{{define "content"}}
<p style="margin-bottom:16px"><a href="/admin/help">← все инструкции</a></p>

<div class="card">
  <h2>КриптоПро и Рутокен</h2>
  <p class="muted">Bridge-and-Join-s использует ГОСТ Р 34.10-2012 для подписи и проверки XMLDSig. Серверная криптография — КриптоПро CSP. Подпись оператора в admin-ui — Рутокен ЭЦП 2.0 (опционально). Оба продукта говорят со стандартным интерфейсом PKCS#11, поэтому Go-клиент общается с ними одинаково.</p>
</div>

<div class="card">
  <h2>1. Что и зачем нужно</h2>
  <table>
    <thead><tr><th>Сценарий</th><th>СКЗИ</th><th>Цена (ориентир)</th></tr></thead>
    <tbody>
      <tr><td>Проверка XMLDSig входящих от НРД и брокеров</td><td>КриптоПро CSP «Сервер»</td><td>~30-50к ₽ (один раз)</td></tr>
      <tr><td>Подпись пакетов в НРД (резервный канал WS ONYX)</td><td>КриптоПро CSP «Сервер»</td><td>включено</td></tr>
      <tr><td>Подпись действий оператора в admin-ui</td><td>Рутокен ЭЦП 2.0 + лицензия CSP «Рабочее место»</td><td>~3-5к ₽ железо + ~2-3к ₽ лицензия</td></tr>
      <tr><td>Проверка XMLDSig заявлений от ЛК</td><td>КриптоПро CSP «Сервер»</td><td>включено</td></tr>
    </tbody>
  </table>
  <p class="muted">Если используется Интеграционный шлюз НРД (ИШ), он сам подписывает пакеты — наша серверная подпись нужна только для резервного канала ONYX и подписи действий оператора. Можно начать с минимума: только Рутокен оператора и отложить серверную лицензию.</p>
</div>

<div class="card">
  <h2>2. Установка КриптоПро CSP на РЕД ОС</h2>
  <p>Скачать дистрибутив с <code>www.cryptopro.ru</code> (Linux x86_64).</p>
  <pre>sudo rpm -i cprocsp-rdr-gui-gtk-64-5.0.*.rpm \
            cprocsp-rdr-64-5.0.*.rpm \
            cprocsp-ca-certs-64-5.0.*.rpm \
            lsb-cprocsp-base-5.0.*.rpm \
            lsb-cprocsp-rdr-64-5.0.*.rpm</pre>
  <p>Активация лицензии:</p>
  <pre>sudo /opt/cprocsp/sbin/amd64/cpconfig -license -set XXXX-XXXXX-XXXXX-XXXXX-XXXXX</pre>
  <p>Проверка:</p>
  <pre>/opt/cprocsp/sbin/amd64/cpconfig -license -view
/opt/cprocsp/bin/amd64/csptest -keyset -enum -unique</pre>
</div>

<div class="card">
  <h2>3. Установка на Ubuntu / Debian</h2>
  <pre>sudo dpkg -i cprocsp-rdr-gui-gtk-64_5.0.*_amd64.deb \
             cprocsp-rdr-64_5.0.*_amd64.deb \
             lsb-cprocsp-base_5.0.*_all.deb \
             lsb-cprocsp-rdr-64_5.0.*_amd64.deb
sudo apt-get install -f
sudo /opt/cprocsp/sbin/amd64/cpconfig -license -set XXXX-XXXXX-XXXXX-XXXXX-XXXXX</pre>
</div>

<div class="card">
  <h2>4. PKCS#11 модуль</h2>
  <p>Путь к библиотеке после установки:</p>
  <pre>/opt/cprocsp/lib/amd64/libcppkcs11.so</pre>
  <p>Эта же библиотека работает и с CSP-ключами (контейнеры на диске или в реестре), и с Рутокен ЭЦП 2.0 (подключённым по USB или в виде smart-card reader).</p>
  <p>На <a href="/admin/setup">странице «Настройка»</a> в карточке «Криптография» укажите:</p>
  <ul>
    <li><strong>Провайдер</strong>: <code>cryptopro</code></li>
    <li><strong>UDS-сокет</strong>: <code>/run/bj/crypto.sock</code> (для legacy crypto-service на Java — на M2+ переходим на Go-клиент напрямую через PKCS#11)</li>
    <li><strong>Путь к jcp.jar / PKCS#11</strong>: <code>/opt/cprocsp/lib/amd64/libcppkcs11.so</code></li>
    <li><strong>Лицензионный ключ</strong>: серийный номер CSP</li>
  </ul>
</div>

<div class="card">
  <h2>5. Подключение Рутокен ЭЦП 2.0</h2>
  <p>Подключите Рутокен в USB. Драйверы КриптоПро CSP уже включают поддержку Рутокен:</p>
  <pre># увидеть подключённые токены
/opt/cprocsp/bin/amd64/csptest -card -enum

# увидеть ключевые контейнеры на токене
/opt/cprocsp/bin/amd64/csptest -keyset -enum -unique</pre>
  <p>Для подписи действий оператора в admin-ui:</p>
  <ol>
    <li>Запросить сертификат на физлицо у УЦ (через личный кабинет КриптоПро или через АРМ оператора УЦ).</li>
    <li>Записать сертификат и контейнер на Рутокен.</li>
    <li>На <a href="/admin/setup">странице «Настройка»</a> в карточке «Криптография» выбрать провайдер <code>cryptopro</code> и указать слот Рутокен.</li>
  </ol>
</div>

<div class="card">
  <h2>6. Импорт сертификата</h2>
  <pre># сертификат корневого УЦ (если ещё нет в системе)
/opt/cprocsp/bin/amd64/certmgr -inst -store mroot -file /path/to/root-ca.cer

# сертификат подписанта (контейнер на токене)
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\\.\HDIMAGE\my-keys' \
    -file /path/to/operator.cer

# проверить установленные сертификаты
/opt/cprocsp/bin/amd64/certmgr -list -store uMy</pre>
</div>

<div class="card">
  <h2>7. Тестирование подписи</h2>
  <p>Через CLI КриптоПро (быстрая проверка что криптография работает):</p>
  <pre># подписать произвольный файл
/opt/cprocsp/bin/amd64/cryptcp -signf -dn 'CN=Иванов И.И.' \
    -det -strict /tmp/test.txt

# проверить подпись
/opt/cprocsp/bin/amd64/cryptcp -vsignf -det /tmp/test.txt /tmp/test.txt.sgn</pre>
  <p>Через нашу систему — раздел <a href="/admin/setup">Настройка</a> → кнопка «Запустить тестовую заявку». На странице «Заявка» появится результат и расшифровка проверки подписи.</p>
</div>

<div class="card">
  <h2>8. Поддержка</h2>
  <ul>
    <li>Документация КриптоПро: <code>www.cryptopro.ru/products/csp</code></li>
    <li>Установка на РЕД ОС: <code>www.cryptopro.ru/forum2/default.aspx?g=topics&f=43</code></li>
    <li>Технические вопросы: <code>support@cryptopro.ru</code></li>
    <li>Рутокен: <code>dev.rutoken.ru/display/PUB/Rutoken+EDS</code></li>
  </ul>
  <p class="muted">При проблемах с лицензией сначала проверьте <code>cpconfig -license -view</code> — лицензия должна быть валидна и не просрочена. Срок действия КриптоПро лицензии — обычно 1 год.</p>
</div>
{{end}}