Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Вопрос Права на установленный сертификат КриптоПРО 4 на сервере Ubuntu - Нет доступа к контейнеру закрытого ключа
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline ЮрийC  
#1 Оставлено : 31 августа 2022 г. 16:53:00(UTC)
ЮрийC

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.08.2022(UTC)
Сообщений: 5
Связываю сертификат и контейнер закрытого ключ командой:

root@1c-srv:/opt/cprocsp/bin/amd64# ./certmgr -install -file /var/opt/cprocsp/keys/usr1cv8/muslyadinova.cer -container 'HDIMAGE\\muslyadinova\7DA8'

Получен ответ:

Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores

Installing:
=============================================================================
1-------
Issuer : XXXXX
Serial : 0x01D853D10BBE22B0000A663300060002
SHA1 Hash : b8c76aec9ff77d95e34f637c094b9073260f7783
SubjKeyID : 508481008a60881af3091c03af33dcf2f2fc80bf
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 19/04/2022 09:37:10 UTC
Not valid after : 19/04/2023 09:37:10 UTC
PrivateKey Link : No
OCSP URL : http://cades.iitrust.ru:8777/ocsp
CA cert URL : http://uc1.iitrust.ru/uc/CA-IIT-(K3)-2021.cer
CA cert URL : https://uc1.iitrust.ru/uc/CA-IIT-(K3)-2021.cer
CDP : http://193.162.30.86/uc/CA-IIT-(K3)-2021.crl
CDP : http://193.162.30.76/uc/CA-IIT-(K3)-2021.crl
CDP : http://uc1.iitrust.ru/uc/CA-IIT-(K3)-2021.crl
CDP : http://uc2.iitrust.ru/uc/CA-IIT-(K3)-2021.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.4
=============================================================================

[ErrorCode: 0x00000000]

Пытаюсь проверить ключ:

./csptestf -keyset -check -cont 'HDIMAGE\\muslyadinova\7DA8'

Получаю:

CSP (Type:80) v4.0.9019 KC2 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 32165443
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Container name: "cryptopro-1335205f-1d63-491d-ad49-3334d94e2e03"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x1eae653
uec key is not available.
License: Cert without license
Check container passed.
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/ctkey.c:4541:UniSignHash(NULL)
Error number 0x80090010 (2148073488).
Отказано в доступе.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,130 sec
[ErrorCode: 0x80090010]

Права доступа к папке и файлам закрытого ключа: Владельцу чтение и запись
Права доступа к сертификату: Владельцу чтение и запись

При этом закрытый ключ и сертификат валидны. Срок действия не закончился.
Пароль на контейнер закрытого ключа не установлен.

По какой причине может возникать такая ошибка?
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Online Андрей Русев  
#2 Оставлено : 1 сентября 2022 г. 12:02:19(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,499

Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 607 раз в 420 постах
Либо истёк срок действия закрытого ключа - это можно явно посмотреть:
Код:
./csptestf -keyset -check -info -cont 'HDIMAGE\\muslyadinova\7DA8'

Либо истекла лицензия (только не публикуйте её в ответе):
Код:
/opt/cprocsp/sbin/amd64/cpconfig -license -view
Официальная техподдержка. Официальная база знаний.
Вверх
Offline ЮрийC  
#3 Оставлено : 1 сентября 2022 г. 12:23:15(UTC)
ЮрийC

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.08.2022(UTC)
Сообщений: 5
Автор: Андрей Русев Перейти к цитате
Либо истёк срок действия закрытого ключа - это можно явно посмотреть:
Код:
./csptestf -keyset -check -info -cont 'HDIMAGE\\muslyadinova\7DA8'

Либо истекла лицензия (только не публикуйте её в ответе):
Код:
/opt/cprocsp/sbin/amd64/cpconfig -license -view

Лицензия действительная.
Код:
root@1c-srv:/opt/cprocsp/bin/amd64# /opt/cprocsp/sbin/amd64/cpconfig -license -view
License validity:
XXXX-XXXXX-XXXXXX-XXXXX-244K9
license  - permanent
License type: Server.


Результат выполнения для двух контейнеров на одном сервере:
1.
Код:
root@1c-srv:/opt/cprocsp/bin/amd64# ./csptestf -keyset -check  -cont 'HDIMAGE\\muslyadinova\7DA8'
CSP (Type:80) v4.0.9019 KC2 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 33553987
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Container name: "cryptopro-1335205f-1d63-491d-ad49-3334d94e2e03"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x2001653
uec key is not available.
License: Cert without license
Check container passed.
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/ctkey.c:4541:UniSignHash(NULL)
Error number 0x80090010 (2148073488).
Отказано в доступе.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,040 sec
[ErrorCode: 0x80090010]

2. А этот контейнер проходит тест
Код:
 
root@1c-srv:/opt/cprocsp/bin/amd64# ./csptestf -keyset -check  -cont '\\.\HDIMAGE\72df1ab2-c24d-41e6-a90e-5a76b6f24e38'
CSP (Type:80) v4.0.9019 KC2 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 34771699
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Container name: "72df1ab2-c24d-41e6-a90e-5a76b6f24e38"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x21296a3
uec key is not available.
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Check import passed.
Keys in container:
  exchange key
Extensions:
  OID: 1.2.643.2.2.37.3.10
  PrivKey: Not specified - 24.12.2022 10:03:50 (UTC)
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,050 sec
[ErrorCode: 0x00000000]




Вверх
Online Андрей Русев  
#4 Оставлено : 1 сентября 2022 г. 14:53:30(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,499

Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 607 раз в 420 постах
Вы всё ещё не выполнили команду, которую я написал
Код:
./csptestf -keyset -check -info -cont 'HDIMAGE\\muslyadinova\7DA8'
Официальная техподдержка. Официальная база знаний.
Вверх
Offline ЮрийC  
#5 Оставлено : 1 сентября 2022 г. 15:46:28(UTC)
ЮрийC

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.08.2022(UTC)
Сообщений: 5
Автор: Андрей Русев Перейти к цитате
Вы всё ещё не выполнили команду, которую я написал
Код:
./csptestf -keyset -check -info -cont 'HDIMAGE\\muslyadinova\7DA8'

Код:

root@1c-srv:/opt/cprocsp/bin/amd64# ./csptestf -keyset -check -info -cont 'HDIMAGE\\muslyadinova\7DA8'
CSP (Type:80) v4.0.9019 KC2 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 9944643
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Container name: "cryptopro-1335205f-1d63-491d-ad49-3334d94e2e03"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x97d653
uec key is not available.

CSP algorithms info:
  Type:Encrypt    Name:'GOST 28147-89'(14) Long:'GOST 28147-89'(14)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026142

  Type:Hash       Name:'GR 34.11-2012 256'(18) Long:'GOST R 34.11-2012 256'(22)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032801

  Type:Signature  Name:'GR 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256'(22)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00011849

  Type:Exchange   Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043590

  Type:Exchange   Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043591

  Type:Hash       Name:'HMAC GOST 28147-89'(19) Long:'HMAC GOST 28147-89'(19)
  DefaultLen:32   MinLen:32   MaxLen:32    Prot:0   Algid:00032799

Status:
  Provider handles used:        63
  Provider handles max:         1048576
  CPU Usage:                    12 %
  CPU Usage by CSP:             0 %
  Measurement interval:         101 ms

  Virtual memory used:          22830628 KB
  Virtual memory used by CSP:   3550564 KB
  Free virtual memory:          43250012 KB
  Total virtual memory:         66080640 KB

  Physical memory used:         22830620 KB
  Physical memory used by CSP:  288336 KB
  Free physical memory:         26472808 KB
  Total physical memory:        49303428 KB

Key pair info:
  HCRYPTKEY:  0x97d653
  AlgID:      CALG_DH_GR3410_12_256_SF = 0x0000aa46 (00043590):
    AlgClass: ALG_CLASS_KEY_EXCHANGE
    AlgType:  ALG_TYPE_DH
    AlgSID:   70
  KP_HASHOID:
    1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
  KP_DHOID:
    1.2.643.2.2.36.0 (ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию)
  KP_SIGNATUREOID:
    1.2.643.2.2.36.0 (ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию)
  Permissions:
    CRYPT_EXPORT
    CRYPT_READ
    CRYPT_WRITE
    CRYPT_IMPORT_KEY
    CRYPT_ARCHIVE
    0x800
    0x10000
    0x100000
KP_CERTIFICATE:
Subject: OGRN= [удалены сведения] , C=RU

Container version: 2
License: Cert without license
Check container passed.
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/ctkey.c:4541:UniSignHash(NULL)
Error number 0x80090010 (2148073488).
Отказано в доступе.
Total: SYS: 0,010 sec USR: 0,050 sec UTC: 0,510 sec
[ErrorCode: 0x80090010]
Вверх
Online Андрей Русев  
#6 Оставлено : 1 сентября 2022 г. 16:55:53(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,499

Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 607 раз в 420 постах
Эх. Отвал по первой ошибке помешал. А нужна информация, которая пониже. Давайте без -check:
Код:
./csptestf -keyset -info -cont 'HDIMAGE\\muslyadinova\7DA8'
Официальная техподдержка. Официальная база знаний.
Вверх
Offline ЮрийC  
#7 Оставлено : 1 сентября 2022 г. 17:03:34(UTC)
ЮрийC

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.08.2022(UTC)
Сообщений: 5
Автор: Андрей Русев Перейти к цитате
Эх. Отвал по первой ошибке помешал. А нужна информация, которая пониже. Давайте без -check:
Код:
./csptestf -keyset -info -cont 'HDIMAGE\\muslyadinova\7DA8'

Код:

root@1c-srv:/opt/cprocsp/bin/amd64# ./csptestf -keyset -info -cont 'HDIMAGE\\muslyadinova\7DA8'
CSP (Type:80) v4.0.9019 KC2 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 29396547
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Container name: "cryptopro-1335205f-1d63-491d-ad49-3334d94e2e03"
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x1c0a653
uec key is not available.

CSP algorithms info:
  Type:Encrypt    Name:'GOST 28147-89'(14) Long:'GOST 28147-89'(14)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026142

  Type:Hash       Name:'GR 34.11-2012 256'(18) Long:'GOST R 34.11-2012 256'(22)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032801

  Type:Signature  Name:'GR 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256'(22)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00011849

  Type:Exchange   Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043590

  Type:Exchange   Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043591

  Type:Hash       Name:'HMAC GOST 28147-89'(19) Long:'HMAC GOST 28147-89'(19)
  DefaultLen:32   MinLen:32   MaxLen:32    Prot:0   Algid:00032799

Status:
  Provider handles used:        71
  Provider handles max:         1048576
  CPU Usage:                    7 %
  CPU Usage by CSP:             0 %
  Measurement interval:         101 ms

  Virtual memory used:          23127572 KB
  Virtual memory used by CSP:   3546460 KB
  Free virtual memory:          42953068 KB
  Total virtual memory:         66080640 KB

  Physical memory used:         23127556 KB
  Physical memory used by CSP:  284704 KB
  Free physical memory:         26175872 KB
  Total physical memory:        49303428 KB

Key pair info:
  HCRYPTKEY:  0x1c0a653
  AlgID:      CALG_DH_GR3410_12_256_SF = 0x0000aa46 (00043590):
    AlgClass: ALG_CLASS_KEY_EXCHANGE
    AlgType:  ALG_TYPE_DH
    AlgSID:   70
  KP_HASHOID:
    1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
  KP_DHOID:
    1.2.643.2.2.36.0 (ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию)
  KP_SIGNATUREOID:
    1.2.643.2.2.36.0 (ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию)
  Permissions:
    CRYPT_EXPORT
    CRYPT_READ
    CRYPT_WRITE
    CRYPT_IMPORT_KEY
    CRYPT_ARCHIVE
    0x800
    0x10000
    0x100000
KP_CERTIFICATE:
Subject: OGRN= [удалено], C=RU
Valid  : 31.12.1999 21:00:00 - 10.04.2023 09:37:03 (UTC)
Issuer : OGRN= [удалено], C=RU

Container version: 2
Keys in container:
  exchange key
Extensions (maxLength: 1435):
  ParamLen: 47
  OID: 1.2.643.2.2.37.3.10
  Critical: FALSE
  Size: 19
  Decoded size: 24
  PrivKey: Not specified - 19.07.2023 09:37:01 (UTC)
Total: SYS: 0,010 sec USR: 0,050 sec UTC: 0,310 sec
[ErrorCode: 0x00000000]
Вверх
Online Андрей Русев  
#8 Оставлено : 1 сентября 2022 г. 17:53:49(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,499

Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 607 раз в 420 постах
Ваша правда. А что в журналах после ошибки?
Код:
journalctl --since today|grep cryptsrv|tail -20
Официальная техподдержка. Официальная база знаний.
Вверх
Offline ЮрийC  
#9 Оставлено : 1 сентября 2022 г. 19:10:49(UTC)
ЮрийC

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.08.2022(UTC)
Сообщений: 5
Автор: Андрей Русев Перейти к цитате
Ваша правда. А что в журналах после ошибки?
Код:
journalctl --since today|grep cryptsrv|tail -20


Код:
root@1c-srv:/opt/cprocsp/bin/amd64# journalctl --since today|grep cryptsrv |tail -20
сен 01 19:07:25 1c-srv.farm.loc cryptsrv[131429]: cpcsp: SignHash PermitSign
Вверх
Online Андрей Русев  
#10 Оставлено : 6 сентября 2022 г. 13:28:23(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,499

Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 607 раз в 420 постах
И всё же это больше похоже срок действия ключа. Возможно, он был нарушен нетривиальным образом. Например, что в момент первого открытия контейнера в системе было кривое время и контейнер с тех пор не закрыли.
Официальная техподдержка. Официальная база знаний.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET