Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline NewUserAgain  
#1 Оставлено : 21 ноября 2021 г. 15:50:59(UTC)
NewUserAgain

Статус: Участник

Группы: Участники
Зарегистрирован: 21.11.2021(UTC)
Сообщений: 19

Доброго времени суток.

В чем проблема:
В директории /var/opt/cprocsp/keys/service положили папку с 6 файлами *.key:

drwx------ 2 service service 4096 ноя 21 15:33 hkteqyok.000

[root@app2 hkteqyok.000]# ls -l
итого 24
-rw------- 1 service service 3639 ноя 21 12:11 header.key
-rw------- 1 service service 56 ноя 21 12:11 masks2.key
-rw------- 1 service service 56 ноя 21 12:11 masks.key
-rw------- 1 service service 12 ноя 21 12:11 name.key
-rw------- 1 service service 36 ноя 21 12:11 primary2.key
-rw------- 1 service service 36 ноя 21 12:11 primary.key

Установили права. Далее проверяю контейнеры:
csptest -keyset -enum_cont -verifycontext -fqcn
CSP (Type:80) v5.0.10003 KC1 Release Ver:5.0.11455 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 39035795
OK.
Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,050 sec
[ErrorCode: 0x00000000]

Контейнеров нет.

cpconfig -hardware reader -view

Nick name: FLASH
Connect name:
Reader name: FLASH

Nick name: HDIMAGE
Connect name:
Reader name: HDD key storage


openssl asn1parse -inform DER -in name.key
0:d=0 hl=2 l= 10 cons: SEQUENCE
2:d=1 hl=2 l= 8 prim: IA5STRING :hkteqyok



На эту тему натыкался: https://www.cryptopro.ru...aspx?g=posts&t=17118

Тестовый контейнер создается нормально.


rpm -qa | grep cprocsp

lsb-cprocsp-kc1-64-5.0.11455-5.x86_64
lsb-cprocsp-capilite-64-5.0.11455-5.x86_64
cprocsp-pki-cades-64-2.0.14071-1.x86_64
lsb-cprocsp-devel-5.0.11863-5.noarch
lsb-cprocsp-base-5.0.11455-5.noarch
lsb-cprocsp-ca-certs-5.0.11455-5.noarch
cprocsp-pki-phpcades-64-2.0.14071-1.x86_64
lsb-cprocsp-rdr-64-5.0.11455-5.x86_64
cprocsp-curl-64-5.0.11455-5.x86_64


Причем, до этого все работало. Сейчас же потребовалось обновить ключ и началось. Старый контейнер теперь тоже не видит, хотя старый сертификат в списке есть

certmgr --list
Certmgr 1.1 (c) "Crypto-Pro", 2007-2019.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer : E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=RU, S=76 Ярославская область, L=г. Ярославль, STREET="Московский проспект, д. 12", OU=Удостоверяющий центр, O="ООО ""КОМПАНИЯ ""ТЕНЗОР""", CN="ООО ""КОМПАНИЯ ""ТЕНЗОР"""
Subject : STREET="***, СТРОЕНИЕ **, ПОМЕЩЕНИЕ *", S=3 **, L=ГОРОД **, C=RU, G=***, SN=**, CN="ООО ""***""", T=ДИРЕКТОР, O="ООО ""***""", E=****, INN=***, SNILS=***, OGRN=**
Serial : ***
SHA1 Hash : ***
SubjKeyID : ***
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 01/10/2020 12:08:03 UTC
Not valid after : 01/01/2022 12:08:03 UTC
PrivateKey Link : No
OCSP URL : http://tax4.tensor.ru/oc...019_cp_gost2012/ocsp.srf
CA cert URL : http://tax4.tensor.ru/te...rca-2019_cp_gost2012.crt
CA cert URL : http://tensor.ru/ca/tensorca-2019_cp_gost2012.crt
CA cert URL : http://crl.tensor.ru/tax...rca-2019_cp_gost2012.crt
CA cert URL : http://crl2.tensor.ru/ta...rca-2019_cp_gost2012.crt
CA cert URL : http://crl3.tensor.ru/ta...rca-2019_cp_gost2012.crt
CDP : http://tax4.tensor.ru/te...rca-2019_cp_gost2012.crl
CDP : http://tensor.ru/ca/tensorca-2019_cp_gost2012.crl
CDP : http://crl.tensor.ru/tax...rca-2019_cp_gost2012.crl
CDP : http://crl2.tensor.ru/ta...rca-2019_cp_gost2012.crl
CDP : http://crl3.tensor.ru/ta...rca-2019_cp_gost2012.crl
Extended Key Usage : 1.2.643.2.2.34.25
1.2.643.2.2.34.26
1.2.643.2.2.34.6
1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.4
=============================================================================

[ErrorCode: 0x00000000]


Помогите, пожалуйста. Уже опускаются руки. Лицензия на сервере есть.
Offline Санчир Момолдаев  
#2 Оставлено : 21 ноября 2021 г. 15:57:52(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
Добрый день!
а что выдаст команда?
sudo -u service csptest -keyset -enum_cont -verifycontext -fqcn
Техническую поддержку оказываем тут
Наша база знаний
Offline NewUserAgain  
#3 Оставлено : 21 ноября 2021 г. 16:09:25(UTC)
NewUserAgain

Статус: Участник

Группы: Участники
Зарегистрирован: 21.11.2021(UTC)
Сообщений: 19

Автор: Санчир Момолдаев Перейти к цитате
Добрый день!
а что выдаст команда?
sudo -u service csptest -keyset -enum_cont -verifycontext -fqcn


sudo: csptest: command not found
Offline Андрей *  
#4 Оставлено : 21 ноября 2021 г. 17:26:47(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Автор: NewUserAgain Перейти к цитате
Автор: Санчир Момолдаев Перейти к цитате
Добрый день!
а что выдаст команда?
sudo -u service csptest -keyset -enum_cont -verifycontext -fqcn


sudo: csptest: command not found


предполагается, что пропишите путь к csptest сами, как в своём первом сообщении...
Техническую поддержку оказываем тут
Наша база знаний
Offline NewUserAgain  
#5 Оставлено : 21 ноября 2021 г. 18:04:45(UTC)
NewUserAgain

Статус: Участник

Группы: Участники
Зарегистрирован: 21.11.2021(UTC)
Сообщений: 19

Автор: Андрей * Перейти к цитате
Автор: NewUserAgain Перейти к цитате
Автор: Санчир Момолдаев Перейти к цитате
Добрый день!
а что выдаст команда?
sudo -u service csptest -keyset -enum_cont -verifycontext -fqcn


sudo: csptest: command not found


предполагается, что пропишите путь к csptest сами, как в своём первом сообщении...


Извиняюсь, думал важна именна эта команда.

Проблему с контейнерами удалось решить:

csptest -keyset -enum_cont -verifycontext -fqcn
CSP (Type:80) v5.0.10003 KC1 Release Ver:5.0.11455 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 24499091
\\.\HDIMAGE\yft2021g
\\.\HDIMAGE\hkteqyok
OK.
Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,040 sec
[ErrorCode: 0x00000000]

Перенес ключи в папку deploy, вместо service.

Сейчас проблема в том, что через PHP я вижу только старый сертификат, хотя через certmgr --list я вижу оба сертификата. Не понимаю, что еще упускаю
Offline Санчир Момолдаев  
#6 Оставлено : 21 ноября 2021 г. 18:33:21(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
теперь смотрите от кого запущен php
установите сертификаты с привязкой
sudo -u NAME ...../csptest -absorb -certs -autoprov

Отредактировано пользователем 22 ноября 2021 г. 11:40:03(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline NewUserAgain  
#7 Оставлено : 21 ноября 2021 г. 18:38:20(UTC)
NewUserAgain

Статус: Участник

Группы: Участники
Зарегистрирован: 21.11.2021(UTC)
Сообщений: 19

Автор: Санчир Момолдаев Перейти к цитате
теперь смотрите от кого запущен php
установите сертификаты с привязкой
sudo -u NAME ...../csptest -absorb -certs


PHP запущен от service.

sudo -u service /opt/cprocsp/bin/amd64/csptest -absorb -certs
Match: HDIMAGE\\yft2021g.000\088D
OK.
Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,050 sec
[ErrorCode: 0x00000000]

Установить, в смысле выполнить копирование в директорию service?
Offline NewUserAgain  
#8 Оставлено : 21 ноября 2021 г. 18:41:20(UTC)
NewUserAgain

Статус: Участник

Группы: Участники
Зарегистрирован: 21.11.2021(UTC)
Сообщений: 19

sudo -E -u service /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -file /home/deploy/Untitled.cer -cont '\\.\HDIMAGE\yft2021g.000'
Certmgr 1.1 (c) "Crypto-Pro", 2007-2019.
program for managing certificates, CRLs and stores

Installing:
=============================================================================
1-------
Issuer : E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=RU, S=76 Ярославская область, L=г. Ярославль, STREET="Московский проспект, д. 12", OU=Удостоверяющий центр, O="ООО ""КОМПАНИЯ ""ТЕНЗОР""", CN="ООО ""КОМПАНИЯ ""ТЕНЗОР"""
Subject : S=11 РЕ
Serial : 0x01BEBEE00
SHA1 Hash : 019ab44
SubjKeyID : 7
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 24/11/2020 13:28:16 UTC
Not valid after : 24/02/2022 13:28:16 UTC
PrivateKey Link : No
OCSP URL : http://tax4.tensor.ru/oc...019_cp_gost2012/ocsp.srf
CA cert URL : http://tax4.tensor.ru/te...rca-2019_cp_gost2012.crt
CA cert URL : http://tensor.ru/ca/tensorca-2019_cp_gost2012.crt
CA cert URL : http://crl.tensor.ru/tax...rca-2019_cp_gost2012.crt
CA cert URL : http://crl2.tensor.ru/ta...rca-2019_cp_gost2012.crt
CA cert URL : http://crl3.tensor.ru/ta...rca-2019_cp_gost2012.crt
CDP : http://tax4.tensor.ru/te...rca-2019_cp_gost2012.crl
CDP : http://tensor.ru/ca/tensorca-2019_cp_gost2012.crl
CDP : http://crl.tensor.ru/tax...rca-2019_cp_gost2012.crl
CDP : http://crl2.tensor.ru/ta...rca-2019_cp_gost2012.crl
CDP : http://crl3.tensor.ru/ta...rca-2019_cp_gost2012.crl
Extended Key Usage : 1.2.643.2.2.34.25
1.2.643.2.2.34.26
1.2.643.2.2.34.6
1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.4
=============================================================================
Failed to open container \\.\HDIMAGE\yft2021g.000

Не удается найти указанный файл.
[ErrorCode: 0x00000002]
Offline NewUserAgain  
#9 Оставлено : 21 ноября 2021 г. 18:44:53(UTC)
NewUserAgain

Статус: Участник

Группы: Участники
Зарегистрирован: 21.11.2021(UTC)
Сообщений: 19

Автор: Санчир Момолдаев Перейти к цитате
теперь смотрите от кого запущен php
установите сертификаты с привязкой
sudo -u NAME ...../csptest -absorb -certs


Огромное спасибо, все получилось. В итоге не знаю, насколько правильно, файлы лежат и в deploy и service. Все работает
Offline Санчир Момолдаев  
#10 Оставлено : 21 ноября 2021 г. 18:46:52(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
в /tmp файл сертификата закиньте. один пользователь обычно не может заглянуть в хоум другого.

csptest -absorb -certs -autoprov
устанавливает со всех доступных носителей. скорее всего уже установилось.

от php пользователя сделайте certmgr -list

Отредактировано пользователем 22 ноября 2021 г. 11:40:29(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
4 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.