Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы<1234>
Опции
К последнему сообщению К первому непрочитанному
Offline Константин31  
#21 Оставлено : 24 июня 2023 г. 13:47:50(UTC)
Константин31

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.06.2018(UTC)
Сообщений: 56
Российская Федерация
Откуда: Челябинск

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: nickm Перейти к цитате

Давайте посмотрим вывод этой команды от каждого из пользователей:
Автор: Константин31 Перейти к цитате
Код:
/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum -unique




под usr1cv8:
$ /opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum -unique
CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 37818595
1087430000877 117093133 |HDIMAGE\\10874300.000\E51A
1057414001369 712165603 |HDIMAGE\\10574140.000\93D6
OK.
Total: SYS: 0,000 sec USR: 0,030 sec UTC: 0,040 sec
[ErrorCode: 0x00000000]

под root@Server1C:
root@Server1C:/home/admin-uokmr# /opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum -unique
CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 25026787
OK.
Total: SYS: 0,000 sec USR: 0,040 sec UTC: 0,040 sec
[ErrorCode: 0x00000000]

под admin-uokmr@Server1C:
admin-uokmr@Server1C:~$ /opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum -unique
CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 15843555
OK.
Total: SYS: 0,000 sec USR: 0,030 sec UTC: 0,050 sec
[ErrorCode: 0x00000000]
Offline nickm  
#22 Оставлено : 24 июня 2023 г. 13:51:21(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,062

Сказал(а) «Спасибо»: 524 раз
Поблагодарили: 353 раз в 333 постах
Автор: Константин31 Перейти к цитате

под usr1cv8:

Отлично, ключевые контейнеры имеются;

Автор: Константин31 Перейти к цитате

под root@Server1C:

Полагаю этому пользователю они и не нужны ;)

Автор: Константин31 Перейти к цитате

под admin-uokmr@Server1C:

У этого пользователя ключевых контейнеров нет.
Если нужны, то создавайте/ копируйте.

Offline Константин31  
#23 Оставлено : 24 июня 2023 г. 13:55:49(UTC)
Константин31

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.06.2018(UTC)
Сообщений: 56
Российская Федерация
Откуда: Челябинск

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: nickm Перейти к цитате
Автор: Константин31 Перейти к цитате

под usr1cv8:

Отлично, ключевые контейнеры имеются;



нужны только для usr1cv8
на этом всё? ЭЦП установлена?

Привязка сертификата к закрытому ключу не нужна?
Offline nickm  
#24 Оставлено : 24 июня 2023 г. 14:06:51(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,062

Сказал(а) «Спасибо»: 524 раз
Поблагодарили: 353 раз в 333 постах
Автор: Константин31 Перейти к цитате
Привязка сертификата к закрытому ключу не нужна?

Привязка нужна.

У Вас у пользователя usr1cv8 этот контейнер под ПИН'ом?
Код:
1087430000877 117093133 |HDIMAGE\\10874300.000\E51A


Если контейнеры без ПИН'а, то самое простое дело, это поступить следующим образом:
1. Скопировать сертификат ЭП пользователя в ключевую пользовательскую директорию, где для usr1cv8:
Код:
/var/opt/cprocsp/keys/usr1cv8/10874300.000


2. Выполнить от указанного пользователя команду:
Код:
/opt/cprocsp/bin/amd64/csptestf -absorb -certs


Сертификат автоматически установится в хранилище и свяжется с закрытым ключом.

В противном случае устанавливать сертификат из-под пользователя с указанием как файла сертификата так и ключевого контейнера с указанием ПИН'а, что-то типа такого:
Код:
/opt/cprocsp/bin/amd64/certmgr -inst -file '/var/opt/cprocsp/keys/usr1cv8/10874300.000/cert.cer' -cont '\\.\HDIMAGE\HDIMAGE\\10874300.000\E51A' -pin 12345678






Offline Константин31  
#25 Оставлено : 24 июня 2023 г. 14:19:13(UTC)
Константин31

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.06.2018(UTC)
Сообщений: 56
Российская Федерация
Откуда: Челябинск

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: nickm Перейти к цитате

Если контейнеры без ПИН'а, то самое простое дело, это поступить следующим образом:
1. Скопировать сертификат ЭП пользователя в ключевую пользовательскую директорию, где для usr1cv8:
Код:
/var/opt/cprocsp/keys/usr1cv8/10874300.000




ПИНа нет.
Пишу:
sudo cp -rT /var/opt/cprocsp/keys/mak2.cer /var/opt/cprocsp/keys/usr1cv8/10574140.000

Получаю:
cp: невозможно перезаписать каталог '/var/opt/cprocsp/keys/usr1cv8/10574140.000' файлом, не являющимся каталогом

Не ту команду использую?
Offline nickm  
#26 Оставлено : 24 июня 2023 г. 14:26:06(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,062

Сказал(а) «Спасибо»: 524 раз
Поблагодарили: 353 раз в 333 постах
Автор: Константин31 Перейти к цитате
Получаю:
cp: невозможно перезаписать каталог '/var/opt/cprocsp/keys/usr1cv8/10574140.000' файлом, не являющимся каталогом

Код:
ls -l /var/opt/cprocsp/keys/

Код:
ls -l /var/opt/cprocsp/keys/usr1cv8/

Вам в помощь.

Исследуйте директорию keys.
Offline Константин31  
#27 Оставлено : 24 июня 2023 г. 14:32:45(UTC)
Константин31

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.06.2018(UTC)
Сообщений: 56
Российская Федерация
Откуда: Челябинск

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: nickm Перейти к цитате

Если контейнеры без ПИН'а, то самое простое дело, это поступить следующим образом:
1. Скопировать сертификат ЭП пользователя в ключевую пользовательскую директорию, где для usr1cv8:
Код:
/var/opt/cprocsp/keys/usr1cv8/10874300.000


2. Выполнить от указанного пользователя команду:
Код:
/opt/cprocsp/bin/amd64/csptestf -absorb -certs


Сертификат автоматически установится в хранилище и свяжется с закрытым ключом.



Если правильно понял, то поместил в /var/opt/cprocsp/keys/usr1cv8/10574140.000 сертификат mak2.cer
Скрин:
скрин3
Offline Константин31  
#28 Оставлено : 24 июня 2023 г. 14:36:53(UTC)
Константин31

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.06.2018(UTC)
Сообщений: 56
Российская Федерация
Откуда: Челябинск

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: nickm Перейти к цитате

Код:
ls -l /var/opt/cprocsp/keys/

Код:
ls -l /var/opt/cprocsp/keys/usr1cv8/

Вам в помощь.

Исследуйте директорию keys.


Получил:
скрин4
Offline nickm  
#29 Оставлено : 24 июня 2023 г. 14:44:56(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,062

Сказал(а) «Спасибо»: 524 раз
Поблагодарили: 353 раз в 333 постах
Автор: Константин31 Перейти к цитате
Получил:
скрин4

Уу, как всё запущено Think

У Вас одна из проблем, это права доступа - права доступа к ключевым директориям пользователей должны быть пользовательские.

Ну и да, размещать в рабочих директориях СКЗИ лишние/ левые файлы не следует, а то по итогу у вас получится "мусорка", поэтому наводите порядок.

Вот Вам пример "чистоты":
Код:
det@localhost ~ $ ls -l /var/opt/cprocsp/keys/
итого 8
drwx------ 3 det  det  4096 июн 24 16:08 det
drwx------ 3 root root 4096 окт 21  2022 root

det@localhost ~ $ ls -l /var/opt/cprocsp/keys/det/
итого 4
drwxr-xr-x 2 det det 4096 янв 10 17:02 10202017.000

det@localhost ~ $ ls -l /var/opt/cprocsp/keys/det/10202017.000/
итого 24
-rw-r--r-- 1 det det 116 мар 27 08:00 header.key
-rw-r--r-- 1 det det  56 мар 27 08:00 masks2.key
-rw-r--r-- 1 det det  56 июн  6 22:48 masks.key
-rw-r--r-- 1 det det  27 мар 27 08:00 name.key
-rw-r--r-- 1 det det  36 мар 27 08:00 primary2.key
-rw-r--r-- 1 det det  36 июн  6 22:48 primary.key

det@localhost ~ $ 


Добейтесь такого же результата.

Отредактировано пользователем 24 июня 2023 г. 14:45:45(UTC)  | Причина: Не указана

Offline Константин31  
#30 Оставлено : 24 июня 2023 г. 15:27:09(UTC)
Константин31

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.06.2018(UTC)
Сообщений: 56
Российская Федерация
Откуда: Челябинск

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: nickm Перейти к цитате

Уу, как всё запущено Think


Почистил:
Код:
root@Server1C:/home/admin-uokmr# ls -l /var/opt/cprocsp/keys/
итого 12
drwx------ 3 admin-uokmr admin-uokmr 4096 июн 24 15:50 admin-uokmr
drwx------ 3 root        root        4096 июн 21 16:00 root
drwx------ 4 usr1cv8     grp1cv8     4096 июн 24 14:11 usr1cv8
root@Server1C:/home/admin-uokmr# ls -l /var/opt/cprocsp/keys/usr1cv8/
итого 8
drwxr-xr-x 2 root root 4096 июн 24 16:18 10574140.000
drwxr-xr-x 2 root root 4096 июн 24 14:11 10874300.000
root@Server1C:/home/admin-uokmr# ls -l /var/opt/cprocsp/keys/usr1cv8/10574140.000/
итого 28
-rwxr-xr-x 1 root root  110 июн 24 14:50 header.key
-rwxr-xr-x 1 root root 2477 июн 24 16:18 mak2.cer
-rwxr-xr-x 1 root root   56 июн 24 14:50 masks2.key
-rwxr-xr-x 1 root root   56 июн 24 14:50 masks.key
-rwxr-xr-x 1 root root   27 июн 24 14:50 name.key
-rwxr-xr-x 1 root root   36 июн 24 14:50 primary2.key
-rwxr-xr-x 1 root root   36 июн 24 14:50 primary.key
root@Server1C:/home/admin-uokmr# 

Правильно понимаю, что нужно настроить права доступа на вложенные файлы в /var/opt/cprocsp/keys/usr1cv8/10574140.000/?
И правильно ли поступил, поместив сертификат mak2.cer в /var/opt/cprocsp/keys/usr1cv8/10574140.000?

Простите за глупые вопросы, но приходится учиться в боевых условиях.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
4 Страницы<1234>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.