Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline GraDus59  
#1 Оставлено : 23 сентября 2021 г. 13:10:16(UTC)
GraDus59

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.08.2021(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Я установил phpcades и csp 5.0. (linux)
Создал контейнер.
Код:
/opt/cprocsp/bin/amd64/csptest -keyset -provtype 80 -newkeyset -cont '\\.\HDIMAGE\test5'

Есть 2 сертефиката http://joxi.ru/MAj5E7dh1LMvE2
Установил их попросту не в контейнер.
В контейнер пытался падает ошибка
Цитата:
Failed to install certificate
Public keys in certificate and container are not identical

The requested certificate does not exist.

Я пытался вывести их через классы cades не выводятся.

Пытался подписать тоже ошибка.

Я разраб, мне нужно понять цепочку действий и донести это клиенту, что тот захотел купить криптоПро.
И все это в GUI вывести через API. А я завис на том, что сертефикаты в контейнер положить не могу и подписать.
Что сертефикаты не вижу через методы cades.
Очень прошу помощи. Разжуйте если я не так понимаю, можете бить) Но помогите.
Offline two_oceans  
#2 Оставлено : 24 сентября 2021 г. 6:58:31(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,342
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 312 раз в 294 постах
Эти 2 сертификата - сертификаты самого УЦ, а устанавливать в контейнер надо уже Ваш сертификат, сделанный УЦ специально для Вашего контейнера.

С этими 2 сертификатами: сейчас похоже они в хранилище uMy, которое показывается по умолчанию и это несколько неправильно, может создать проблемы построения цепочки сертификатов в дальнейшем. Тот что головной/головной надо установить в хранилище Root (mRoot как правило - для всех пользователей, из-под суперпользователя или sudo), тот что подчиненный - в CA (mCA).

Далее делаете на основе контейнера запрос к УЦ (точной команды в консоли не подскажу, обычно делаю через веб-интерфейс). Важно чтобы именно к УЦ, для которого у Вас эти 2 сертификата, потому что тестовых УЦ Крипто Про несколько и можно в них запутаться. В веб-интерфейсе еще обычно просит зарегистрироваться перед выпуском сертификатов, возможно для выполнения консольной команды также понадобится заранее зарегистрироваться, а в команде указать логин пароль.

В итоге операций должен получиться Ваш сертификат - обычно тестовый УЦ выдает сертификат на 3 месяца. Вот его уже можно пробовать установить в контейнер, в хранилище uMy и т.д.
thanks 1 пользователь поблагодарил two_oceans за этот пост.
GraDus59 оставлено 25.09.2021(UTC)
Offline GraDus59  
#3 Оставлено : 27 сентября 2021 г. 6:20:47(UTC)
GraDus59

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.08.2021(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Автор: two_oceans Перейти к цитате
Эти 2 сертификата - сертификаты самого УЦ, а устанавливать в контейнер надо уже Ваш сертификат, сделанный УЦ специально для Вашего контейнера.

С этими 2 сертификатами: сейчас похоже они в хранилище uMy, которое показывается по умолчанию и это несколько неправильно, может создать проблемы построения цепочки сертификатов в дальнейшем. Тот что головной/головной надо установить в хранилище Root (mRoot как правило - для всех пользователей, из-под суперпользователя или sudo), тот что подчиненный - в CA (mCA).

Далее делаете на основе контейнера запрос к УЦ (точной команды в консоли не подскажу, обычно делаю через веб-интерфейс). Важно чтобы именно к УЦ, для которого у Вас эти 2 сертификата, потому что тестовых УЦ Крипто Про несколько и можно в них запутаться. В веб-интерфейсе еще обычно просит зарегистрироваться перед выпуском сертификатов, возможно для выполнения консольной команды также понадобится заранее зарегистрироваться, а в команде указать логин пароль.

В итоге операций должен получиться Ваш сертификат - обычно тестовый УЦ выдает сертификат на 3 месяца. Вот его уже можно пробовать установить в контейнер, в хранилище uMy и т.д.


То есть, я верно понимаю?! Для начала ставим цепочку цертефикатов УЦ. (А что если 3 сертефиката в цепочки, куда ставить их правильно или их всегда 2?)
Один ставим в uRoot второй в uCA, верно? У меня 2 пользователя root и bitrix, нужно ставить под каким пользователем? Методы cades вызываются в bitrix

С командой конечно тоже помощь нужна.. Делаю запрос у УЦ и он отдает 1 сертефикат, который ставлю под bitrix пользователем в контейнер и создаю подписи различных пользователей.

Верно общую нить уловил?
Offline two_oceans  
#4 Оставлено : 27 сентября 2021 г. 6:58:35(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,342
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 312 раз в 294 постах
Автор: GraDus59 Перейти к цитате
То есть, я верно понимаю?! Для начала ставим цепочку цертефикатов УЦ. (А что если 3 сертефиката в цепочки, куда ставить их правильно или их всегда 2?)
Как правило 2, если вдруг больше, то корневой (Root) по смыслу должен идти один (у него совпадают кто выдал и кому выдал), остальные по идее промежуточные (несовпадает кто выдал и кому выдал) в CA.
Автор: GraDus59 Перейти к цитате
Один ставим в uRoot второй в uCA, верно? У меня 2 пользователя root и bitrix, нужно ставить под каким пользователем? Методы cades вызываются в bitrix
Правильно, разве что сертификаты УЦ обычно для боевых сертификатов ставят в mRoot mCA (подразумевается, что сертификаты УЦ в норме должны ставить администраторы - для всех пользователей). С тестовыми конечно можно и поосторожнее установить в uRoot uCA (под bitrix), но некоторые программы могут "удивиться", обнаружив сертификаты не там.
Автор: GraDus59 Перейти к цитате
С командой конечно тоже помощь нужна.. Делаю запрос у УЦ и он отдает 1 сертефикат, который ставлю под bitrix пользователем в контейнер и создаю подписи различных пользователей.

Верно общую нить уловил?
Что то тут уже смешиваются пользователь ОС и пользователи программы. В общем верно, но если будут подписывать несколько человек, то как правило для каждого нужно повторить "создание контейнера - получение сертификата в УЦ - установку сертификата". Полагаю, что тогда контейнеры и сертификаты все будут под bitrix, а уже внутри программы, что запрашивает cades будет как-то разруливаться какому человеку (пользователю программы) какой сертификат разрешено использовать (или отобразите все сертификаты для выбора). Это все предполагая, что все подписывается на сервере.

Другой вариант, если cades будет на клиенте. Тогда контейнеры и сертификаты на клиенте и на сервере ничего не видно.
thanks 1 пользователь поблагодарил two_oceans за этот пост.
GraDus59 оставлено 27.09.2021(UTC)
Offline GraDus59  
#5 Оставлено : 27 сентября 2021 г. 7:17:30(UTC)
GraDus59

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.08.2021(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Цитата:
сертификаты УЦ


http://testca2012.cryptopro.ru/ использую этот уц, но он видимо уже не функционирует, можете подсказать мне другой УЦ для тестовой разработки, от пару ссылок боевых тоже бы не отказался
Offline two_oceans  
#6 Оставлено : 27 сентября 2021 г. 7:50:49(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,342
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 312 раз в 294 постах
https://www.cryptopro.ru/solutions/test-ca

Разве не действует? На главной странице там понятно заглушка как будто ничего нет, надо заходить по прямой ссылке. Вот по этой ссылке что-то отобразилось http://testca2012.cryptopro.ru/ui/ дальше перебрасывает на защищенное соединение (как я понимаю, должны быть установлены сертификаты УЦ, плюс браузер с поддержкой гост).
thanks 1 пользователь поблагодарил two_oceans за этот пост.
GraDus59 оставлено 27.09.2021(UTC)
Offline GraDus59  
#7 Оставлено : 27 сентября 2021 г. 19:16:37(UTC)
GraDus59

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.08.2021(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Автор: two_oceans Перейти к цитате
https://www.cryptopro.ru/solutions/test-ca

Разве не действует? На главной странице там понятно заглушка как будто ничего нет, надо заходить по прямой ссылке. Вот по этой ссылке что-то отобразилось


установил сертефикат корневой в uRoot, а доп в uMy

Выбрасывает 0x80090016 “Неправильный зарегистрированный набор ключей” при попытке отправить команду на получение личного сертефиката из консоли.

Как на существующий контейнер так и на не существующий.

Код:
cryptcp -creatrqst -dn "CN=Иванов Иван Иванович,SN=Иванов,G=Иван Иванович,E=yar***@yandex.ru,C=RU,L=Пермь,ST=39 Пермский кр,street=Пр-т Мира 14 кв.3,SNILS=102301111222,INN=11223344556" -provtype 80 -nokeygen -cont '\\.\HDIMAGE\test99' -certusage "1.3.6.1.5.5.7.3.2"  test99.csr


*** скрыл почту, остальные демо данные

Автор: two_oceans Перейти к цитате

http://testca2012.cryptopro.ru/ui/ дальше перебрасывает на защищенное соединение (как я понимаю, должны быть установлены сертификаты УЦ, плюс браузер с поддержкой гост).


Я работаю из консоли, там нет возможности работать с сайтом через браузер. А на компьютер я поставил csp 5.0 и плагин на хром, но плагин все равно не видит csp.
Offline GraDus59  
#8 Оставлено : 27 сентября 2021 г. 19:19:03(UTC)
GraDus59

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.08.2021(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Код:
certmgr -inst -store uRoot -file rootca.cer


Код:
certmgr -inst -store uMy -file subca.cer


Команды которыми поставил сертефикаты, поставились успешно.
Offline Андрей *  
#9 Оставлено : 27 сентября 2021 г. 20:34:19(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,562
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1586 раз в 1221 постах
subca ставятся в uCA
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
GraDus59 оставлено 27.09.2021(UTC)
Offline Андрей *  
#10 Оставлено : 27 сентября 2021 г. 20:35:15(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,562
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1586 раз в 1221 постах
uRoot (один) -> uCA (0,1,несколько) -> uMy
цепочка сертификатов
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
GraDus59 оставлено 27.09.2021(UTC)
Offline GraDus59  
#11 Оставлено : 27 сентября 2021 г. 20:55:15(UTC)
GraDus59

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.08.2021(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Автор: Андрей * Перейти к цитате
uRoot (один) -> uCA (0,1,несколько) -> uMy
цепочка сертификатов


поставил второй в uCA ошибка та же на получении
Offline two_oceans  
#12 Оставлено : 28 сентября 2021 г. 3:03:05(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,342
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 312 раз в 294 постах
Автор: GraDus59 Перейти к цитате
Выбрасывает 0x80090016 “Неправильный зарегистрированный набор ключей” при попытке отправить команду на получение личного сертефиката из консоли.

Как на существующий контейнер так и на не существующий.

Код:
cryptcp -creatrqst -dn "CN=Иванов Иван Иванович,SN=Иванов,G=Иван Иванович,E=yar***@yandex.ru,C=RU,L=Пермь,ST=39 Пермский кр,street=Пр-т Мира 14 кв.3,SNILS=102301111222,INN=11223344556" -provtype 80 -nokeygen -cont '\\.\HDIMAGE\test99' -certusage "1.3.6.1.5.5.7.3.2"  test99.csr
Скорее всего, имя контейнера указано неправильно, раз реакция одинаковая. Дело, вероятно, в особенностях баша, возможно надо какие-то символы экранировать. Возможно двойные кавычки поменять на одиночные или удвоить наклонные черты, что-то такое. Сверить с правильным написанием имен контейнеров также не помешает, бывает глаз замылится и в упор опечатку не видишь.
Код:
csptest -keyset -verifycontext -enum_containers
Это раз.
Автор: GraDus59 Перейти к цитате
Автор: two_oceans Перейти к цитате

http://testca2012.cryptopro.ru/ui/ дальше перебрасывает на защищенное соединение (как я понимаю, должны быть установлены сертификаты УЦ, плюс браузер с поддержкой гост).
Я работаю из консоли, там нет возможности работать с сайтом через браузер.
Обратите внимание на строку в странице по ссылке "FolderID папки для регистрации с помощью cryptcp или ИВП: b1ca4992-d7cd-4f7e-b56e-a81e00db58ee". Командой выше Вы пока создадите файл запроса, но еще не отправите его в УЦ. Даже утилите командной строки потом все равно понадобится в фоне подключиться к сайту (вероятно с логином паролем и/или FolderID - у меня нет свежей справки по утилите чтобы сказать точно). Это два.
Автор: GraDus59 Перейти к цитате
А на компьютер я поставил csp 5.0 и плагин на хром, но плагин все равно не видит csp.
Эм.. в современных браузерах "расширения" extensions, а не плагины. К слову, установка расширения не отменяет необходимости поставить еще и "плагин". Цепочка такая: страница в браузере обращается к расширению (для этого браузер должен расширение разрешить на этой странице), расширение через средства браузера обращается к плагину (браузер запускает исполняемый файл плагина в ОС с именем вроде chrome_host и дает расширению с ним общаться текстовыми сообщениями), плагин обращается к CSP. Точно установили обе части - и плагин и расширение?

Сам по себе хром даже с расширением шифрование соединения по гост не поддерживает, так что скорее речь о браузерах Яндекс, спутник, хромиум+гост.

Отредактировано пользователем 28 сентября 2021 г. 3:14:05(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.