Настройка веб-приложения для работы в браузере Chromium-Gost в ОС Linux

Браузер Chromium-Gost поддерживает криптографические алгоритмы шифрования ГОСТ. Рассмотрим настройку веб-приложения для работы в браузере Chromium-Gost с использованием удостоверяющего центра на примере тестового удостоверяющего центра КриптоПро.

Для настройки веб-приложения выполните шаги, указанные ниже. Предполагается, что работа веб-приложения настроена по протоколу HTTPS.

Шаг 1. Получение сертификатов безопасности с алгоритмами шифрования ГОСТ

Закрытый ключ сертификата сервера и сертификат сервера, использующий алгоритмы шифрования ГОСТ, генерируются в форматах PEM и CER с помощью специальных программных средств, например, OpenSSL. Для установки OpenSSL выполните команду:

• Astra Linux и ALT Linux:

sudo apt-get install openssl

• Rocky Linux:

sudo yum install openssl

• РЕД ОС:

sudo dnf install openssl

По умолчанию для поддержки алгоритмов шифрования ГОСТ установлена библиотека libgost-astra в Debian-подобных дистрибутивах, openssl-gost-engine в RedHat-подобных дистрибутивах и ALT Linux.

Для получения закрытого ключа сертификата сервера и сертификата сервера:

1. Создайте каталог /opt/foresight/ssl и перейдите в него:

cd /opt/foresight/ssl

2. Сгенерируйте закрытый ключ сертификата сервера:

openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out fp_key_gost.pem

3. Создайте запрос на получение сертификата:

openssl req -key fp_key_gost.pem -new -out domain.csr

Примечание. При создании запроса укажите DNS-имя сервера, на котором установлена серверная часть веб-приложения, в параметре CN.

4. Отправьте содержимое полученного запроса domain.csr без заголовков в службу сертификации. Для этого выполните действия в тестовом удостоверяющем центре КриптоПро:

1. Выберите действие «Отправить готовый запрос PKCS#10 или PKCS#7 в кодировке Base64». После чего будет открыта страница «Выдача запроса на сертификат или на обновление сертификата».

2. Скопируйте содержимое запроса domain.csr без заголовков и вставьте в поле «Сохранённый запрос».

3. Нажмите кнопку «Выдать».

5. Сохраните полученный сертификат сервера с наименованием «fp_server_gost» в каталоге /opt/foresight/ssl.

После выполнения действий в каталоге /opt/foresight/ssl будет содержаться: закрытый ключ сертификата сервера fp_key_gost.pem; сертификат сервера, использующий алгоритмы шифрования ГОСТ, fp_server_gost.cer.

Если предполагается настройка двухфакторной аутентификации, то дополнительно получите корневой сертификат fp_ca_gost.cer и сертификат клиента client_gost.pfx.

Получение корневого сертификата

Получение сертификата клиента

Шаг 2. Настройка BI-сервера и серверной части веб-приложения

Для настройки BI-сервера и серверной части веб-приложения:

1. Укажите DNS-имя сервера, заданное в шаге 1, и добавьте параметры SSL:

• в разделе <VirtualHost *:8810> файла конфигурации экземпляра веб-сервера Apache2, на котором установлен BI-сервер:

• /etc/apache2-fp10.x/mods-available/fp10.x-biserver.conf в Debian-подобных дистрибутивах;

• /etc/httpd-fp10.x/conf.d/fp10.x-biserver.conf в RedHat-подобных дистрибутивах;

• /etc/httpd2-fp10.x/conf/mods-enabled/fp10.x-biserver.conf в ALT Linux;

• в разделе <VirtualHost *:8110> файла конфигурации экземпляра веб-сервера Apache2, на котором установлена серверная часть веб-приложения:

• /etc/apache2-fp10.x-web/sites-available/webserver.conf в Debian-подобных дистрибутивах;

• /etc/httpd-fp10.x-web/conf.d/00-virtualhost.conf в RedHat-подобных дистрибутивах;

• /etc/httpd2-fp10.x-web/conf/sites-enabled/000-default.conf в ALT Linux.

ServerName <DNS-имя сервера>
SSLCertificateFile /opt/foresight/ssl/fp_server_gost.cer
SSLCertificateKeyFile /opt/foresight/ssl/fp_key_gost.pem
SSLHonorCipherOrder on
SSLProtocol TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89

2. Перезапустите BI-сервер и серверную часть веб-приложения

После выполнения действий будут настроены BI-сервер и серверная часть веб-приложения.

Шаг 3. Установка браузера Chromium GOST

Для установки браузера Chromium GOST:

1. Скачайте дистрибутив браузера Chromium GOST на официальном сайте КриптоПро и разместите его в домашней директории /home/<имя пользователя>:

• chromium-gost*.deb для Debian-подобных дистрибутивов;

• chromium-gost*.rpm для RedHat-подобных дистрибутивов и ALT Linux.

2. Измените текущий каталог на каталог с дистрибутивом:

cd /home/<имя пользователя>

3. Установите дистрибутив браузера Chromium GOST:

• Astra Linux:

sudo dpkg -i chromium-gost*.deb

• Rocky Linux:

sudo yum localinstall chromium-gost*.rpm

• РЕД ОС:

sudo dnf install chromium-gost*.rpm

• ALT Linux:

sudo apt-get install -y chromium-gost*.rpm

4. Откройте браузер и убедитесь, что установлены и включены плагины «CryptoPro Extension for CAdES Browser Plug-in» и «Extension for CAdES Browser Plug-in», входящие в состав «КриптоПро ЭЦП Browser plug-in».

После выполнения действий будет установлен браузер Chromium GOST.

Шаг 4. Открытие веб-приложения по протоколу HTTPS

Для открытия веб-приложения по протоколу HTTPS укажите адрес в строке подключения:

https://<веб-сервер>:<номер порта>/fp10.x/r/

Где:

• <веб-сервер>. DNS-имя сервера, на котором установлена серверная часть веб-приложения;

• <номер порта>. Номер порта, по которому доступна серверная часть веб-приложения. По умолчанию используется порт 443.

Примечание. В результате настройки веб-приложения для работы в браузере Chromium-Gost предусмотрено использование порта 8110 вместо 443.