Как настроить rutoken на операционной системе linux
Отдел продаж:
Отдел продаж
График работы

Настройка Рутокен в Линукс


Автор Свободный автор Астрал

Свободный автор Астрал

вопросы

Компания Рутокен занимается выпуском аппаратных и программных решений для аутентификации, защиты информации и электронных подписей. Рутокен ЭЦП — это физический носитель для хранения закрытого ключа электронной подписи. В момент заверения цифрового документа его вставляют в персональный компьютер через USB-разъём или порт для смарт-карт.

Подробно рассмотрим популярные вопросы о том, как работать с Рутокен в Линукс: какой драйвер и программу установить на ПК, где их скачать и как сменить PIN-код на Rutoken Linux.

Рутокен для *nix систем

Чтобы взаимодействовать с Рутокен под управлением операционной системой *nix необходимы специальные утилиты. Для deb-based системы требуется установить: библиотеку libccid версии не ниже 1.4.2, а также пакеты pcscd и libpcsclite1. Для RPM-based системы понадобятся пакеты: ccid, pcscd и pcsc-lite.

Пользователям Рутокен ЭЦП и Рутокен Lite драйверы в современных операционных системах не нужны. В стабильные или устаревшие дистрибутивы возможно потребуется внести изменения в конфигурационный файл.

Владельцам Рутокен S нужно произвести загрузку установочного скрипта, запустить его и следовать подсказкам мастера установки. После установки токен вставляется в USB-порт персонального компьютера.

Купить Рутокен Lite можно в каталоге носителей. Кроме модели Lite в каталоге представлены и другие сертифицированные токены.

Драйверы для Рутокен S

Скачать драйвер Рутокен S для GNU/Linux RPM 32-bit (x86)

Версия:
1.0.4 от 11.02.2014
Поддерживаемые ОС:
32-разрядные Fedora/RedHat/Centos/AltLinux/Rosa/РЕД ОС

Скачать драйвер Рутокен S для GNU/Linux RPM 64-bit (x64)

Версия:
1.0.4 от 11.02.2014
Поддерживаемые ОС:
64-разрядные Fedora/RedHat/Centos/AltLinux/Rosa/РЕД ОС

Скачать драйвер Рутокен S для GNU/Linux DEB 32-bit (x86)

Версия:
1.0.4 от 11.02.2014
Поддерживаемые ОС:
32-разрядные Debian/Ubuntu/Mint/Astra Linux

Скачать драйвер Рутокен S для GNU/Linux DEB 64-bit (x64)

Версия:
1.0.4 от 11.02.2014
Поддерживаемые ОС:
64-разрядные Debian/Ubuntu/Mint/Astra Linux

Скачать драйвер Рутокен S для архитектуры MIPS (Байкал)

Версия:
1.0.4 от 11.08.2016

Скачать драйвер Рутокен S для GNU/Linux DEB ARM-64 (Байкал-М)

Версия:
1.0.7 от 27.09.21
Поддерживаемые ОС:
64-разрядные Debian/Astra Linux

Утилита

Скачать утилиту администрирования Рутокен

Утилита rtAdmin меняет метки токена, PIN-кодов и их настроек.

Версия:
2.4 от 22.06.2022

Проверка работы Рутокен ЭЦП в системе

Чтобы проверить работу Рутокен ЭЦП, пользователю необходимо выполнить следующие шаги:

  1. Подключить носитель к ПК.
  2. Ввести команду: pcsc_scan.
  3. Если пользователь вставил USB-токен и появилось данное сообщение:

значит физический носитель работает корректно.

Если пользователь вставил USB-токен и появилось данное сообщение:

значит смарт-карта работает корректно.

В последних строках сообщений указано название носителя. USB-токен — Rutoken ECP (DS), смарт-карта — Rutoken ECP SC).

  1. Если появилось данное сообщение:

значит Рутокен ЭЦП не работает, и следует определить проблемы в работе носителя в системе.

  1. Нажать комбинацию клавиш Ctrl+C.

Определение проблемы с Рутокен в системе

Существует две основных проблемы, которые возникают в системе GNU/Linux с Рутокен ЭЦП, это:

  • наличие пакета OpenCT;
  • отсутствие записей об устройстве в конфигурационном файле Info.plist.

Рассмотрим, как определить и решить каждую из них.

Наличие пакета OpenCT

Как определить проблему

Чтобы определить проблему необходимо:

  1. Остановить утилиту командой: sudo service pcscd stop.
  2. Запустить pcscd вручную в отладочном режиме: sudo /usr/sbin/pcscd -afddddd. Если доступа к команде sudo нет, то можно воспользоваться командой su.
  3. Если проблема с Рутокен ЭЦП появилась из-за наличия пакета OpenCT, то отобразится следующее сообщение:

Решение проблемы

Данная проблема решается двумя способами: удалением записей об устройстве в конфигурационном файле openct.conf или удалением пакета OpenCT.

Как удалить запись об устройстве в конфигурационном файле openct.conf

Данный способ применяется, если пакет OpenCT нужен пользователю для рабочих процессов и удалять его нельзя. Для удаления записей в конфигурационном файле openct.conf потребуется:

  1. Открыть конфигурационный файл командой: sudo nano /etc/openct.conf. Откроется конфигурационный файл openct.conf.
  1. Найти в конфигурационном файле массив driver ccid и удалить в нём строку: usb:0a89/0030, # Aktiv Rutoken ECP.
  2. Перезапустить сервис OpenCT командой: sudo service openct restart.
  3. Проверить работу носителя.

Как удалить пакет OpenCT

Для удаления OpenCT необходимо:

  1. Проверить его наличие пакета в системе командой. В deb-based системе: dpkg -s openct, в rpm-based системе: rpm -q openct. Сообщение install ok installed уведомит об установленном пакете.
  1. Удалить пакет OpenCT командой. В deb-based системе: sudo dpkg -r openct, в rpm-based системе: sudo rpm -e openct.
  1. После этого OpenCT будет удалён с компьютера и пользователю потребуется проверить работу подписи в системе.

Отсутствие записей об устройстве в конфигурационном файле Info.plist

Как определить проблему

Чтобы определить проблему необходимо:

  1. Остановить утилиту командой: sudo service pcscd stop.
  2. Запустить pcscd вручную в отладочном режиме: sudo /usr/sbin/pcscd -afddddd | grep Rutoken.
  3. Если в результате выполнения команды в окне терминала хоть один раз появится слово Rutoken, то проблема не в этом.
  1. Если отобразится пустая строка, то проблема связана с отсутствием строк в конфигурационном файле Info.plist.
  2. Требуется открыть в библиотеке libccid открыть конфигурационный файл Info.plist командой: sudo nano /usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.plist
  1. Проверить наличие строк:
  • в массиве ifdVendorID строки 0x0A89;
  • в массиве ifdProductID строки 0x0030;
  • в массиве ifdFriendlyName строки Aktiv Rutoken ECP.

Как решить проблему

Чтобы решить проблему, пользователю нужно добавить недостающие строки в конфигурационный файл:

  • в массиве ifdVendorID строку 0x0A89;
  • в массиве ifdProductID строку 0x0030;
  • в массиве ifdFriendlyName строку Aktiv Rutoken ECP.

После этого следует проверить работу устройства в системе.

Утилита администрирования Рутокен

Пользователь применяет утилиту администрирования Рутокен rtAdmin версии 2.0 для настроек физического носителя электронной подписи. С помощью данной программы можно управлять памятью устройства, изменить PIN-код или метку токена.

Программа поддерживает все модели Рутокен от USB-носителей до смарт-карт, кроме Рутокен S. Для неё требуется использовать раннюю версию утилиты — rtAdmin 1.3 в ОС Windows. Также с этой версией работают с Рутокен ЭЦП в Windows XP/2003/Vista/2008.

При использовании утилиты рекомендовано подключать не больше одного носителя Рутокен.

Утилита администрирования Рутокен работает в следующих операционных системах:

  • MS Windows 11/10/8.1/8/2012/7/2008R2
  • MS Windows XP/2003/Vista/2008 – только в версии rtadmin 1.3
  • GNU/Linux
  • macOS

Скачать утилиту администрирования для Windows

Скачать утилиту администрирования Для Linux

Скачать утилиту администрирования Для macOS

Как работать с утилитой

Работа с программой осуществляется через командную строку. Команды представлены в таблице.

Описание команды Параметр командной строки Значение по умолчанию/Примечание
1 Форматирование токена Внимание! При форматировании всё содержимое Рутокена удаляется безвозвратно. Если устройство имеет встроенную флеш-память, при форматировании данные с флеш-памяти также будут удалены безвозвратно. Пожалуйста, перед форматированием сделайте копию важной информации! -f -
2 Текущий PIN-код администратора -o [PIN-код (≤ 32)] 87654321 Значение по умолчанию используется только при форматировании без указания параметра -o
3 Текущий PIN-код пользователя -с [PIN-код (≤ 32)] 12345678 Значение по умолчанию используется только при форматировании без указания параметра -c
4 Устанавливаемый PIN-код администратора -a [PIN-код (≤ 32)] 87654321 Значение по умолчанию используется только при форматировании без указания параметра -a
5 Устанавливаемый PIN-код пользователя -u [PIN-код (≤ 32)] 12345678 Значение по умолчанию используется только при форматировании без указания параметра -u
6 Устанавливаемый PIN2 (для Рутокен PINPad. Устанавливается на экране устройства) -t Если значение параметра не установлено, то будет использовано значение по умолчанию
7 Генерация PIN-кода администратора (используется при форматировании) -G [длина PIN-кода (8-32)] Генерировать PIN-код администратора установленной длины (8-32) (используется при форматировании). При использовании этого параметра параметр -u игнорируется
8 Генерация PIN-кода пользователя (используется при форматировании) -g [длина PIN-кода (8-32)] Генерировать PIN-код пользователя установленной длины (8-32) (используется при форматировании). При использовании этого параметра параметр -u игнорируется
9 Загрузка значений пар PIN-кодов из файла -b [имя файла] Файл загружается по адресу, который указан в значении параметра. В файле каждому PIN-коду соответствует отдельная строка. При использовании этого параметра параметры -a, -u, -G, -g игнорируются
10 Политика смены PIN-кода пользователя -p [кто может менять PIN-код: 1 – администратор, 2 – пользователь, 3 – пользователь и администратор] Значение по умолчанию - 2
11 Минимальная длина PIN-кода администратора -M [длина PIN-кода (6-31 для Рутокен ЭЦП и Рутокен Lite, 1 для Рутокен S)] 6
12 Минимальная длина PIN-кода пользователя -m [длина PIN-кода (6-31 для Рутокен ЭЦП и Рутокен Lite, 1 для Рутокен S)] 6
13 Максимальное количество попыток ввода PIN-кода администратора -R [число попыток (3-10)] 10
14 Максимальное количество попыток ввода PIN-кода пользователя -r [число попыток (1-10)] 10
15 Метка токена в кодировке Windows-1251 -L [метка токена] Установить метку токена в кодировке Windows-1251
16 Метка токена в кодировке UTF-8 -D [метка токена] Установить метку токена в кодировке UTF-8
17 Конвертация в UTF-8 (флаг для параметров, связанных с PIN-кодами) -U По умолчанию PIN-коды не конвертируются в UTF-8
18 Ограничение количества выполняемых итераций до одной -q -
19 Используемая библиотека PKCS#11 -z [путь к библиотеке] rtPKCS11.dll
20 Путь к конфигурационному файлу -n [путь к файлу] -
21 Протоколирование -l [путь к файлу лога] Путь: каталог, в котором лежит утилита. Имя файла: rtadmin.exe.log
22 Разблокировка PIN-кода пользователя и локальных PIN-кодов -P -o [PIN-код администратора (≤ 32)] Идентификатор локального пользователя указывать не нужно. Разблокировать локальные PIN-коды и PIN-код пользователя. Для использования этого параметра необходим логин с текущим PIN-кодом администратора
23 Установить SM mode (только для Bluetooth токена) -s [Пароли: (1 - опциональный пароль), (2 - 1 пароль), (3 - 6 паролей)] [Режим: (caps - только заглавные буквы), (digits - заглавные буквы и цифры)]
24 Исключенные токены при поточном форматировании -E [серийные номера токенов в формате: 0x46bc3390 или 932436970] В качестве разделителя серийных номеров использовать пробел. Также можно использовать опцию -E на каждый серийный номер
25 Показать возможные параметры и примеры -h, --help -
32 Запрос PIN-кода Рутокена из стандартного потока ввода в маскированном виде -I (i в верхнем регистре) Если аргумент флагов -u, -c, -o, -a равен "stdin", то этот PIN-код будет браться из стандартного потока ввода Примеры: 1) Cмена PIN-кода Пользователя: rtadmin -I -u stdin -o stdin 2) Разблокировка PIN-кода Пользователя: rtadmin -I -P -o stdin
33 Выбор Рутокена, с которым производится работа, по серийному номеру -S Необходим, когда хотим производить работу с конкретным Рутокеном, а не со всеми. Пример: -S 3a7d6e32 -S 3A7D6E32
34 Получение расширенных политик PIN-кодов --show-expp Устройства Рутокен ЭЦП 3.0 поддерживают работу с расширенными политиками PIN-кодов Пользователя. Опция --show-expp позволяет получить текущее состояние этих политик
35 Установка расширенных политик PIN-кодов --set-expp [Использование: --set-expp (pin_policy_opt1) (value1) ( pin_policy_opt2) (value2) ... ] pin_policy_opts:
  • MinPinLength – Минимальная длина PIN-кода: - 31 символ
  • PinHistoryDepth – Глубина истории PIN-кодов Пользователя: 0-10
  • AllowDefaultPinUsage – Разрешить использование PIN-кода по умолчанию: true/false
  • PinContainsDigit – PIN-код содержит цифры: true/false
  • PinContainsUpperLetter – PIN-код содержит прописные буквы: true/false
  • PinContainsLowerLetter – PIN-код содержит строчные буквы: true/false
  • PinContainsSpecChar – PIN-код содержит спец. символы. chars: true/false
  • RestrictOneCharPin – Запретить PIN-код из повторяющегося символа: true/false
  • AllowChangePinPolicy – Разрешить Администратору менять политики PIN-кодов: true/false
  • RemovePinPolicyAfterFormat – Удалять политики PIN-кодов при форматировании: true/false
Устройства Рутокен ЭЦП 3.0 поддерживают работу с расширенными политиками PIN-кодов Пользователя. Опция --set-expp позволяет устанавливать политики PIN-кодов
26 Просмотр информации о подключенном Рутокене -T Вывод информации в о подключённом устройстве в виде: Серийный номер: dec Модель: Rutoken ECP\ Rutoken lite Память: dec в КБ/dec в КБ (свободная/всего) Длина PIN-кода Пользователя: dec/dec (мин/макс) Длина PIN-кода Администратора: dec/dec (мин/макс) Попытки ввода PIN-кода Пользователя: dec/dec (осталось/всего) Попытки ввода PIN-кода Администратора: dec/dec (осталось/всего)
27 Показать версию приложения -v, --version -
Параметры для управления флеш-памятью (Рутокен Flash)
27 Разбиение Flash-памяти на разделы (форматирование) Внимание! Форматирование удалит всю информацию с Flash-памяти. Сделайте копию важной информации - после форматирования ее будет невозможно восстановить. -F [идентификатор раздела (1-8)] [размер в Мб] [владелец: a - администратор, u - пользователь, l3-l9 - локальный пользователь] [права доступа: ro, rw, hi, cd] 1 весь объем (1DDC сейчас) a rw Один параметр используется для одного раздела. Чтобы создать много разделов используется последовательность команд -F. Для создания раздела необходим PIN-код администратора. Если он не указан, то будет использован PIN-код по умолчанию
28 Изменение прав доступа -C [идентификатор раздела (1-8)] [новые права доступа: ro, rw, hi, cd] [долговременность: p - постоянное изменение, t - временное] Для изменения прав используется PIN-код владельца раздела. Если PIN-код не указан, а владельцем раздела является администратор или пользователь, то будет использован PIN-код по умолчанию. Если владельцем раздела является локальный пользователь, а его PIN-код не был указан с использованием команды -O, то произойдет ошибка
29 Получение информации о размере Flash-памяти и атрибутах разделов -i [a - атрибуты всех разделов] [1-8 - атрибуты конкретного раздела] [sz - объем памяти] Формат ответа – аналогично п. 27 Разбиение Flash-памяти на разделы (форматирование): [идентификатор раздела (1-8)] [размер в Мб] [владелец: a - администратор, u - пользователь, l3-l9 - локальный пользователь] [права доступа: ro, rw, hi, cd] sz
Параметры для управления локальными пользователями
30 Устанавливаемый PIN-код локального пользователя -B [идентификатор локального пользователя (l3-l9)] [PIN-код] -
31 Текущий PIN-код пользователя -O [идентификатор локального пользователя (l3-l9)] [PIN-код] Если PIN-код для данного пользователя не определен, текущий PIN-код указывать не нужно

Если при форматировании пользователь не задаст новые PIN-коды, то установятся пин-коды по умолчанию. Параметры командной строки можно передать при помощи конфигурационного файла.

Форматирование

Утилита выполняет поточное форматирование токена:

  1. Пользователь настраивает конфигурационный файл или задаёт опции в командной строке и запускает утилиту.
  2. Происходит форматирование обнаруженных токенов. Результаты заносятся в лог-файл. Утилита ожидает подключения нового устройства или команды о завершении работы.
  3. Результат форматирования записывается в лог.

Утилита позволяет:

  • запускать форматирование токена с автоматической генерацией PIN-кода заданной длины;
  • задавать разным токенам одинаковые PIN-коды;
  • автоматически генерировать PIN-код в кодировке UTF-8;
  • работать с PIN-кодами, которые были сгенерированы в другой утилите. Для этого в настройках требуется указать файл, где хранится перечень созданых PIN-кодов с символом перевода строки в качестве разделителя. PIN-коды должны храниться парами, например:
    • userpin
    • adminpin
    • userpin2
    • adminpin2

Смена PIN-кода

PIN-код можно изменить под учётной записью пользователя или администратора. Это зависит от параметров, которые были указаны при форматировании. Результат смены PIN-кода записывается в лог. Если авторизация не произошла, в лог-файл записывается ошибка,

Автор Свободный автор Астрал

Свободный автор Астрал

Комментарии для сайта Cackle

Продукты по направлению

Рутокен Lite

Защищенный носитель закрытых ключей электронной подписи для электронного документооборота

JaCarta LT

Сертифицированный ФСТЭК USB-токен  электронной подписи

JaCarta-2 SE

Сертифицированный ФСБ и ФСТЭК USB-токен для работы в ЕГАИС

Оставить заявку

Еще не определились? Напишите нам и мы ответим на Ваши вопросы

/local/templates/astral/img/form/feedback.png
Не пора ли обновиться?
Проверьте вашу версию КриптоПро
в два клика
Проверить
{{FORM-FEEDBACK1 data-uname="3" data-color-brand="indigo" data-display="INLINE" data-button-text="Купить в 1 клик"}}
Чтобы увидеть больше наших решений,
загляните в Каталог
Поможем с получением электронной подписи (КЭП ФНС) без посещения инспекции
Сдать отчетность без ошибок помогут
сервисы «Астрал Отчёт 5.0» и «1С-Отчётность»
Они имеют встроенный редактор форм, поэтому вы точно сможете заполнить данные верно. Также сервисы позволяют сдавать отчётность из любого места, где бы вы не находились.
Превысили 60 млн ₽?
Готовьтесь платить НДС: что ждет упрощенцев в 2025 году
Узнать
Скачайте программу Астрал Помощник
для подготовки ПК к работе с электронной подписью
Никаких скрытых платежей!
3 минуты — и готово! Скачайте бесплатную программу Астрал Помощник и начните работу
с электронной подписью прямо сейчас

У вас есть вопросы?

Хотите разобраться
в сервисах Астрал?

Подробные инструкции,
решения проблем
и ответы на вопросы
в Базе знаний

Зарегистрируйте бизнес онлайн за 15 минут
Зарегистрировать бизнес
Оформляйте, подписывайте и обменивайтесь документами с контрагентами без дублирования на бумаге
Попробуйте сервис Доки —3 месяца бесплатно!
autohello-finger