Статус: Новичок
Группы: Участники
Зарегистрирован: 30.05.2022(UTC)
Сообщений: 9
Поблагодарили: 1 раз в 1 постах
|
Похоже немного разобрался. Сделал так, вдруг кому поможет, если где не прав, исправляйте. - Серверный сертификат вся цепочка(корневой - промежуточный, если есть - сам сертификат сервера) из файла pfx, ставится под пользователем nginx в хранилище uMy
- Корневой сертификат УЦ, замечу что не промежуточный даже если он есть, где выдавался сертификат клиента, ставиться в utrustedcerts пользователя nginx и в mroot
- Как я понимаю, списки отозванных сертификатов тоже должны присутствовать на сервере для корректного построения цепочки сертификатов, отсюда следующие варианты:
- должны быть доступны сервера указанные в поле сертификата CDP
- либо самостоятельно скачать файл CRL и установить его в хранилище mCA , при этом использовать директиву в конфигурации nginx :
- sspi_client_verify_local_crl_only on; - для виртуального хоста
- proxy_ssl_verify_local_crl_only on; - для upstream если nginx настроен в качестве обратного прокси
|
 1 пользователь поблагодарил newman22 за этот пост.
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602  Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 397 раз в 367 постах
|
Автор: newman22  Еще вопрос, не отходя от темы.
Можно ли использовать сертификат у которого есть OID проверка подлинности сервера и проверка подлинности клиента, использовать на прокси для клиента как сертификат сервера, а для связи с бэкендом как клиентский? Добрый день. Похоже разобрались с этой темой, для полноты - ответ на вопрос в цитате "Да". Точнее, к OID проверка подлинности сервера и проверка подлинности клиента можно еще добавить OID 2.16.840.1.113730.4.1 (Netscape Server Gated Crypto (SGC)) - он указывает старым браузерам конкретно роль "Прокси". Старых браузеров все меньше, в большинстве случаев сработает и без него, но знать не помешает.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2022(UTC) Сообщений: 18 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
Получили сертификат в формате p7b от УЦ TLS CA на организацию для домена и пробуем установить эти ключи на ubuntu 20.04 + крипто про + nginx пропатченный.
Делал так же как описано выше и с использованием всех возможных инструкций и мануалов.
Не получается связать контейнер с сертификатом.
Failed to install certificate
Public keys in certificate and container are not identical
Понимаю что certmgr просит .pfx или crt
Для того что бы конвертировать p7b с помощью openssl в формат pfx или crt
139843391169856:error:0909006C:PEM routines:get_name:no start line:../crypto/pem/pem_lib.c:745:Expecting: PKCS7
root@dc2-s-swaf03:/home/waf# encoding routines:asn1_item_embed_d2i:nested asn1 error:../crypto/asn1/tasn_dec.c:309:Type=PKCS7
Прошу помогите!!!!!!
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,081  Сказал «Спасибо»: 612 раз
Поблагодарили: 2375 раз в 1868 постах
|
Цитата:
Public keys in certificate and container are not identical
Вы указываете не тот контейнер. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2022(UTC) Сообщений: 18 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
Узнал уникальное имя
/opt/cprocsp/bin/amd64/csptest -keys -enum -verifyc -fqcn -un
И теперь получил
Error(0x2). Cannot open file
at ../../../../CSPbuild/CSP/src/certmgr/certmgr.cpp:3741
The system cannot find the file specified.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2022(UTC) Сообщений: 18 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
Выполняю
sudo -u nginx-gost ./certmgr -install -store umy -file _.org.ru.p7b -container '\\.\HDIMAGE\HDIMAGE\\tls.000\3B0D'
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2022(UTC) Сообщений: 18 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
Автор: halifik Выполняю
sudo -u nginx-gost ./certmgr -install -store umy -file _.org.ru.p7b -container '\\.\HDIMAGE\HDIMAGE\\tls.000\3B0D' Автор: halifik Узнал уникальное имя
/opt/cprocsp/bin/amd64/csptest -keys -enum -verifyc -fqcn -un
И теперь получил
Failed to install certificate
Public keys in certificate and container are not identical
The requested certificate does not exist.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,081 Сказал «Спасибо»: 612 раз
Поблагодарили: 2375 раз в 1868 постах
|
certmgr запускаете для пользователя nginx-gost
в то время как csptest от другого? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2022(UTC) Сообщений: 18 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
Контейнер для пользователя nginx-gost, соответственно контейнер вижу и выполняю csptest от nginx-gost
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2022(UTC) Сообщений: 18 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
Так же пробовал вариант записи sudo -u nginx-gost ./cryptcp -instcert -provtype 80 /home/user/_.org.ru.p7b
Получаю
Command prompt Utility for file signature and encryption.
Please, choose container (type its number and press [ENTER]).
User key container list:
(1) tls, Reader: HDIMAGE
Select container number ( (c)Cancel ) : 1
Error: OSS Certificate encode/decode error code base
../../../../CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1005: 0x80093000
[ErrorCode: 0x80093000]
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
