Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Kirix  
#1 Оставлено : 12 апреля 2024 г. 10:13:37(UTC)
Kirix

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.04.2024(UTC)
Сообщений: 5
Российская Федерация

Доброго утра.

Пытаемся наладить подписание токена на сервере. Заказчик дал разные файлики для тестов, в том числе .pfx

Пробую его импортировать в linux (debian 12):
Код:
certmgr -install -pfx -file cert.pfx


Получаю вот такую ошибку:

Код:
Error while importing pfx

Bad Key.
[ErrorCode: 0x80090003]


Пробовал 5.0 и 5.0R2.

Пробовал на свежескачанной gui-версии в alt-linux - аналогично.

При этом в windows работает корректно.

Сертификат ГОСТовый.

Это лечится или нужны какие-то обходные пути, наподобие "импортировать в windows и как-то перетащить оттуда" ?

Отредактировано пользователем 12 апреля 2024 г. 10:14:11(UTC)  | Причина: Не указана

Offline Русев Андрей  
#2 Оставлено : 13 апреля 2024 г. 0:26:29(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,428

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 572 раз в 399 постах
Доброго.
Поведение не ожидаемое: всё должно ставиться без приседаний. Если есть проблемы, то проверять лучше на последней версии - КриптоПро CSP 5.0 R3. Что в системном журнале после ошибки? Можете прислать проблемный pfx в личку?
Официальная техподдержка. Официальная база знаний.
Offline Kirix  
#3 Оставлено : 15 апреля 2024 г. 11:34:39(UTC)
Kirix

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.04.2024(UTC)
Сообщений: 5
Российская Федерация

заказчик требует сертифицированную версию, поэтому R3 не вариант.
pfx отправил в ЛС.
Offline Kirix  
#4 Оставлено : 15 апреля 2024 г. 11:47:51(UTC)
Kirix

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.04.2024(UTC)
Сообщений: 5
Российская Федерация

Автор: Русев Андрей Перейти к цитате
Что в системном журнале после ошибки?


вот такое раскопал

Код:
<capi20>pfx_CalculateMac!() pfx - bad MAC
<capi20>pfx_FillPfxContextFromBlob!() pfx - pfx_CalculateMac MAC_CHECK_MODE failed
<csp>CPCImportKey!ImportKey fail ret obj
<capi10>CryptImportKey!failed: LastError = 0x80090003
<capi20>pfx_ImportPrivateKey!() pfx - CryptImportKey failed
<capi20>pfx_CreatePrivateKeyContext!() pfx - pfx_ImportPrivateKey failed
<capi20>PFXImportCertStore!() pfx - pfx_CreatePrivateKeyContext failed
<capi20>PFXImportCertStore!failed: LastError = 0x80090003

Отредактировано пользователем 15 апреля 2024 г. 11:49:43(UTC)  | Причина: более корректный лог

Offline Русев Андрей  
#5 Оставлено : 16 апреля 2024 г. 1:42:31(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,428

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 572 раз в 399 постах
Код:
<capi20>pfx_CalculateMac!() pfx - bad MAC
Это почти всегда неверный пароль.

Официальная техподдержка. Официальная база знаний.
Offline Русев Андрей  
#6 Оставлено : 17 апреля 2024 г. 14:53:34(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,428

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 572 раз в 399 постах
Но в вашем случае журнал не содержит эти строки - вы взяли их из старых запусков с неверным паролем. Проблема вашего pfx в том, что у вас ГОСТ ключ зашифрован не ГОСТ алгоритмом, а DES-ом. Мы такое не позволяем импортировать. Диагностику в журнал добавим. Windows поправим: импорт не будет работать и там.
Официальная техподдержка. Официальная база знаний.
thanks 1 пользователь поблагодарил Русев Андрей за этот пост.
nickm оставлено 17.04.2024(UTC)
Offline Kirix  
#7 Оставлено : 17 апреля 2024 г. 16:19:45(UTC)
Kirix

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.04.2024(UTC)
Сообщений: 5
Российская Федерация

Автор: Русев Андрей Перейти к цитате
вы взяли их из старых запусков с неверным паролем


Поясните, пожалуйста, что это значит?

Я запускаю инструментарий крипто-про, там делаю "импортировать ключи", предлагаю ему проблемный pfx, вижу ошибку. Одновременно с этим в соседнем окне смотрю в выхлоп journalctl -f, вижу, как появляются эти строки.



Про ГОСТ/DES уточню у коллег, которые формировали ключ.

Offline Русев Андрей  
#8 Оставлено : 17 апреля 2024 г. 17:28:28(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,428

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 572 раз в 399 постах
Автор: Kirix Перейти к цитате
Автор: Русев Андрей Перейти к цитате
вы взяли их из старых запусков с неверным паролем
Поясните, пожалуйста, что это значит?

Указанная вами диагностика в системном журнале соответствует предъявлению неверного PIN-а, если предъявить его верно, то с вашим неверным pfx будет почти такая: без первых двух строк:
Код:
<csp>CPCImportKey!ImportKey fail ret obj
<capi10>CryptImportKey!failed: LastError = 0x80090003
<capi20>pfx_ImportPrivateKey!() pfx - CryptImportKey failed
<capi20>pfx_CreatePrivateKeyContext!() pfx - pfx_ImportPrivateKey failed
<capi20>PFXImportCertStore!() pfx - pfx_CreatePrivateKeyContext failed
<capi20>PFXImportCertStore!failed: LastError = 0x80090003


Официальная техподдержка. Официальная база знаний.
Offline Kirix  
#9 Оставлено : 17 апреля 2024 г. 17:37:35(UTC)
Kirix

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.04.2024(UTC)
Сообщений: 5
Российская Федерация

Вот такой лог для неправильного пароля:

Код:
<capi20>pfx_CalculateMac!() pfx - bad MAC
<capi20>pfx_FillPfxContextFromBlob!() pfx - pfx_CalculateMac MAC_CHECK_MODE failed
<capi20>PFXImportCertStore!() pfx - pfx_DecodeWithPassword failed
<capi20>PFXImportCertStore!failed: LastError = 0x56
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.