Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
The certificate or certificate chain is based on an untrusted root.
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline tarkhil  
#1 Оставлено : 28 января 2022 г. 15:02:12(UTC)
tarkhil

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.12.2014(UTC)
Сообщений: 60
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
FreeBSD 13.0
CryptCP 4.0 (c) "Crypto-Pro", 2002-2019.
Установили новый сертификат (Issuer : E=ca@skbkontur.ru, OGRN=1026605606620, INN=006663003127, C=RU, S=66 Свердловская область, L=Екатеринбург, STREET="улица Народной воли, строение 19А", OU=Удостоверяющий центр, O="АО ""ПФ ""СКБ КОНТУР""", CN="АО ""ПФ ""СКБ КОНТУР"""), /opt/cprocsp/bin/amd64/cryptcp -signf ругается на The certificate or certificate chain is based on an untrusted root.

/opt/cprocsp/bin/amd64/certmgr -inst -store Root -f /tmp/skbkontur-q1-2021.crt

пишет

tarkhil@grandsql:~/billing % /opt/cprocsp/bin/amd64/certmgr -inst -store Root -f /tmp/skbkontur-q1-2021.crt
Certmgr 1.1 (c) "Crypto-Pro", 2007-2019.
Program for managing certificates, CRLs and stores.
WARNING: Legacy parameter: "-store Root"
Installing:
=============================================================================
1-------
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Subject : E=ca@skbkontur.ru, OGRN=1026605606620, INN=006663003127, C=RU, S=66 Свердловская область, L=Екатеринбург, STREET="улица Народной воли, строение 19А", OU=Удостоверяющий центр, O="АО ""ПФ ""СКБ КОНТУР""", CN="АО ""ПФ ""СКБ КОНТУР"""
Serial : 0x01F8E8510000000005C8
SHA1 Hash : 16159c984e6548bdcd0a2c518e493b8194bb0e33
SubjKeyID : ac38c0f2ff28c5a44b6a6f51cb5c6e1f84f3d21b
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 17/08/2021 11:27:33 UTC
Not valid after : 17/08/2036 11:27:33 UTC
PrivateKey Link : No
CA cert URL : http://reestr-pki.ru/cdp/guc2021.crt
CDP : http://reestr-pki.ru/cdp/guc2021.crl
CDP : http://company.rt.ru/cdp/guc2021.crl
CDP : http://rostelecom.ru/cdp/guc2021.crl
=============================================================================
CPCSP: Warning: installing a root certificate with an unconfirmed thumbprint is a security risk. Do you want to install this certificate?
Subject: АО "ПФ "СКБ КОНТУР"
Thumbprint (sha1): 16159C984E6548BDCD0A2C518E493B8194BB0E33
(o)OK, (c)Cancel
o

[ErrorCode: 0x00000000]

при этом, в Root сертификат попадает, но на ошибку не влияет никак.

И, да, в man certmgr по-прежнему написано про -store Root, хотя это уже устарело
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Михаил Селезнёв  
#2 Оставлено : 28 января 2022 г. 15:15:41(UTC)
Михаил Селезнёв

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 05.04.2017(UTC)
Сообщений: 363
Мужчина
Российская Федерация

Сказал «Спасибо»: 3 раз
Поблагодарили: 54 раз в 53 постах
Добрый день!
Той же командой установите вот это: http://reestr-pki.ru/cdp/guc2021.crt и будет Вам счастье.
К слову Вы пытались серт УЦ, который является подчинённым, поставить не в предназначенное для него хранилище, поэтому ошибка не пропадала.
Вверх
thanks 1 пользователь поблагодарил Михаил Селезнёв за этот пост.
tarkhil оставлено 28.01.2022(UTC)
Offline tarkhil  
#3 Оставлено : 28 января 2022 г. 15:17:31(UTC)
tarkhil

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.12.2014(UTC)
Сообщений: 60
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Автор: Михаил Селезнёв Перейти к цитате
Добрый день!
Той же командой установите вот это: http://reestr-pki.ru/cdp/guc2021.crt и будет Вам счастье.
К слову Вы пытались серт УЦ, который является подчинённым, поставить не в предназначенное для него хранилище, поэтому ошибка не пропадала.


Ага, как раз догадался.

Следующая часть марлезонского балета - впихнуть в хранилище приватный ключ. В .pem он 100% есть. Документация на certmgr, как обычно, подробна и рассчитана на неспециалиста, не имеющего доступа к исходникам.
Вверх
Offline Михаил Селезнёв  
#4 Оставлено : 28 января 2022 г. 15:41:10(UTC)
Михаил Селезнёв

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 05.04.2017(UTC)
Сообщений: 363
Мужчина
Российская Федерация

Сказал «Спасибо»: 3 раз
Поблагодарили: 54 раз в 53 постах
Опишите пожалуйста, как Вы создали ключ в таком формате.
Вверх
Offline tarkhil  
#5 Оставлено : 28 января 2022 г. 15:50:59(UTC)
tarkhil

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.12.2014(UTC)
Сообщений: 60
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Автор: Михаил Селезнёв Перейти к цитате
Опишите пожалуйста, как Вы создали ключ в таком формате.


Уже осилил. Вынул, доставил, не понял, почему pkg вылетал - подал команды руками, работает.

Записать надо будет, да.

Итак

  1. штатными средствами виндов экспортируем сертификат с приватным ключом
  2. certmgr при попытке импортировать pfx ругается на хранилище
  3. ставим cpro-rsa
  4. pkg вылетает по 11 сигналу
  5. выполняем команды из +INSTALL руками
  6. после этого pfx импортируется
  7. после этого можно сбросить пароль


и вот, ура, заработало
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET