Ubuntu + Cryptcp +user www-data

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Ubuntu + Cryptcp +user www-data - Error: Can not get certificate private key.

Опции

Предыдущая тема Следующая тема

A.X.		#1 Оставлено : 24 ноября 2024 г. 9:10:01(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 29.11.2023(UTC) Сообщений: 4 Сказал(а) «Спасибо»: 1 раз		Добрый день! Возникла проблема - при подписании от служебного пользователя www-data получаем ошибку "Не удалось получить закрытый ключ сертификата." Код: $ sudo -u www-data /opt/cprocsp/bin/amd64/cryptcp -sign -dn 'ООО ""*""' /var/www/html////////.pdf /var/www/html////////.pdf.sig -nochain [sudo] пароль для : CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2021. Утилита командной строки для подписи и шифрования файлов. Будет использован следующий сертификат: Субъект:, , , , , , , * Действителен с 16.10.2023 07:07:10 по 16.01.2025 07:17:10 Папка '/var/www/html/*///////': /var/www/html////////.pdf... Ошибка: Не удалось получить закрытый ключ сертификата. ../../../../CSPbuild/CSP/samples/CPCrypt/DSign.cpp:487: 0x20000136 [ErrorCode: 0x20000136] При этом, в списке сертификатов данного пользователя есть закрытый ключ Код: $ sudo -u www-data /opt/cprocsp/bin/amd64/certmgr -list -store uMy; Certmgr 1.1 (c) "КРИПТО-ПРО", 2007-2021. Программа для работы с сертификатами, CRL и хранилищами. ============================================================================= 1------- Издатель : INNLE=7707329152, E=uc@tax.gov.ru, OGRN=1047707030513, C=RU, S=77 Москва, L=г. Москва, STREET="ул. Неглинная, д. 23", O=Федеральная налоговая служба, CN=Федеральная налоговая служба Субъект : INNLE=, SNILS=, OGRN=, INN=, C=RU, S=, L=, STREET="", O="", CN="", T=, G=, SN= Серийный номер : 0x01E8DC SHA1 отпечаток : 49e072 Идентификатор ключа : e66968 Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 256 бит Алгоритм откр. кл. : ГОСТ Р 34.10-2012 256 бит (512 бит) Выдан : 16/10/2023 07:07:10 UTC Истекает : 16/01/2025 07:17:10 UTC Ссылка на ключ : Есть Контейнер : HDIMAGE\\547c84b4.000\5A82 Имя провайдера : Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider Инфо о провайдере : Тип провайдера: 80, тип ключа: 1, флаги: 0x0 Тип идентификации : При личном присутствии OCSP URL : http://pki.tax.gov.ru/ocsp02/ocsp.srf URL сертификата УЦ : http://pki.tax.gov.ru/crt/ca_fns_russia_2022_02.crt URL сертификата УЦ : http://cdp.tax.gov.ru/crt/ca_fns_russia_2022_02.crt URL сертификата УЦ : http://c0000-app005/crt/ca_fns_russia_2022_02.crt URL списка отзыва : http://pki.tax.gov.ru/cdp/e91a50.crl URL списка отзыва : http://c0000-app005/cdp/e91a50.crl URL списка отзыва : http://cdp.tax.gov.ru/cdp/e91*a50.crl Назначение/EKU : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента 1.3.6.1.5.5.7.3.4 Защищенная электронная почта 1.2.643.2.2.34.34.1.54.5410 2------- Издатель : E=dit@digital.gov.ru, C=RU, S=77 Москва, L=г. Москва, STREET="Пресненская набережная, дом 10, строение 2", O=Минцифры России, OGRN=1047702026701, INNLE=7710474375, CN=Минцифры России Субъект : E=dit@digital.gov.ru, C=RU, S=77 Москва, L=г. Москва, STREET="Пресненская набережная, дом 10, строение 2", O=Минцифры России, OGRN=1047702026701, INNLE=7710474375, CN=Минцифры России Серийный номер : 0x00951FA3477C61043AADFA858627823442 SHA1 отпечаток : 2f0cb09be3550ef17ec4f29c90abd18bfcaad63a Идентификатор ключа : c91358b14ca7623a7ed23f3ca6e7147c9d70a386 Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 256 бит Алгоритм откр. кл. : ГОСТ Р 34.10-2012 256 бит (512 бит) Выдан : 08/01/2022 13:32:39 UTC Истекает : 08/01/2040 13:32:39 UTC Ссылка на ключ : Нет Тип идентификации : При личном присутствии 3------- Издатель : E=dit@digital.gov.ru, C=RU, S=77 Москва, L=г. Москва, STREET="Пресненская набережная, дом 10, строение 2", O=Минцифры России, OGRN=1047702026701, INNLE=7710474375, CN=Минцифры России Субъект : INNLE=7707329152, E=uc@tax.gov.ru, OGRN=1047707030513, C=RU, S=77 Москва, L=г. Москва, STREET="ул. Неглинная, д. 23", O=Федеральная налоговая служба, CN=Федеральная налоговая служба Серийный номер : 0x67A077B10000000006E8 SHA1 отпечаток : 08a4c134ffe120d8572df0cb8465e6c3a77e7727 Идентификатор ключа : e91f07442c45b2cf599ee949e5d83e8382b94a50 Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 256 бит Алгоритм откр. кл. : ГОСТ Р 34.10-2012 256 бит (512 бит) Выдан : 15/11/2022 07:58:08 UTC Истекает : 15/11/2037 07:58:08 UTC Ссылка на ключ : Нет Тип идентификации : Без личного присутствия по квалифицированной подписи URL сертификата УЦ : http://reestr-pki.ru/cdp/guc2022.crt URL списка отзыва : http://reestr-pki.ru/cdp/guc2022.crl URL списка отзыва : http://company.rt.ru/cdp/guc2022.crl URL списка отзыва : http://rostelecom.ru/cdp/guc2022.crl ============================================================================= [ErrorCode: 0x00000000] Подскажите пожалуйста, в чем может быть проблема? Отредактировано пользователем 24 ноября 2024 г. 9:11:25(UTC) \| Причина: Не указана*


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

nickm		#2 Оставлено : 24 ноября 2024 г. 9:39:43(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 2,590 Сказал(а) «Спасибо»: 607 раз Поблагодарили: 451 раз в 427 постах		В остальном СКЗИ работает корректно? Можно было бы выверить список установленных пакетов, версию используемого СКЗИ, протестировать контейнер, например с указанием ПИН'а: Код: `$ sudo -u www-data /opt/cprocsp/bin/amd64/csptestf -keyset -container 'HDIMAGE\\547c84b4.000\5A82' -check -pass 12345678` , проверить права доступа к ключевому контейнеру - файловой директории. Вместо -dn можно использовать -thumbprint, что однозначно определит сертификат. Случаем, этот же контейнер не используется другими пользователями? Т.е. он уникален в пределах системы? + Автор: A.X. Код: `Назначение/EKU : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента 1.3.6.1.5.5.7.3.4 Защищенная электронная почта 1.2.643.2.2.34.34.1.54.5410` Последний OID вызвал вопрос, что-то такой ранее не встречал. Может ключ не подходит для подписи/ шифрования? Хотя ошибка явно говорит, что проблема с доступом к закрытому ключу. Отредактировано пользователем 24 ноября 2024 г. 10:10:02(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

A.X.		#3 Оставлено : 24 ноября 2024 г. 10:57:11(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 29.11.2023(UTC) Сообщений: 4 Сказал(а) «Спасибо»: 1 раз		Автор: nickm В остальном СКЗИ работает корректно? Проверка контейнера под www-data показывает "Неправильный зарегистрированный набор ключей. " Код: $ sudo -u www-data /opt/cprocsp/bin/amd64/csptestf -keyset -container 'HDIMAGE\\547c84b4.000\5A82' -check [sudo] пароль для admin*: CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 OS:Linux CPU:AMD64 FastCode:READY:AVX. DISABLED:RSA; ../../../../CSPbuild/CSP/samples/csptest/ctkey.c:1165:AcquireContext("HDIMAGE\\547c84b4.000\5A82") Error 0x8009001a: Неправильный зарегистрированный набор ключей. Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec [ErrorCode: 0x8009001a] Но, Вы правы, контейнер не уникален в рамках состемы, у админа ссылка на контейнер та же. То есть необходимый набор ключей лежит в папках /var/opt/cprocsp/keys/www-data/547c84b4.000 и /var/opt/cprocsp/keys/admin/547c84b4.000 Под админом все работает корректно. Установка сертификата второму пользователю производилось командой (руками ключи не копировал) Код: `sudo -u www-data /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -pfx -pin * -file /media/*/.pfx` Результат csptest Код:* $ /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn -uniq CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 OS:Linux CPU:AMD64 FastCode:READY:AVX. DISABLED:RSA; AcquireContext: OK. HCRYPTPROV: 34996227 \\.\HDIMAGE\547c84b4-dd34-4086-9a3a-6019a54644c9-\|\\.\HDIMAGE\HDIMAGE\\547c84b4.000\5A82 OK. Total: SYS: 0,010 sec USR: 0,080 sec UTC: 0,110 sec [ErrorCode: 0x00000000] $ sudo -u www-data /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn -uniq CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 OS:Linux CPU:AMD64 FastCode:READY:AVX. DISABLED:RSA; AcquireContext: OK. HCRYPTPROV: 42332163 ../../../../CSPbuild/CSP/samples/csptest/ctkey.c:2274:GetProvParam(PP_ENUMCONTAINERS) Error 0x8009000a: Указан неправильный тип. Total: SYS: 0,000 sec USR: 0,060 sec UTC: 0,080 sec [ErrorCode: 0x8009000a] Как, более оптимально, исправить эту проблему? Отредактировано пользователем 24 ноября 2024 г. 12:03:08(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

nickm		#4 Оставлено : 24 ноября 2024 г. 11:52:39(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 2,590 Сказал(а) «Спасибо»: 607 раз Поблагодарили: 451 раз в 427 постах		Автор: A.X. Но, Вы правы, контейнер не уникален в рамках системы, у админа ссылка на контейнер та же. Это и может быть причиной; Автор: A.X. Установка сертификата второму пользователю производилось командой (руками ключи не копировал) Копировать контейнер - директорию с файлами, в любом случае пользователю требуется, как и проверять права доступа. Как вариант, скопируйте контейнер ключа под другим именем, что бы они различались у пользователей, либо оставьте контейнер только у пользователя www-data. Ещё, как вариант для проверки, прочитать, понять, протестировать сценарий указанный в этом сообщении. Но, это не рекомендуемый сценарий, правильней будет исключить использование одинакового контейнера ключа различными пользователями. Отредактировано пользователем 24 ноября 2024 г. 12:10:46(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

nickm		#5 Оставлено : 24 ноября 2024 г. 12:12:28(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 2,590 Сказал(а) «Спасибо»: 607 раз Поблагодарили: 451 раз в 427 постах		Автор: A.X. Как, более оптимально, исправить эту проблему? Автор: nickm Как вариант, скопируйте контейнер ключа под другим именем, что бы они различались у пользователей, либо оставьте контейнер только у пользователя www-data. После не забудьте переустановить сертификат с привязкой к новому контейнеру. Отредактировано пользователем 24 ноября 2024 г. 12:15:05(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#6 Оставлено : 24 ноября 2024 г. 13:51:14(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,664 Сказал «Спасибо»: 571 раз Поблагодарили: 2297 раз в 1798 постах		Автор: nickm Автор: A.X. Код: `Назначение/EKU : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента 1.3.6.1.5.5.7.3.4 Защищенная электронная почта 1.2.643.2.2.34.34.1.54.[h]5410[/h]` Последний OID вызвал вопрос, что-то такой ранее не встречал. Может ключ не подходит для подписи/ шифрования? Хотя ошибка явно говорит, что проблема с доступом к закрытому ключу. это от УЦ ФНС, номер - 5410 ИФНС, обезличенный сертификат, вероятно, для ИС.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

A.X.		#7 Оставлено : 24 ноября 2024 г. 18:15:33(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 29.11.2023(UTC) Сообщений: 4 Сказал(а) «Спасибо»: 1 раз		1. Удалил сертификат пользователю www-data 2. Переименовал контейнер /var/opt/cprocsp/keys/www-data/547c84b4.000 => /var/opt/cprocsp/keys/www-data/547c84b5.000 (файлы .key остались лежать там) 3. Ставлю сертификат заново, указывая расположение контейнера Код: $ sudo -u www-data /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -file /var/www/html/*/.cer -cont '/var/opt/cprocsp/keys/www-data/547c84b5.000' Certmgr 1.1 (c) "КРИПТО-ПРО", 2007-2021. Программа для работы с сертификатами, CRL и хранилищами. Идёт установка: ============================================================================= 1------- Издатель : INNLE=7707329152, E=uc@tax.gov.ru, OGRN=1047707030513, C=RU, S=77 Москва, L=г. Москва, STREET="ул. Неглинная, д. 23", O=Федеральная налоговая служба, CN=Федеральная налоговая служба Субъект : INNLE=, SNILS=, OGRN=, INN=, C=RU, S=, L=, STREET="", O=, CN=, T=, G=, SN=* Серийный номер : 0x01E*8DC SHA1 отпечаток : 49e072 Идентификатор ключа : e66*968 Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 256 бит Алгоритм откр. кл. : ГОСТ Р 34.10-2012 256 бит (512 бит) Выдан : 16/10/2023 07:07:10 UTC Истекает : 16/01/2025 07:17:10 UTC Ссылка на ключ : Нет Тип идентификации : При личном присутствии OCSP URL : http://pki.tax.gov.ru/ocsp02/ocsp.srf URL сертификата УЦ : http://pki.tax.gov.ru/crt/ca_fns_russia_2022_02.crt URL сертификата УЦ : http://cdp.tax.gov.ru/crt/ca_fns_russia_2022_02.crt URL сертификата УЦ : http://c0000-app005/crt/ca_fns_russia_2022_02.crt URL списка отзыва : http://pki.tax.gov.ru/cdp/e91f07442c45b2cf599ee949e5d83e8382b94a50.crl URL списка отзыва : http://c0000-app005/cdp/e91f07442c45b2cf599ee949e5d83e8382b94a50.crl URL списка отзыва : http://cdp.tax.gov.ru/cdp/e91f07442c45b2cf599ee949e5d83e8382b94a50.crl Назначение/EKU : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента 1.3.6.1.5.5.7.3.4 Защищенная электронная почта 1.2.643.2.2.34.34.1.54.5410 ============================================================================= Authorization required, but no authorization protocol specified Insert carrier to open container /var/opt/cprocsp/keys/www-data/547c84b5.000 Press 'c' to cancel: И далее не понимаю, что система от меня хочет - ввожу пароль ключа контейнера, но поле ввода и Press 'c' to cancel: появляется снова Пробовал прокинуть флешку rutoken ключем ФНС, но нет результата, вероятно, так как контейнер на ней называется по старому. Сертификат с контейнером пользователю Admin ставил через .pfx Возможно есть способ установить пользователю www-data также используя pfx но задав конечное имя контейнера? Отредактировано пользователем 24 ноября 2024 г. 18:50:16(UTC) \| Причина: Не указана*


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

nickm		#8 Оставлено : 24 ноября 2024 г. 18:50:38(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 2,590 Сказал(а) «Спасибо»: 607 раз Поблагодарили: 451 раз в 427 постах		Копировать надо с помощью утилит "КриптоПро". Попробую показать на примерах, например: 1. Имеем два контейнера в директории пользователя: Код: `$ ls -l /var/opt/cprocsp/keys/$USER итого 8 drwxr-xr-x 2 det det 4096 ноя 24 20:27 12102000.001 drwxr-xr-x 2 det det 4096 ноя 24 20:27 12102000.002` 2. Обратите внимание, что хотя директории и различаются, но наименование контейнеров при этом одинаковые: Код: `$ /opt/cprocsp/bin/amd64/csptestf -keys -enum -verifyc -fqcn -uniq CSP (Type:80) v5.0.10013 KC1 Release Ver:5.0.13000 OS:Linux CPU:AMD64 FastCode:READY:AVX,AVX2. AcquireContext: OK. HCRYPTPROV: 23733011 \\.\HDIMAGE\1210200030886 110094329 \|\\.\HDIMAGE\HDIMAGE\\12102000.001\162B \\.\HDIMAGE\1210200030886 110094329 \|\\.\HDIMAGE\HDIMAGE\\12102000.002\162B OK. Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,080 sec [ErrorCode: 0x00000000]` 3. Выполняем копирование (вариант 1): Код: `$ /opt/cprocsp/bin/amd64/csptest -keycopy -contsrc '\\.\HDIMAGE\1210200030886 110094329' -contdest '\\.\HDIMAGE\1210200030886 110094329 copy' CryptAcquireContext succeeded.HCRYPTPROV: 20932019 CryptAcquireContext succeeded.HCRYPTPROV: 21307331 Total: SYS: 0,000 sec USR: 0,180 sec UTC: 12,600 sec [ErrorCode: 0x00000000]` 3.1. Выполняем копирование (вариант 2): Код: `$ /opt/cprocsp/bin/amd64/csptest -keycopy -contsrc '\\.\HDIMAGE\HDIMAGE\\12102000.001\162B' -contdest '\\.\HDIMAGE\HDIMAGE\\12102000.003' CryptAcquireContext succeeded.HCRYPTPROV: 8680867 CryptAcquireContext succeeded.HCRYPTPROV: 9056195 Total: SYS: 0,010 sec USR: 0,250 sec UTC: 18,550 sec [ErrorCode: 0x00000000]` 4. Смотрим, что изменилось: Код: $ /opt/cprocsp/bin/amd64/csptestf -keys -enum -verifyc -fqcn -uniq CSP (Type:80) v5.0.10013 KC1 Release Ver:5.0.13000 OS:Linux CPU:AMD64 FastCode:READY:AVX,AVX2. AcquireContext: OK. HCRYPTPROV: 7037715 \\.\HDIMAGE\1210200030886 110094329 copy \|\\.\HDIMAGE\HDIMAGE\\12102000.000\0B9B \\.\HDIMAGE\1210200030886 110094329 \|\\.\HDIMAGE\HDIMAGE\\12102000.001\162B \\.\HDIMAGE\1210200030886 110094329 \|\\.\HDIMAGE\HDIMAGE\\12102000.002\162B \\.\HDIMAGE\12102000.003 \|\\.\HDIMAGE\HDIMAGE\\12102000.003\E608 OK. Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,030 sec [ErrorCode: 0x00000000] 5. Код: `$ ls -l /var/opt/cprocsp/keys/$USER итого 16 drwx------ 2 det det 4096 ноя 24 20:30 12102000.000 drwxr-xr-x 2 det det 4096 ноя 24 20:27 12102000.001 drwxr-xr-x 2 det det 4096 ноя 24 20:27 12102000.002 drwx------ 2 det det 4096 ноя 24 20:37 12102000.003` Т.е. достигли желаемого, копированием заполучили другие контейнеры ключей. Отредактировано пользователем 24 ноября 2024 г. 18:51:24(UTC) \| Причина: Не указана

1 пользователь поблагодарил nickm за этот пост.		A.X. оставлено 24.11.2024(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

A.X.		#9 Оставлено : 24 ноября 2024 г. 19:54:58(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 29.11.2023(UTC) Сообщений: 4 Сказал(а) «Спасибо»: 1 раз		Ключи скопировать не удалось, поскольку, вероятно, они помечены как неэкспортируемые Имя контейнера: Код: `$ /opt/cprocsp/bin/amd64/csptestf -keys -enum -verifyc -fqcn -uniq CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 OS:Linux CPU:AMD64 FastCode:READY:AVX. DISABLED:RSA; AcquireContext: OK. HCRYPTPROV: 24264707 \\.\HDIMAGE\547c84b4-dd34-4086-9a3a-6019a54644c9-\|\\.\HDIMAGE\HDIMAGE\\547c84b4.000\5A82 OK. Total: SYS: 0,010 sec USR: 0,070 sec UTC: 0,090 sec [ErrorCode: 0x00000000]` Попытка скопировать 1 Код: $ /opt/cprocsp/bin/amd64/csptest -keycopy -contsrc '\\.\HDIMAGE\HDIMAGE\\547c84b4.000\5A82' -contdest '\\.\HDIMAGE\HDIMAGE\\547c84b4.001' CryptAcquireContext succeeded.HCRYPTPROV: 30319059 CryptAcquireContext succeeded.HCRYPTPROV: 30750371 CopyPrivateKey!ExportKey(PRIVATEKEYBLOB, NULL) (:343) ../../../../CSPbuild/CSP/samples/csptest/keycopy.c:317:CopyPrivateKey(AT_KEYEXCHANGE) Error 0x8009000b: Ключ не может быть использован в указанном состоянии. Total: SYS: 0,000 sec USR: 0,020 sec UTC: 0,030 sec [ErrorCode: 0x8009000b] Попытка скопировать 2 Код: `$ /opt/cprocsp/bin/amd64/csptest -keycopy -contsrc '\\.\HDIMAGE\547c84b4-dd34-4086-9a3a-6019a54644c9-' -contdest '\\.\HDIMAGE\HDIMAGE\\547c84b4.001' ../../../../CSPbuild/CSP/samples/csptest/keycopy.c:258:AcquireContext(source) Error 0x8009001a: Неправильный зарегистрированный набор ключей. Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,010 sec [ErrorCode: 0x8009001a]` Проблему в итоге решил предложенным Вами альтернативным способом Код: `$ sudo sysctl fs.protected_regular=1 fs.protected_regular = 1 sudo chown -R root /var/opt/cprocsp/tmp sudo chmod -R a+rw /var/opt/cprocsp/tmp` Проверка от имени www-data Код: `$ sudo -u www-data /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn -uniq CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 OS:Linux CPU:AMD64 FastCode:READY:AVX. DISABLED:RSA; AcquireContext: OK. HCRYPTPROV: 18817027 \\.\HDIMAGE\547c84b4-dd34-4086-9a3a-6019a54644c9-\|\\.\HDIMAGE\HDIMAGE\\547c84b4.000\5A82 OK. Total: SYS: 0,000 sec USR: 0,070 sec UTC: 0,080 sec [ErrorCode: 0x00000000]` Проверка от имени админа Код: `$ /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn -uniq CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 OS:Linux CPU:AMD64 FastCode:READY:AVX. DISABLED:RSA; AcquireContext: OK. HCRYPTPROV: 24547331 \\.\HDIMAGE\547c84b4-dd34-4086-9a3a-6019a54644c9-\|\\.\HDIMAGE\HDIMAGE\\547c84b4.000\5A82 OK. Total: SYS: 0,000 sec USR: 0,080 sec UTC: 0,090 sec [ErrorCode: 0x00000000]` Вероятно, этот способ решения единственный, если мы имеем дело с неэкспортируемыми ГОСТ-ключами ФНС. Отредактировано пользователем 24 ноября 2024 г. 19:55:58(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

nickm		#10 Оставлено : 24 ноября 2024 г. 20:14:58(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 2,590 Сказал(а) «Спасибо»: 607 раз Поблагодарили: 451 раз в 427 постах		Автор: A.X. Вероятно, этот способ решения единственный, если мы имеем дело с неэкспортируемыми ГОСТ-ключами ФНС. Но, Вы же каким-то образом .pfx получили? Автор: A.X. И далее не понимаю, что система от меня хочет - ввожу пароль ключа контейнера, но поле ввода и Press 'c' to cancel: появляется снова Вероятно из-за того, что у второго пользователя контейнер в директории в этот момент присутствует, и его, до/ перед/ предварительно/ при проведении процедуры копирования нужно переместить. Автор: A.X. Ключи скопировать не удалось, поскольку, вероятно, они помечены как неэкспортируемые Да, вспомнилось - при импорте .pfx, по умолчанию, ключ помечается как не экспортируемый, но это дело может поправить следующий параметр: Код: `-keep_exportable Пометить импортированные ключи как экспортируемые` Код: $ /opt/cprocsp/bin/amd64/certmgr -install -pfx -h Certmgr (c) "КРИПТО-ПРО", 2007-2024. Программа для работы с сертификатами, CRL и хранилищами. Формат команды: certmgr -install [опции] -store u<имя> Имя хранилища сертификатов пользователя (по умолчанию: uMy) -store m<имя> Имя хранилища сертификатов компьютера (вместе с -autodist можно указать только uMy или mMy) -file <путь> Путь к файлу с сертификатом или CRL -provname <имя> Имя провайдера -provtype <тип> Тип провайдера -container <имя> Имя контейнера закрытого ключа (\\.\Reader\name) -ask-container Попросить пользователя выбрать из существующих контейнеров -to-container При установке сертификата также положить его в контейнер -certificate* Установить сертификат -crl Установить CRL -pfx Установить PFX -autodist Автоматически распределить сертификаты из PFX по хранилищам -pin <пин-код> Пин-код на контейнер закрытого ключа или пароль на PFX -newpin <пин-код> Пин-код на контейнер импортируемого из PFX ключа -carrier <путь> Путь к носителю-приёмнику при импорте PFX: \\.\HDIMAGE\ -at_signature Использовать ключ подписи вместо ключа обмена -all Использовать все сертификаты/CRLs -silent Использовать сертификат/CRL в неинтерактивном режиме -keep_exportable Пометить импортированные ключи как экспортируемые -protected <вид> Пометить импортированные ключи как protected: none/medium/high -trace <режим> Уровень логирования для внутренних сообщений -tfmt <флаги> Формат логирования для внутренних сообщений Отредактировано пользователем 25 ноября 2024 г. 7:14:21(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close