Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline obi-Wan  
#1 Оставлено : 17 июня 2024 г. 13:57:56(UTC)
obi-Wan

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.06.2024(UTC)
Сообщений: 4
Российская Федерация

Здравствуйте.
После перевода файловой версии конфигурации на Linux + Postgres возникла проблемка у бухгалтера, о ней ниже:
Исходные данные:
- Локальный ПК пользователя, который работает удаленно через VPN. Т.е. 1С открывается у него в режиме тонкого клиента.
- Платформа: 1С:Предприятие 8.3 (8.3.23.2157)
- Конфигурация: Бухгалтерия предприятия, редакция 3.0 (3.0.150.33)
- Версия КриптоПро: КриптоПро CSP 5.0 R3 для Linux (x64, deb) - Astra Linux, Ubuntu
- ОС на сервере: Ubuntu 22.04.4 LTS
- ОС клиента: Windows 10.

После выгрузки-загрузки базы посредством dt-файла проверили работу ЭДО и обнаружили, что имеется проблема с сертификатами.
В статусе службы сервера 1с появляются такие сообщения об ошибке, после проверки статуса сертификата:

июн 17 10:16:16 1cserver rphost[4186]: <capi10>CryptFindOIDInfo!failed: LastError = 0x80091003
июн 17 10:16:16 1cserver rphost[4186]: <capi20>CertAlgIdToOID!(failed: LastError = 0x80091003)
июн 17 10:16:16 1cserver rphost[4186]: <capi10>CryptFindOIDInfo!failed: LastError = 0x80091003
июн 17 10:16:16 1cserver rphost[4186]: <capi20>CertAlgIdToOID!(failed: LastError = 0x80091003)
июн 17 10:16:16 1cserver rphost[4186]: <capi10>CryptFindOIDInfo!failed: LastError = 0x80091003
июн 17 10:16:16 1cserver rphost[4186]: <capi20>CertAlgIdToOID!(failed: LastError = 0x80091003)
июн 17 10:16:16 1cserver rphost[4186]: <capi10>CryptFindOIDInfo!failed: LastError = 0x80091003
июн 17 10:16:16 1cserver rphost[4186]: <capi20>CertAlgIdToOID!(failed: LastError = 0x80091003)
июн 17 10:16:16 1cserver rphost[4186]: <capi10>CryptFindOIDInfo!failed: LastError = 0x80091003
июн 17 10:16:16 1cserver rphost[4186]: <capi20>CertAlgIdToOID!(failed: LastError = 0x80091003)

Сами сертификаты я установил. Права на каталог, где лежат компоненты КриптоПро дал полные в рамках эксперимента.
Как мне сказали - пароля на сертификат нет, пин кодов тоже нет.

Подскажите - что еще посмотреть ?
Offline nickm  
#2 Оставлено : 17 июня 2024 г. 14:29:43(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,348

Сказал(а) «Спасибо»: 569 раз
Поблагодарили: 397 раз в 376 постах
Автор: obi-Wan Перейти к цитате
Как мне сказали - пароля на сертификат нет, пин кодов тоже нет.

Вы Сами в отсутствии ПИН'а убедились?

Автор: obi-Wan Перейти к цитате
Подскажите - что еще посмотреть ?

Оттестировать работу подписи в консоли (вычитать хранилище сертификатов, протестировать чтение контейнера, выполнить тестовое подписание, проверить подпись) от имени того пользователя, от которого выполняется приложение 1с8.

Для начала, можно привести список установленных пакетов СКЗИ, например:
Код:
$ dpkg -l | grep -i cprocsp


+

добавлю, что на форуме имеется подобная тема "КриптоПро 5.0.11823 и 1C - Ошибка взаимодействия 1с и КриптоПро"

+

недавно была похожая тема "Ошибки с закрытым ключом в рабочем контейнере Рутокен на Astra Linux"

, где в обоих случаях забыли установить пакет cprocsp-rdr-gui-gtk-*

Отредактировано пользователем 17 июня 2024 г. 15:33:10(UTC)  | Причина: Не указана

Offline obi-Wan  
#3 Оставлено : 18 июня 2024 г. 6:08:04(UTC)
obi-Wan

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.06.2024(UTC)
Сообщений: 4
Российская Федерация

Автор: nickm Перейти к цитате
Вы Сами в отсутствии ПИН'а убедились?


Пароля точно нет, но пин, как я понял - другое?
Достоверно известно, что в сертификате "вшита" лицензия, это пишет само ПО.

Как я понял, чтобы узнать, что стоит ПИН, надо поставить - "cprocsp-rdr-gui-gtk", но судя по листингу инсталляции (ниже) - этот
пакет у меня стоит.
И где должно появляться окошко с запросом ПИНа ? У меня ubuntu без gui.

В одной из статей давали ссылку : https://support.cryptopr...dgebase/Article/View/187 (Сохранение паролей для контейнеров на Linux/UNIX)
Но я не понял - надо ли это мне делать. Пароля у меня нет, а есть ПИН или нет - не понятно.


!!! Нюанс еще (забыл написать сразу) - когда устанавливал КриптоПро, то в конце установки был запрошен некий "лицензионный ключ".
Я его НЕ указал, так как меня заверяют, что никакого ключа не было - сомнительно. Может это и есть причина бед?

Автор: nickm Перейти к цитате
Для начала, можно привести список установленных пакетов СКЗИ, например:


Вот что установлено:

ii cprocsp-cptools-gtk-64 5.0.13000-7 amd64 CryptoPro GUI application for various CSP tasks. Build 13000.
ii cprocsp-curl-64 5.0.13000-7 amd64 CryptoPro cURL shared library and application. Build 13000.
ii cprocsp-pki-cades-64 2.0.15000-1 amd64 CryptoPro ECP SDK
ii cprocsp-pki-plugin-64 2.0.15000-1 amd64 CryptoPro ECP Browser plug-in
ii cprocsp-rdr-gui-gtk-64 5.0.13000-7 amd64 CryptoPro CSP GTK GUI components. Build 13000.
ii lsb-cprocsp-base 5.0.13000-7 all CryptoPro CSP directories and scripts. Build 13000.
ii lsb-cprocsp-ca-certs 5.0.13000-7 all CryptoPro CA certificates. Build 13000.
ii lsb-cprocsp-capilite-64 5.0.13000-7 amd64 CryptoPro CSP. CryptoAPI Lite libraries and applications. Build 13000.
ii lsb-cprocsp-kc1-64 5.0.13000-7 amd64 CryptoPro CSP KC1. Build 13000.
ii lsb-cprocsp-rdr-64 5.0.13000-7 amd64 CryptoPro CSP common libraries and utilities. Build 13000.


Автор: nickm Перейти к цитате
добавлю, что на форуме имеется подобная тема...

Темки эти видел, но решения для себя не нашел, к сожалению.

Отредактировано пользователем 18 июня 2024 г. 6:11:44(UTC)  | Причина: Не указана

Offline nickm  
#4 Оставлено : 18 июня 2024 г. 6:30:32(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,348

Сказал(а) «Спасибо»: 569 раз
Поблагодарили: 397 раз в 376 постах
Автор: obi-Wan Перейти к цитате
Вот что установлено:

Минимальное количество пакетов;

Автор: obi-Wan Перейти к цитате
!!! Нюанс еще (забыл написать сразу) - когда устанавливал КриптоПро, то в конце установки был запрошен некий "лицензионный ключ".
Я его НЕ указал, так как меня заверяют, что никакого ключа не было - сомнительно. Может это и есть причина бед?

Автор: obi-Wan Перейти к цитате
Достоверно известно, что в сертификате "вшита" лицензия, это пишет само ПО.

В таком случае ключ для СКЗИ не нужен;

Автор: obi-Wan Перейти к цитате
И где должно появляться окошко с запросом ПИНа ?

Окно запроса ПИН, если он действительно есть, должен отображать 1с8 при тестирование подписания в разделе (скрин взят с этой страницы):

UserPostedImage

Автор: obi-Wan Перейти к цитате
У меня ubuntu без gui.

Хм, тогда наоборот, попробовать удалить этот самый пакет:
Код:
ii  cprocsp-rdr-gui-gtk-64                 5.0.13000-7                             amd64        CryptoPro CSP GTK GUI components. Build 13000.


В любом случае Я бы выполнил это:
Автор: nickm Перейти к цитате
Оттестировать работу подписи в консоли (вычитать хранилище сертификатов, протестировать чтение контейнера, выполнить тестовое подписание, проверить подпись) от имени того пользователя, от которого выполняется приложение 1с8.

Отредактировано пользователем 18 июня 2024 г. 7:14:14(UTC)  | Причина: Не указана

Offline obi-Wan  
#5 Оставлено : 18 июня 2024 г. 7:39:10(UTC)
obi-Wan

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.06.2024(UTC)
Сообщений: 4
Российская Федерация

Автор: nickm Перейти к цитате
Окно запроса ПИН, если он действительно есть, должен отображать 1с8 при тестирование подписания в разделе


Да, у меня такая форма есть.
Но это же вроде как запрос пароля, который не задан. (А если задан, то никто об этом не знает, можно как-то его переустановить ?)
Я оставляю это поле пустым, нажимаю на кнопку "Проверить" и в результате получаю:
желтый сигнал на первом пункте - "Наличие сертификата в личном списке" и приписку - сертификат не установлен на сервере. Проверка подписания созданной подписи
и расшифровки не могут быть выполнены.
НО, я же поставил сертификаты, читал вот тут: https://estp.ru/test_eds/cert_install_linux
Сертификаты отображаются, при выполнении команды: /opt/cprocsp/bin/amd64/certmgr -list -store uMy
Есть некоторое непонимание - если бухгалтер подписывает на своем ПК, зачем на сервере эти сертификаты ? Может вообще идет движение не в том направлении.
Где-то на сринах, читая форумы, видел галку "Подписывать на сервере", но в своей версии конфигурации такой не нашел.
Читал еще про корневые сертификаты, но их я на сервер точно не ставил - а надо ли это делать ?

Автор: nickm Перейти к цитате

Оттестировать работу подписи в консоли (вычитать хранилище сертификатов, протестировать чтение контейнера, выполнить тестовое подписание, проверить подпись) от имени того пользователя, от которого выполняется приложение 1с8.


А есть мануал как это выполняется ? )
Offline nickm  
#6 Оставлено : 18 июня 2024 г. 7:49:15(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,348

Сказал(а) «Спасибо»: 569 раз
Поблагодарили: 397 раз в 376 постах
Автор: obi-Wan Перейти к цитате
Есть некоторое непонимание - если бухгалтер подписывает на своем ПК, зачем на сервере эти сертификаты ? Может вообще идет движение не в том направлении.

Именно, Вам сначала следует определиться, каким способом Вы собрались подписывать.

Если клиент-серверным, то следует настраивать подписание на сервере от имени того пользователя, от которого выполняется служба сервера;

Автор: obi-Wan Перейти к цитате
Где-то на сринах, читая форумы, видел галку "Подписывать на сервере", но в своей версии конфигурации такой не нашел.

Например тут:

UserPostedImage


Автор: obi-Wan Перейти к цитате
А есть мануал как это выполняется ? )

Для начала типа такого.

После чтение хранилища и тестовое подписание.

Отредактировано пользователем 18 июня 2024 г. 8:09:32(UTC)  | Причина: Не указана

Offline obi-Wan  
#7 Оставлено : 18 июня 2024 г. 8:10:43(UTC)
obi-Wan

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.06.2024(UTC)
Сообщений: 4
Российская Федерация

.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.