Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline r_alexey  
#1 Оставлено : 2 августа 2016 г. 15:05:56(UTC)
r_alexey

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.08.2016(UTC)
Сообщений: 1
Российская Федерация

Добрый день,
Возникла необходимость в использовании КриптоПро CSP на Linux (Suse SLES 11 SP3).
Успешно выполнил установку, перенес контейнер с закрытым ключом.
Проверка контейнера проходит успешно.
csptest -keyset -check -cont '\\.\HDIMAGE\afd0ddd7-0739-4783-8555-ba64167c320e'
CSP (Type:75) v3.6.5364 KC1 Release Ver:3.6.7491 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 6644755
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KC1 CSP
Container name: "afd0ddd7-0739-4783-8555-ba64167c320e"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x6ca2f3
Check container passed.
Check sign passed.
Check import passed.
Certificate in container matches AT_KEYEXCHANGE key.
Keys in container:
exchange key
Total:
[ErrorCode: 0x00000000]


Импортировал сертификат.
Команда certmgr --list
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
...удалено...
Not valid before : 19/01/2015 05:33:10 UTC
Not valid after : 18/01/2017 05:33:10 UTC
PrivateKey Link : Yes. Container : HDIMAGE\\afd0ddd7.000\D119
=============================================================================

показывает, что сертификат связан с закрытым ключом.

Теперь перехожу к ошибке.
Команды расшифрования и подписи, запускаемые без указания файла сертификата выполняются успешно:
cryptcp -decr -nochain -pin *** 1.csv.p7m 1.csv.p7s
cryptcp -sign -pin *** -nochain 1.csv 1.csv.p7s
С ключом -dn также все работает.

А вот как только я использую ключ -f с указанием файла сертификата, вываливается ошибка:
Error: Can not get certificate private key.
/dailybuilds/CSPbuild/CSP/samples/CPCrypt/Encr.cpp:526: 0x20000136
[ErrorCode: 0x20000136]


Аналогичные действия успешно отрабатывают под Windows.
После серии приседаний, случайно смог воспроизвести такую же ошибка на Windows.
Для этого запускаем панель управления CryptoPro CSP, переходим на закладку Service, выбираем View certificates in container, открываем сертификат и нажимаем Install, а затем жмем No.
После этого при попытке расшифровки с ключом -f будет та же ошибка:
Ошибка: Не удалось получить закрытый ключ сертификата.
.\Encr.cpp:526: 0x20000136
[ErrorCode: 0x20000136]


В случае если нажать Yes все будет ОК.

Визуально, я не смог найти каких либо отличий в конфигурации CSP в случае если было нажато No. Что не так в конфигурации на Linux, тоже не могу сообразить.
Offline Русев Андрей  
#2 Оставлено : 3 августа 2016 г. 16:32:41(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,429

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 573 раз в 399 постах
Это специфика работы функции CryptAcquireCertificatePrivateKey: на Windows она умеет по сертификату НЕ из хранилища найти соответствующий ему сертификат в хранилище и из него получить ссылку на закрытый ключ. На *nix-системах такая функциональность не реализована: для успешной работы надо задавать сертификат не из файла, а из хранилища: по thumbprint-у или DN-у.
Официальная техподдержка. Официальная база знаний.
Offline Kilya  
#3 Оставлено : 5 марта 2018 г. 9:00:41(UTC)
Kilya

Статус: Участник

Группы: Участники
Зарегистрирован: 13.11.2015(UTC)
Сообщений: 20
Российская Федерация

Сказал(а) «Спасибо»: 14 раз
Не буду дублировать тему, у меня такая же ошибка.
На Astra Linux установил тестовые сертификаты, закрытый ключ привязан к личному сертификату, находится на внешнем носителе.
certImg.PNG (23kb) загружен 26 раз(а).

При попытке подписать файл получаю следующий текст сообщения:
errorImg.PNG (17kb) загружен 30 раз(а).

Почему он находит сертификат, но не видит прикрепленный закрытый ключ?
До этого те же действия проводил на Ubuntu 16.04 - там все работало.
Offline Андрей Русев  
#4 Оставлено : 8 декабря 2022 г. 12:00:36(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,429

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 573 раз в 399 постах
Проблема касается только USB Flash накопителей: надо сперва смонтировать его, а затем запускать приложения, использующие КриптоПро CSP. Это неудобство исправлено в рамках CPCSP-12516, то есть в 2022-02-16 КриптоПро CSP 5.0.12417 Osiris и более свежих версиях.
Официальная техподдержка. Официальная база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.