Статус: Участник
Группы: Участники
Зарегистрирован: 13.10.2020(UTC) Сообщений: 22 Откуда: Ростов-на-Дону Сказал(а) «Спасибо»: 6 раз
|
Рано обрадовался((( Почему-то полученный таким образом pfx устанавливается в контейнер провайдера "Microsoft Software Key Storage Provider".(((
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.11.2020(UTC) Сообщений: 17 Поблагодарили: 2 раз в 2 постах
|
Обратитесь к документации крипто про, там описано как импортировать pfx.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 13.10.2020(UTC) Сообщений: 22 Откуда: Ростов-на-Дону Сказал(а) «Спасибо»: 6 раз
|
В Windows импорт выполняется без ошибок. Но что при импорте через оболочку Windows, что при импорте через утилиту Крипто Про - импортируется одинаково (с левым криптопровайдером). В Windows таким сертфиикатом ничего не удается подписать. При импорте через GUI КриптоПро CSP (кнопка "Установить личный сертификат" на вкладке "Сервис") выдается ошибка Плохие данные.В Ubuntu 18.04 импорт с ошибкой Ошибка импорта PFX. Тип поставщика не определен.Отредактировано пользователем 10 июня 2021 г. 14:40:08(UTC)
| Причина: Не указана
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 01.09.2017(UTC) Сообщений: 5
|
коллеги, добрый день! не поможете с использованием динамической библиотеки выходит не понятная для меня ошибка вроде бы и видит ее , но ошибки при загрузке имеются спасибо centos 7.5 крипто про 5 Openssl c github для госта Snimok.PNG (20kb) загружен 11 раз(а).
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.10.2017(UTC) Сообщений: 14 Сказал(а) «Спасибо»: 1 раз
|
Добрый день. Прошу помоч, в прошлом году был настроен и прекрасно работал nginx. сейчас понадобилось его перезагрузить и он просто не стартует, пишет ошибку: Код:nginx -t
nginx: [emerg] cannot load certificate key "engine:gostengy:9a4ea2674f4f7214e0e500000e277ccc9e836d0e": ENGINE_load_private_key() failed (SSL: error:80016034:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)
nginx: configuration file /etc/nginx/nginx.conf test failed
Нашел сообщение 3х летней давности что наличие в хранилище истекших сертификатов может быть причной. Удалил их. а так же удалил соответствующие контейнеры из /var/opt/cprocsp/keys/ Но ошибка никуда не ушла. Ключ с этим SubjKeyID точ но есть. nginx 3 сайта и проблема только с 2. если оставить 1 - nginx стартует. Почему может не видеться ключ? Код:
=============================================================================
1------- не работает
....
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 25/09/2020 11:42:14 UTC
Not valid after : 25/09/2045 11:51:57 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\key1.000\0FAA
Provider Name : Crypto-Pro GOST R 34.10-2012 KC2 CSP
Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0
Extended Key Usage : 1.3.6.1.5.5.7.3.1
2------- работает
.....
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 19/11/2021 11:16:43 UTC
Not valid after : 19/11/2046 11:26:43 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\key2.000\528B
Provider Name : Crypto-Pro GOST R 34.10-2012 KC2 CSP
Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0
Extended Key Usage : 1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.1
3------- не работает
...
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 02/06/2021 06:21:20 UTC
Not valid after : 02/06/2046 06:31:20 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\key3.000\AA0E
Provider Name : Crypto-Pro GOST R 34.10-2012 KC2 CSP
Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0
Extended Key Usage : 1.3.6.1.5.5.7.3.1
=============================================================================
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 716 раз в 621 постах
|
Истёк срок действия закрытого ключа скорее всего. |
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 395 раз в 366 постах
|
Проверьте есть ли еще какие-то даты кроме процитированных в выводе. Если срок закрытого ключа есть в сертификате и он прошел - с этим ничего не сделать, нужен новый сертификат. Если же других дат в сертификате нет (или еще не прошли) - подозрение на срок ключа в контейнере. Наличие ограничения в контейнере можно проверить утилитой csptest, поменяйте под свою ОС по необходимости Код:csptest -keyset -container имя_контейнера
Если дата в контейнере прошла, но ключ экспортируемый: попробуйте через certmgr экспортировать в pfx и импортировать обратно, это должно установить дату действия закрытого ключа в контейнере на 457 дней позднее текущей даты. Возможно такой экспорт-импорт проще будет сделать на Windows. Совсем удалять дату действия закрытого ключа из контейнера для такого долгоиграющего сертификата не даст эффекта, поменять прямо нельзя (штатного способа нет, а ручное вмешательство нарушает контроль целостности контейнера). К слову, -loadext у меня срабатывает только для сертификатов, так что через него не меняется. Отредактировано пользователем 8 февраля 2022 г. 11:58:50(UTC)
| Причина: Не указана
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.10.2017(UTC) Сообщений: 14 Сказал(а) «Спасибо»: 1 раз
|
Автор: two_oceans Если дата в контейнере прошла, но ключ экспортируемый: попробуйте через certmgr экспортировать в pfx и импортировать обратно действительно ключи были просрочены. Удалось починить таким способом только 1 сайт. второй все равно ругается, хотя ключ теперь не expired Автор: two_oceans Проверьте есть ли еще какие-то даты кроме процитированных в выводе. Если срок закрытого ключа есть в сертификате и он прошел - с этим ничего не сделать, нужен новый сертификат.
В выводе certmgr -list или какой то другой команды? list никакх дополнительных полей с датами. Отредактировано пользователем 8 февраля 2022 г. 21:13:07(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 30.08.2022(UTC) Сообщений: 34
Сказал(а) «Спасибо»: 7 раз
|
Добрый день! Неделю изучал тему по форуму, но так и не смог решить задачу - прошу помощи. Задача настроить авторизацию через госуслуги в приложении работающим в контейнере под линуксом(ubuntu 20.04). Затык в формировании параметра secret_client при сборке url на авторизацию в ЕСИА. Собрав все параметры пытаюсь подписать их в cmd: Код:openssl smime -engine gost -keyform ENGINE -sign -md sha256 -in {f_in} -signer keys/my_public_cert.crt -inkey keys/my_private.key -out {f_out} -outform DER
Но все время проблемы с обращением к ключевому контейнеру: Код:engine "gost" set.
cannot load signing key file from engine
139762635445568:error:2609607D:engine routines:ENGINE_load_private_key:no load function:../crypto/engine/eng_pkey.c:71:
unable to load signing key file
конфиг файл найденный по: openssl version -dдописал только в конец: Код:[openssl_def]
engines = engine_section
[engine_section]
gost = gost_section
[gost_section]
engine_id = gost
default_algorithms = ALL
CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet
руководствуясь этими комментариями: https://habr.com/ru/post/550664/Соответственно у меня: Код:openssl engine gost
(gost) Reference implementation of GOST engine
Находил подобные на форуме, но ответов решающих мою проблему не нашел/понял. Относительно сертификата и закрытого ключа: они экспортированы в pfx файл на рабочей машине под win10 и разложены openssl: Код:openssl pkcs12 -in certificate.pfx -clcerts -nokeys -out certificate.crt
openssl pkcs12 -in certificate.pfx -nocerts -out key-encrypted.key
Ясно что в 3х соснах заблудился.. Не сочтите за труд указать верный путь ясно. Отредактировано пользователем 14 ноября 2022 г. 10:00:00(UTC)
| Причина: синтаксис
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close