3.4.19.2 Поддержка российских сертификатов безопасности
Скачать документ Сертификаты ТЦИ
Настройка цепочки доверия TLS-сертификатов ГОСТ
Окружение
- Версия РЕД ОС: 8
- Конфигурация: Рабочая станция, Сервер графический
- Версия ПО: ca-certificates-ru-2022-8
SSL-сертификат – это цифровой сертификат, удостоверяющий подлинность веб-сайта и позволяющий использовать зашифрованное соединение. SSL (Secure Sockets Layer) – это протокол безопасности, создающий зашифрованное соединение между веб-сервером и веб-браузером.
Компаниям необходимо добавлять SSL-сертификаты на веб-сайты для обеспечения конфиденциальности и безопасности клиентских данных.
В РЕД ОС обеспечена поддержка российских сертификатов безопасности, предоставленных удостоверяющим центром сертификации Минцифры России. Пакет ca-certificates-ru
, содержащий комплект корневых сертификатов ЦС России, по умолчанию предустановлен в РЕД ОС. Привязка сертификатов в браузерах Chromium, Firefox, Яндекс.Браузер происходит автоматически.
Вы можете подробнее ознакомиться с установкой и настройкой сертификатов безопасности, просмотрев наши обучающие видео:
на RuTube — Поддержка российских SSL-сертификатов в РЕД ОС;
в Яндекс.Дзен — Поддержка российских SSL-сертификатов в РЕД ОС;
в VK Видео — Поддержка российских SSL-сертификатов в РЕД ОС.
На наших каналах вы также сможете найти много другой полезной информации.
Сертификаты ТЦИ
В состав пакета ca-certificates-ru
также входят корневые сертификаты Центра сертификации ТЦИ.
Центр сертификации ТЦИ — это организация, которая выпускает TLS-сертификаты для веб-ресурсов (сайтов, платформ и т.п.).
TLS-сертификаты являются важным инструментом, обеспечивающим безопасность пользователей сети Интернет. Они представляют собой аналог цифровой подписи для веб-ресурса, т.е. подтверждают его подлинность и позволяют организовать доверенный, защищённый канал обмена данными, обеспечивая их сохранность и невозможность перехвата.
Центр сертификации ТЦИ выпускает сертификаты с методами шифрования ECDSA и ГОСТ. Оба метода очень похожи между собой и имеют более высокую скорость шифрования по сравнению с RSA, но технически имеют различия в математической модели криптографических параметров. ECDSA-сертификаты можно использовать при типовых настройках без изменений на сервере и клиенте, а ГОСТ-сертификаты популяризируют отечественную криптографию.
Настройка цепочки доверия TLS-сертификатов ГОСТ
Для настройки использования в РЕД ОС TLS-сертификатов с методом шифрования по ГОСТ выполните следующие действия:
1. Обновите пакет ca-certificate-ru
:
dnf update ca-certificate-ru
2. Установите криптопровайдер КриптоПро CSP 5.0 согласно нашей инструкции «Установка КриптоПро CSP 5.0».
Обратите внимание, что на втором шаге при определении набора установки необходимо выбрать пункт «Импортировать корневые сертификаты ОС», т.к. КриптоПро CSP по умолчанию НЕ использует хранилище корневых сертификатов из ОС.
Без установки указанного параметра «Импортировать корневые сертификаты ОС» ГОСТ-сертификат ТЦИ работать не будет!
Для доступа к сайтам с ГОСТ-сертификатом можно пользоваться штатным браузером Chromium или Яндекс.
Проверка работоспособности
Для проверки корректной работы сертификатов Минцифры в ОС можно перейти по ссылке https://fias.egisz.rosminzdrav.ru/. Если сайт открыт без предупреждений о небезопасном соединении, значит все настроено верно.
Проверку корректной настройки TLS-сертификата с методом шифрования ГОСТ можно осуществить на тестовой странице ТЦИ https://gost.tlscc.ru/.
Дата последнего изменения: 06.11.2024
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.