Добрый день.
Нужно установить в систему корневой сертификат Ростелекома ca.root.crt
C Linux до сего дня не работал от слова совсем. Получили по программе импортозамещения ноутбуки Гравитон с предустановленной Calculate Linux. Версия ядра 5.10.53-calculate.
Помогите пожалуйста конкретными командами.
Как ставить сертификаты в Firefox & chromium хорошо написано на сайте госуслуг (Портал государственных услуг Российской Федерации)
Добрый день. Столкнулся с похожей проблемой. Зашел к нам Ростелеком со своими КФ. Теперь нужно перенастраивать сеть. Изменения нужно вносить в IP, затем proxy настраивать и добавлять сертификат.
С первыми 2 пунктами проблем не возникло(наверное).
Вот с сертификатом есть ньюансы.
Сам сертификат я через хром добавил, интернет пошел, но только в браузере.
Но перестало работать обновление, т.е. через команду cl-update я получаю : не удалось найти сервер обновлений, сервер бинарных обн-й и в итоге не удалось обновить.
Я подумал что может недостаточно добавить сертификат через хром, нужно именно системно, т.е. через терминал. Нашел похожую тему, попытался сделать по инструкции(Certificates - Gentoo wiki). В статье указано что нужно сертификат скопировать в папку по пути /usr/local/share/ca-certificates. Система ругается, что нет такого файла или каталога. Полез по этому пути и обнаружил, что у меня путь выглядит следующим образом /usr/share/ca-certificates. Изменил путь, сертификат скопировал, обновил(но это все на тестовой машине, завтра буду пробовать на рабочей)
Возникло 2 вопроса:
Сильно не ругайтесь, я только учусь. первый опыт работы с линуксом
Может как и в сертификате, так и в прокси. Вы каким образом указывали прокси ЕСПД?
Через графический интерфейс(настройка сети-прокси), не через терминал. Лучше прописывать через терминал?
Доброе утро.
Что-то не идет от слова совсем.
Сертификат скопировал, обновил, перезагрузил - обновление не заработало.
Полез в прокси:
root # export http_proxy="00.000.00.00:0000" # Для Portage и Links
root # export https_proxy="00.000.00.00:0000" # Только для Links
00.000.00.00:0000-соответственно сам ip адрес+порт прокси.
результата нет.
Что не так делаю? или чего не доделываю?
В браузере все норм, сейчас пишу с рабочей машины.
ДНС РосТелКом не дали, сказали не нужны.
Может поможет для анализирования
calculate administrator # ifconfig
enp0s31f6: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet xx.xxx.xx.xx netmask xxx.xxx.xxx.xxx broadcast xx.xxx.xx.xxx
inet6 fe80::c29b:f4ff:fe61:8b1d prefixlen 64 scopeid 0x20
ether c0:9b:f4:61:8b:1d txqueuelen 1000 (Ethernet)
RX packets 53873 bytes 25470899 (24.2 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 11343 bytes 1846013 (1.7 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 16 memory 0xa1100000-a1120000
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10
loop txqueuelen 1000 (Local Loopback)
RX packets 944 bytes 532934 (520.4 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 944 bytes 532934 (520.4 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Результат CURL
administrator@calculate ~ $ curl --location gentoo.org --output /dev/null
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:–:-- --:–:-- --:–:-- 0
0 0 0 0 0 0 0 0 --:–:-- --:–:-- --:–:-- 0
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: curl - SSL CA Certificates
curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the webpage mentioned above.
и пинг
calculate administrator # ping -c 3 gentoo.org
ping: gentoo.org: Временный сбой в разрешении имен
Что вернёт команда?
$ env | grep -i https
Уже убежал, после 2 часов смогу добавить результат
ИП адреса закрыл, не знаю, можно ли их транслировать, на всякий скрыл.
а на это стоит обращать внимание? насколько я понимаю ругается на сертификат
curl: (60) SSL certificate problem: unable to get local issuer certificate More details here: [curl - SSL CA Certificates](https://curl.se/docs/sslcerts.html)
Я получается только скопировал и все(наивный, думал этого достаточно).
Еще обратил внимание на то, что при выполнении:
# update-ca-certificates Updating certificates in /etc/ssl/certs... rehash: warning: skipping ca-certificates.crt, it does not contain exactly one certificate or CRL 1 added, 0 removed; done.
у меня было 0 added. Думал что так и должно быть, теперь буду знать.
Огромное спасибо. Буду пробовать.
Доброе утро.
calculate administrator # ls -l /usr/share/ca-certificates/
итого 16
-rw-r--r-- 1 root root 1017 окт 9 08:27 ca-root.crt
drwxr-xr-x 2 root root 12288 окт 9 08:35 mozilla
calculate administrator # openssl x509 -text -in /usr/share/ca-certificates/ca-root.crt --noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
8d:cc:97:5d:7b:9f:f5:fa
Signature Algorithm: ecdsa-with-SHA384
Issuer: C=RU, ST=78 Saint Petersburg, L=Moscow, O=PJSC "Rostelecom", CN=CA Root Social Objects
Validity
Not Before: Nov 6 01:50:45 2019 GMT
Not After : Nov 3 01:50:45 2029 GMT
Subject: C=RU, ST=78 Saint Petersburg, L=Moscow, O=PJSC "Rostelecom", CN=CA Root Social Objects
Subject Public Key Info:
Public Key Algorithm: id-ecPublicKey
Public-Key: (521 bit)
pub:
04:01:1b:2b:1a:02:b9:93:e9:32:60:05:34:81:37:
2e:3f:eb:df:38:73:de:e3:70:ae:80:76:67:76:9b:
10:a3:c8:c4:ea:f4:df:8a:a4:da:f8:8f:e8:64:ba:
74:62:bb:78:f3:b9:aa:00:63:06:05:18:f2:f6:06:
52:3a:6f:a8:66:83:ea:00:f5:db:a1:40:b0:46:b5:
3f:19:d5:a3:e3:56:dd:4a:38:8a:2c:56:39:16:e4:
87:df:9e:25:30:ef:f4:db:5c:21:5d:72:1b:bc:2c:
2d:75:50:27:49:7d:c5:3a:13:cd:94:e6:c0:9e:13:
ed:3a:09:a5:20:e8:72:46:ad:1b:d7:09:a4
ASN1 OID: secp521r1
NIST CURVE: P-521
X509v3 extensions:
X509v3 Subject Key Identifier:
B0:85:0F:F0:C5:31:AC:E6:89:C1:0F:39:B9:46:9B:78:B3:58:6C:41
X509v3 Authority Key Identifier:
B0:85:0F:F0:C5:31:AC:E6:89:C1:0F:39:B9:46:9B:78:B3:58:6C:41
X509v3 Basic Constraints:
CA:TRUE
Signature Algorithm: ecdsa-with-SHA384
Signature Value:
30:81:88:02:42:01:2c:5a:bc:76:79:aa:bc:14:25:ed:d3:3e:
f9:69:a5:c4:33:ba:56:d9:dc:eb:4d:95:b6:c4:6c:55:f2:3a:
c1:82:5d:cb:da:37:e1:a8:e4:c6:bd:36:7c:5a:98:b2:65:21:
37:fd:07:60:85:09:91:b9:7f:dc:ff:bf:75:f9:5e:fa:1f:02:
42:01:3c:30:20:ce:14:f9:f0:70:e4:07:b7:1f:ff:68:e0:03:
bf:89:2f:de:27:7b:a4:bd:f6:90:e2:09:0c:5c:55:94:76:92:
c1:d1:07:6f:d6:43:df:36:d3:8e:56:89:76:23:84:b7:47:d6:
e5:b1:f6:e2:9b:26:a8:ae:5a:62:c4:8e:bd
calculate administrator # update-ca-certificates
Updating certificates in /etc/ssl/certs...
0 added, 0 removed; done.
calculate administrator # ls -l /etc/ssl/certs | grep ca.root
почему-то не добавляется что ли
здесь:
calculate administrator # env | grep -i https
https_proxy=http://10.0.61.52:3128/
HTTPS_PROXY=http://10.0.61.52:3128/
все стало ровно
К сожалению нет.
administrator@calculate ~ $ cl-update
Синхронизация репозиториев
* Поиск нового сервера обновлений ...
* Не удалось найти рабочий сервер обновлений
* Не удалось найти сервер бинарных обновлений
* Не удалось обновить
По поводу каталога:
calculate administrator # ls -l /usr/local/share/ca-certificates/
ls: невозможно получить доступ к '/usr/local/share/ca-certificates/': Нет такого файла или каталога
Но если без “local” то все работает
Я имел ввиду что прокси стал и по команде выводится
Создал, добавил, обновил, но пока результата нет
calculate administrator # ls -l /etc/ssl/certs | grep ca.root
lrwxrwxrwx 1 root root 11 окт 10 08:49 73e21935.0 -> ca-root.pem
lrwxrwxrwx 1 root root 44 окт 10 08:49 ca-root.pem -> /usr/local/share/ca-certificates/ca-root.crt
Нет, не отключал ничего. сейчас как раз на ученических пробовал настраивать, а там как раз КФ и нужна. Попробую в ростелеком позвонить, может развеят/подтвердят блокировку данных адресов.
Возникла мысль одна, если взять на машине с виндой пинг и трасер запустить до адресов с обновлениями при включенном прокси, поможет это определить фильтрацию?
И еще, минутка наблюдений. Сегодня попробовал на других машинах проделать те же операции.
На одной машине делал все через терминал(т.е. прокси и сертификат) интернет не появился до тех пор, пока не настроил прокси в параметрах сети и сертификат в хроме.
На второй прокси через терминал, сертификат через браузер. Опять же, только когда донастроил прокси в параметрах не работало.
На третьей прокси настроил в параметрах, сертификат через терминал, и опять - пока не добавил сертификат в хром руками не запустилось.
Получается, что пока не пропишешь прокси в параметрах и не добавишь серт в браузере - интернет не работает.
Спасибо.
Но тут возникает ньюанс. Если машины ученические и авторизоваться через ГУ, то тогда теряется смысл КФ.
Отключение контентной фильтрации с рабочих мест административного и педагогического персонала(сайт Ростелекома)
Здесь наверное нужно пробовать составлять заявку на добавление в исключение или что-то подобное. К сожалению не смог сегодня дозвониться в местный ростелеком.
В любом случае огромное спасибо, много чего узнал и научился.
Подсел администратор, авторизовался системной, локальной ли, доменной ли УЗ, авторизовался в гос.услугах, выполнил обновление, разлогинился.
Такой вопрос, домена нет, локальные, если сделать 2 учетки, ученик и пусть будет админ. В админе если я авторизуюсь и разлогиниваться не буду на учетку ученика это же не должно распространяться?
Попробую завтра авторизоваться
Вы путаете отключение контентной фильтрации на постоянной основе (по конкретному IP-адресу) с временной разблокировкой после/ с помощью авторизации в гос.услугах.
Не просто путаю, я “плаваю” в этом вопросе(а точнее утопаю).
У нас же как, все нужно и сразу, с дедлайном вчера. вот и бегаешь как ошпаренный, толком не вникаешь, не знаешь за что хвататься.
Добрый день.
Что-то не удается мне подружиться с ЕСПД.
Я правильно понимаю алгоритм?
Для авторизации на ПК пользователь открывает интернет-браузер
и в адресной строке браузера вводит http://edu.gov.ru/
И по идее у меня должно появиться окно авторизации. Но у меня страница не загружается без указания прокси. А на сайте указано что нужно прокси отключить.
Что упускаю?
На сайте указано что отключить прокси нужно.
Для отключения контентной фильтрации Вам необходимо:
Привязать педагогических работников к образовательной организации согласно инструкции,
размещенной на портале Госуслуг (ЕСИА) по ссылке «Как присоединить к профилю компании сотрудников».
Настроить Ваш рабочий компьютер:
Отключить прокси-сервер на Вашем компьютере - Инструкция отключения прокси для авторизации на ЕСИА;
Убедиться в корректности сетевых настроек - Сетевые настройки;
Открыть браузер и пройти авторизацию через Госуслуги (ЕСИА) - Инструкция по авторизации
Пользователей через ЕСИА.
Ну да ладно. Если я с включенным прокси пытаюсь зайти, то вижу следующее:
Такая страница у меня высвечивается без сертификата(т.е. до его добавления в систему)
