Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы<12
OID 1.2.643.100.4 формируется как PrintableString, а надо NumericString. Как исправить?
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Александр Лавник  
#11 Оставлено : 26 января 2022 г. 17:03:01(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,481
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 801 раз в 740 постах
Автор: EvgeniyB Перейти к цитате
Александр, спасибо!

Выполнили ваши рекомендации, но опять ошибка!
Если вас не затруднит, помогите, пожалуйста.

Получаем такую ошибку:
/opt/cprocsp/bin/amd64/csptest -enum -provider "Crypto-Pro GOST R 34.10-2012 HSM CSP" -provtype 80 -info ../../../../CSPbuild/CSP/samples/support/getcspparam.c:28:Can not get CSP param: AcquireContext failed.
Error 0x2746: Удаленный хост принудительно разорвал существующее подключение.
../../../../CSPbuild/CSP/samples/csptest/enum.c:420:Error during CryptAcquireContext.

Error 0x2746: Удаленный хост принудительно разорвал существующее подключение.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,100 sec
[ErrorCode: 0x00002746]

При этом сами провайдеры отображаются нормально
/opt/cprocsp/sbin/amd64/cpconfig -defprov -view -provtype 80
Listing Available Providers:
Provider type Provider Name
_____________ _____________________________________
80 Crypto-Pro GOST R 34.10-2012 KC2 CSP
80 Crypto-Pro GOST R 34.10-2012 HSM CSP
80 Crypto-Pro GOST R 34.10-2012 HSM CSP 01
80 Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider

Provider types and provider names have been listed.

И при попытке создать запрос на сертификат по инструкции получаем сообщение:
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2021.
Утилита командной строки для подписи и шифрования файлов.
Ошибка: Набор ключей не существует

../../../../CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:590: 0x80090016
[ErrorCode: 0x80090016]
Здравствуйте.

Судя по всему, нет соединения с HSM.

Рекомендую пройтись еще раз по инструкции по настройке соединения с HSM и проверить, все ли настройки выполнены.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
Offline EvgeniyB  
#12 Оставлено : 26 января 2022 г. 17:55:11(UTC)
EvgeniyB

Статус: Участник

Группы: Участники
Зарегистрирован: 18.01.2022(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Александр, еще вопрос по вашей рекомендации.

Экспортировать в файл корневой сертификат КриптоПро HSM из ключевого контейнера ключа доступа:
# /opt/cprocsp/bin/amd64/csptest -keys -cont cont_name -saveext /root/hsmroot.p7b

Имя ключевого контейнера можно вывести командой:
# /opt/cprocsp/bin/amd64/csptest -keys -enum -verifyc

Что из нижевыведенного является ключевым контейнером?
/opt/cprocsp/bin/amd64/csptest -keys -enum -verifyc
CSP (Type:80) v5.0.10008 KC2 Release Ver:5.0.9944 OS:Linux CPU:AMD64 FastCode:READY:AVX. DISABLED:RSA;
AcquireContext: OK. HCRYPTPROV: 32546099
le-d3d1d707-1c2f-4d55-a214-f8e630fc81f3
le-5cd7d307-3370-451a-9380-c345c6cb0633
astra-307
asrtra-308
le-e7614311-9567-4b5e-aaf6-6cfcffd4f88c
astral307
OK.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x00000000]
Вверх
Offline EvgeniyB  
#13 Оставлено : 27 января 2022 г. 9:36:48(UTC)
EvgeniyB

Статус: Участник

Группы: Участники
Зарегистрирован: 18.01.2022(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Александр,
подскажите, есть ли принципиальная разница между провайдерами "Crypto-Pro GOST R 34.10-2012 HSM CSP" и "Crypto-Pro GOST R 34.10-2012 HSM CSP 01"?
Наши администраторы проверили и исправили настройки, запрос на ключ создается для первого упомянутого провайдера, а для второго получаем ошибку:
Ошибка: Набор ключей не существует
../../../../CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:590: 0x80090016
[ErrorCode: 0x80090016]
Вверх
Online Андрей Русев  
#14 Оставлено : 27 января 2022 г. 10:20:49(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,499

Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 607 раз в 420 постах
Добавлю, что типовое подключение клиента HSM на unix давно можно настроить двумя командами: csptest -absorb + channel_k2.sh
http://www.cryptopro.ru/...&m=130907#post130907
Официальная техподдержка. Официальная база знаний.
Вверх
thanks 1 пользователь поблагодарил Русев Андрей за этот пост.
Александр Лавник оставлено 27.01.2022(UTC)
Offline Александр Лавник  
#15 Оставлено : 27 января 2022 г. 10:21:04(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,481
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 801 раз в 740 постах
Автор: EvgeniyB Перейти к цитате
Александр,
подскажите, есть ли принципиальная разница между провайдерами "Crypto-Pro GOST R 34.10-2012 HSM CSP" и "Crypto-Pro GOST R 34.10-2012 HSM CSP 01"?
Наши администраторы проверили и исправили настройки, запрос на ключ создается для первого упомянутого провайдера, а для второго получаем ошибку:
Ошибка: Набор ключей не существует
../../../../CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:590: 0x80090016
[ErrorCode: 0x80090016]
Здравствуйте.

Обычно имя криптопровайдера Crypto-Pro GOST R 34.10-2012 HSM CSP 01 используется, когда настраивается подключение ко второму HSM.

Если у Вас 1 HSM, то Вам и не нужно использовать этот криптопровайдер.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
Offline EvgeniyB  
#16 Оставлено : 27 января 2022 г. 11:22:19(UTC)
EvgeniyB

Статус: Участник

Группы: Участники
Зарегистрирован: 18.01.2022(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Коллеги,
спасибо за ваши ответы.

У нас два HSM и два клиента Astra Linux. Для повышения отказоустойчивости мы хотим сделать два ключа, каждый ключ на своем HSM.

Правильно ли я понимаю, что:
-для того, чтобы сделать ключ на одном HSM мы должны указать провайдер "Crypto-Pro GOST R 34.10-2012 HSM CSP"
-для того, чтобы сделать ключ на втором HSM мы должны указать провайдер "Crypto-Pro GOST R 34.10-2012 HSM CSP 01"

Проясните, пожалуйста, для нашего понимания.
Каждая машина Astra Linux подключена к своему HSM или к обеим HSM одновременно? Как мы можем это проверить?
Сертификат, полученный в Восходе, устанавливаются на обе машины Astra Linux?

Заранее спасибо!
Вверх
Offline Александр Лавник  
#17 Оставлено : 28 января 2022 г. 22:37:32(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,481
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 801 раз в 740 постах
Автор: EvgeniyB Перейти к цитате
Коллеги,
спасибо за ваши ответы.

У нас два HSM и два клиента Astra Linux. Для повышения отказоустойчивости мы хотим сделать два ключа, каждый ключ на своем HSM.

Правильно ли я понимаю, что:
-для того, чтобы сделать ключ на одном HSM мы должны указать провайдер "Crypto-Pro GOST R 34.10-2012 HSM CSP"
-для того, чтобы сделать ключ на втором HSM мы должны указать провайдер "Crypto-Pro GOST R 34.10-2012 HSM CSP 01"

Проясните, пожалуйста, для нашего понимания.
Каждая машина Astra Linux подключена к своему HSM или к обеим HSM одновременно? Как мы можем это проверить?
Сертификат, полученный в Восходе, устанавливаются на обе машины Astra Linux?

Заранее спасибо!
Здравствуйте.

Если вопросы еще актуальны, то предлагаю Вам создать обращение на портале технической поддержки для более оперативного общения по возникающим вопросам.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET