт сертификата успешно выполнен.

После установки сертификата удостоверяющего центра путь сертификации будет состоять уже из двух сертификатов: личного сертификата сотрудника организации, который ссылается на доверенный сертификат удостоверяющего центра, который выдал данному сотруднику сертификат.

Сертификат удостоверяющего центра не может сослаться на вышестоящий сертификат Головного удостоверяющего центра в виду его отсутствия на рабочем месте.

Для установки сертификата Головного удостоверяющего центра необходимо открыть сертификат удостоверяющего центра и перейти во вкладку «Состав». В верхнем окне выбрать поле «Идентификатор ключа центра сертификатов», а затем в нижнем окне скопировать серийный номер сертификата (Ctrl+C).

Для скачивания нужного сертификата Головного удостоверяющего центра необходимо перейти на Портал уполномоченного федерального органа в области использования электронной подписи и перейти на вкладку «ГОЛОВНОЙ УЦ» https://e-trust.gosuslugi.ru/mainca

Далее, используя сочетание клавиш Ctrl+F необходимо вызвать окно поиска и вставить в него скопированный серийный номер из сертификата удостоверяющего центра. Из представленного на сайте перечня сертификатов отобразиться тот, чей серийный номер совпадает. Именно данный сертификат Головного удостоверяющего центра нужно скачать. Для скачивания необходимо нажать на гиперссылку в строке «Отпечаток».

После нажатия на отпечаток произойдет скачивание сертификата Головного удостоверяющего центра. Необходимо нажать «Сохранить как» и выбрать необходимую директорию для сохранения сертификата Головного удостоверяющего центра.

Необходимо перейти в директорию, куда был скачан сертификат и открыть его.

В открывшемся сертификате необходимо нажать «Установить сертификат»

В мастере импорта сертификатов необходимо выбрать «Текущий пользователь» и нажать «Далее»

В следующем окне необходимо выбрать «Поместить все сертификаты в следующее хранилище», нажать «Обзор». В окне выбора хща сертификата необходимо поставить галочку «Показать физические хранилища», затем развернуть «Доверенные корневые центры сертификации» нажатием на «+» и выбрать «Локальный компьютер» и нажать «ОК». Завершить установку сертификата.

После установки сертификата Головного удостоверяющего центра путь сертификации личного сертификата восстановлен.

После восстановления пути сертификации ошибка не воспроизводится.

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

• реализации и совершенствования функциональных возможностей;
• поддержки современного оборудования;
• обеспечения соответствия актуальным требованиям безопасности информации;
• повышения удобства использования, управления компонентами и другие.

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

1. инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
2. отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
3. обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Ошибка создания подписи: Не удается построить цепочку сертификатов 0x800B010A

Автор: Юрий Белоусов · 23.09.2020

Пользователи, использующие программы, работающие с СУФД, в момент подписания документа, могут столкнуться с появлением сообщения: «Ошибка создания подписи: Не удается построить цепочку сертификатов (0x800B010A)».

Например, она может возникнуть при подаче заявки на zakupki.gov.ru или другом портале, работающим с ЭЦП.

В этой статье детально рассмотрим в чем причина данной проблемы и какие методы использовать для ее решения.

Почему возникает ошибка 0x800B010A

Причина возникновения ошибки создания подписи 0x800B010A понятна из пояснительного текста: «Не удается построить цепочку сертификатов». То есть, один или несколько необходимых сертификатов могут отсутствовать, быть некорректно установленными или попросту истек их срок действия.

Для нормальной работы обязательно должны быть установлены следующие сертификаты:

Ошибка создания подписи: Не удается построить цепочку сертификатов 0x800B010A – как исправить

Чтобы исправить ошибку создания подписи: «Не удается построить цепочку сертификатов» (0x800B010A) необходимо правильно диагностировать проблемный сертификат. Сделать это можно с помощью специализированного ПО, либо – с помощью Internet Explorer.

1. Следует запустить браузер Internet Explorer. В операционных системах Windows он является предустановленным;
2. Открыть меню браузера, нажав на значок шестеренки в верхнем правом углу окна;
3. Выбрать пункт «Свойства браузера»;
   
   Альтернативный вариант – зайти в свойства браузера, воспользовавшись встроенным поиском Windows;
   
4. Перейти во вкладку «Содержание»;
5. Нажать кнопку «Сертификаты»;
   
6. Выбрать сертификат, которым необходимо подписать документ и нажать кнопку «Просмотр»;
7. Перейти во вкладку «Путь сертификации»;
8. Сертификат отмеченный красным крестиком или восклицательным знаком – и есть причина возникновения ошибки создания подписи: «Не удается построить цепочку сертификатов» (0x800B010A).
   

На скриншоте выше показано, как должна выглядеть цепочка. Если один из сертификатов отсутствует или установлен с ошибкой, то подпись документа будет невозможной.

В случае, если отсутствует сертификат головного удостоверяющего центра, то необходимо скачать и установить. Найти его можно на сайте поставщика сертификата. Узнать кто поставщик можно из свойств, посмотрев вкладку «Общие». Также нужно добавить промежуточные сертификаты.

Для установки личного сертификата необходима программа КриптоПро CSP.

Подробную инструкцию по установке корневого и личного сертификатов можно посмотреть в видео:

Важно! При установке сертификата Головного удостоверяющего центра необходимо поместить его в раздел «Доверенные корневые центры сертификации», личный – в раздел «Личные», остальные – в «Промежуточные центры сертификации».

Если все необходимые сертификаты присутствуют в цепочке, то следует проверить срок их действия и сведения о сертификате. Для этого нужно:

1. Открыть список сертификатов;
2. Выбрать нужный;
3. Нажать кнопку «Просмотр»;
4. Посмотреть сведения о сертификате в разделе «Общие», включая срок до которого он действителен.
   

• Если истек срок действия, то нужно обновить сертификат;
• Если нет доверия к сертификату, то необходимо установить его в корректную директорию;
• Если не удается проследить путь до доверенного центра, значит нарушена общая цепь. Скорее всего, отсутствуют промежуточные сертификаты.

Если проблему не удалось исправить и по прежнему появляется внутренняя ошибка с кодом 0x800B010A, то стоит переустановить КриптоПро CSP, а также обратиться в службу поддержки поставщика сертификата.

Есть удобный способ восстановить правильную цепочку сертификатов, который показан в следующем видео:

Не нашли ответ? Тогда воспользуйтесь формой поиска:

Источник

Модераторы: Olej, bellic, adminn, vikos

root@astra:~# mount | grep media
/dev/sr0 on /media/cdrom0 type iso9660 (ro,nosuid,nodev,noexec,relatime,nojoliet,check=s,map=n,blocksize=2048,user)

root@astra:/media/cdrom0# pwd
/media/cdrom0
root@astra:/media/cdrom0# ls -l
итого 71931
-r--r--r-- 1 root root      763 Янв 21 19:01 AUTORUN.INF
-r-xr-xr-x 1 root root     6384 Май 13 16:51 autorun.sh
dr-xr-xr-x 2 root root      792 Май 13 16:58 cert
dr-xr-xr-x 2 root root     1824 Май 13 16:58 NT3x
dr-xr-xr-x 2 root root     2652 Май 13 16:58 OS2
-r-xr-xr-x 1 root root     4821 Май 13 16:51 runasroot.sh
-r--r--r-- 1 root root      547 Май 13 16:58 TRANS.TBL
-r--r--r-- 1 root root  3729045 Май 13 16:50 VBoxDarwinAdditions.pkg
-r--r--r-- 1 root root     3949 Май 13 16:50 VBoxDarwinAdditionsUninstall.tool
-r-xr-xr-x 1 root root  9696690 Май 13 16:52 VBoxLinuxAdditions.run
-r--r--r-- 1 root root 20642816 Май 13 16:52 VBoxSolarisAdditions.pkg
-r-xr-xr-x 1 root root 26277000 Май 13 16:57 VBoxWindowsAdditions-amd64.exe
-r-xr-xr-x 1 root root   270104 Май 13 16:51 VBoxWindowsAdditions.exe
-r-xr-xr-x 1 root root 13015696 Май 13 16:54 VBoxWindowsAdditions-x86.exe

root@astra:/media/cdrom0# sh VBoxLinuxAdditions.run  
Verifying archive integrity... All good.
Uncompressing VirtualBox 6.0.8 Guest Additions for Linux........
VirtualBox Guest Additions installer
Copying additional installer modules ...
Installing additional modules ...
VirtualBox Guest Additions: Starting.
VirtualBox Guest Additions: Building the VirtualBox Guest Additions kernel 
modules.  This may take a while.
VirtualBox Guest Additions: To build modules for other installed kernels, run
VirtualBox Guest Additions:   /sbin/rcvboxadd quicksetup <version>
VirtualBox Guest Additions: or
VirtualBox Guest Additions:   /sbin/rcvboxadd quicksetup all
VirtualBox Guest Additions: Building the modules for kernel 4.15.3-1-hardened.
update-initramfs: Generating /boot/initrd.img-4.15.3-1-hardened
VirtualBox Guest Additions: Running kernel modules will not be replaced until 
the system is restarted

root@astra:/media/cdrom0# ./VBoxLinuxAdditions.run
bash: ./VBoxLinuxAdditions.run: Отказано в доступе

olej@astra:~$ df
Файловая система 1K-блоков Использовано Доступно Использовано% Cмонтировано в
udev               1996128            0  1996128            0% /dev
tmpfs               404152         8120   396032            3% /run
/dev/sda1         11287752      5549728  5144924           52% /
tmpfs              2020760        83584  1937176            5% /dev/shm
tmpfs                 5120            4     5116            1% /run/lock
tmpfs              2020760            0  2020760            0% /sys/fs/cgroup
tmpfs               404152            0   404152            0% /run/user/999
tmpfs               404152           12   404140            1% /run/user/1000
/dev/sr0             84534        84534        0          100% /media/cdrom0

olej@astra:~$ lsb_release -a
No LSB modules are available.
Distributor ID: AstraLinuxCE
Description:    Astra Linux CE 2.12.13 (Orel)
Release:        2.12.13
Codename:       orel

olej@astra:/etc/apt$ cat /etc/apt/sources.list 
deb https://download.astralinux.ru/astra/current/orel/repository/ orel main contrib non-free
#deb http://mirror.yandex.ru/astra/current/orel/repository/ orel main contrib non-free

olej@astra:/etc/apt$ sudo apt update
[sudo] пароль для olej: 
Пол:1 https://download.astralinux.ru/astra/stable/orel/repository orel InRelease [11,5 kB]
Пол:2 https://download.astralinux.ru/astra/stable/orel/repository orel/main i386 Packages [191 kB]
Пол:3 https://download.astralinux.ru/astra/stable/orel/repository orel/main amd64 Packages [3.840 kB]
Пол:4 https://download.astralinux.ru/astra/stable/orel/repository orel/contrib amd64 Packages [7.635 B]
Пол:5 https://download.astralinux.ru/astra/stable/orel/repository orel/contrib i386 Packages [1.732 B]
Пол:6 https://download.astralinux.ru/astra/stable/orel/repository orel/non-free i386 Packages [1.800 B]
Пол:7 https://download.astralinux.ru/astra/stable/orel/repository orel/non-free amd64 Packages [41,9 kB]
Получено 4.096 kБ за 3с (1.205 kБ/c)                       
Чтение списков пакетов… Готово
Построение дерева зависимостей       
Чтение информации о состоянии… Готово
Все пакеты имеют последние версии.

olej@astra:~/Загрузки$ sudo dpkg -i opera-stable_60.0.3255.151_amd64.deb 
[sudo] пароль для olej: 
Выбор ранее не выбранного пакета opera-stable.
(Чтение базы данных … на данный момент установлено 171163 файла и каталога.)
Подготовка к распаковке opera-stable_60.0.3255.151_amd64.deb …
Распаковывается opera-stable (60.0.3255.151) …
dpkg: зависимости пакетов не позволяют настроить пакет opera-stable:
opera-stable зависит от libcurl3 (>= 7.16.2) | libcurl4 (>= 7.58.0), однако:
Пакет libcurl3 не установлен.
Пакет libcurl4 не установлен.
dpkg: ошибка при обработке пакета opera-stable (--install):
проблемы зависимостей — оставляем не настроенным
Обрабатываются триггеры для menu (2.1.47-astra1) …
Обрабатываются триггеры для mime-support (3.60) …
Обрабатываются триггеры для shared-mime-info (1.8-1) …
Обрабатываются триггеры для hicolor-icon-theme (0.15-1) …
При обработке следующих пакетов произошли ошибки:
opera-stable
olej@astra:~/Загрузки$ 
olej@astra:~/Загрузки$ apt search libcurl*
Сортировка… Готово
Полнотекстовый поиск… Готово

root@astra:/media/cdrom0# apt-key adv --keyserver keyserver.ubuntu.com --recv-keys A6616109451BBBF2
Executing: /tmp/apt-key-gpghome.QJ4vNCgUGM/gpg.1.sh --keyserver keyserver.ubuntu.com --recv-keys A6616109451BBBF2
gpg: key A6616109451BBBF2: public key "Linux Mint Repository Signing Key <root@linuxmint.com>" imported
gpg: Total number processed: 1
gpg:               imported: 1

root@astra:/etc/apt/sources.list.d# pwd
/etc/apt/sources.list.d
root@astra:/etc/apt/sources.list.d# touch mint.list
root@astra:/etc/apt/sources.list.d# cat mint.list 
deb http://packages.linuxmint.com/sonya main upstream import backport romeo

root@astra:/etc/apt/sources.list.d# apt update
Сущ:1 https://download.astralinux.ru/astra/stable/orel/repository orel InRelease
Игн:2 http://packages.linuxmint.com/sonya main InRelease             
Ошк:3 http://packages.linuxmint.com/sonya main Release
404  Not Found [IP: 68.235.39.11 80]
Чтение списков пакетов… Готово
E: Репозиторий «http://packages.linuxmint.com/sonya main Release» не содержит файла Release.
N: Обновление из этого репозитория нельзя выполнить безопасным способом, и поэтому по умолчанию он отключён.
N: Смотрите справочную страницу apt-secure(8) о создании репозитория и настройке пользователя.

root@astra:/etc/apt/sources.list.d# cat mint.list 
deb http://packages.linuxmint.com/ sonya main upstream import backport romeo

root@astra:/etc/apt/sources.list.d# apt update
Сущ:1 https://download.astralinux.ru/astra/stable/orel/repository orel InRelease
Игн:2 http://packages.linuxmint.com sonya InRelease                                          
Пол:3 http://packages.linuxmint.com sonya Release [24,1 kB]
Пол:4 http://packages.linuxmint.com sonya Release.gpg [819 B]
Пол:5 http://packages.linuxmint.com sonya/main amd64 Packages [18,2 kB]
Пол:6 http://packages.linuxmint.com sonya/main i386 Packages [17,5 kB]
Пол:7 http://packages.linuxmint.com sonya/upstream i386 Packages [45,0 kB]
Пол:8 http://packages.linuxmint.com sonya/upstream amd64 Packages [45,7 kB]
Пол:9 http://packages.linuxmint.com sonya/import amd64 Packages [8.261 B]
Пол:10 http://packages.linuxmint.com sonya/import i386 Packages [8.273 B]
Пол:11 http://packages.linuxmint.com sonya/backport amd64 Packages [72,9 kB]
Пол:12 http://packages.linuxmint.com sonya/backport i386 Packages [73,5 kB]                                           
Получено 314 kБ за 7с (40,4 kБ/c)                                                                                     
Чтение списков пакетов… Готово
Построение дерева зависимостей       
Чтение информации о состоянии… Готово
Может быть обновлено 5 пакетов. Запустите «apt list --upgradable» для их показа.