Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline salder  
#1 Оставлено : 8 мая 2024 г. 4:47:51(UTC)
salder

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.05.2018(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 1 раз
Добрый день!
Люди добрые, помогите, пожалуйста, разобраться в ситуации.

Исходные данные:
Astra Linux SE 1.7.5.16
КриптоПро CSP x64 5.0.12001

Возникла проблема, что ряд ресурсов для которых доступ возможен только по ЭП, перестали открываться (на конкретной машине).
По наблюдениям, проблема - в том что не выстраиваются цепочки корневых сертификатов.
Решили удалить их и переустановить.

Но какой бы сертификат не возьмемся удалять - отказано в доступе.
Удалили КриптоПро (с помощью установщика).
Вручную были удалены каталоги:
/opt/cprocsp
/var/opt/cprocsp/
/etc/opt/cprocsp/

Потом с помощью установщика заново поставили КриптоПро CSP.
Сертификаты как были так и остались и так же не получается их удалить.

При выполнении команды:
/opt/cprocsp/bin/amd64/certmgr -del -all

Пишет (красным текстом), что нет сертификата который необходимо удалять.

Помогите, пожалуйста, разобраться как вычистить все корневые сертификаты из и вообще полностью удалить криптопро с Астра линукс?

Спасибо.
Offline Русев Андрей  
#2 Оставлено : 8 мая 2024 г. 12:34:04(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,429

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 573 раз в 399 постах
Автор: salder Перейти к цитате
Возникла проблема, что ряд ресурсов для которых доступ возможен только по ЭП, перестали открываться (на конкретной машине).
По наблюдениям, проблема - в том что не выстраиваются цепочки корневых сертификатов.
Решили удалить их и переустановить.

Здравствуйте.
Удаление корневых не поможет решить проблему с цепочками. К какому ресурсу не удаётся получить доступ? Что при этом в системном журнале? Как вы поняли, что проблема с цепочками?

Официальная техподдержка. Официальная база знаний.
Offline salder  
#3 Оставлено : 8 мая 2024 г. 13:06:27(UTC)
salder

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.05.2018(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 1 раз
Добрый день!

Минфиновский ресурс.
На самом деле не предполагалось, что удаление корневых сертификатов приведет к самостоятельной проблеме.
Как одна из версий, на которую указывают:
1) На других АРМ все работает (с той же самой ЭП).
2) На проблемном все работало, пока в качестве корневых сертификатов было установлено корневых сертификатов казначейства.
Корневой Минцифры (с Госуслуг) и корневой Минфина.
Потом доставили корневые ФК и доступ пропал.
Offline nickm  
#4 Оставлено : 8 мая 2024 г. 13:21:22(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,348

Сказал(а) «Спасибо»: 569 раз
Поблагодарили: 397 раз в 376 постах
Автор: salder Перейти к цитате
2) На проблемном все работало, пока в качестве корневых сертификатов было установлено корневых сертификатов казначейства.
Корневой Минцифры (с Госуслуг) и корневой Минфина.
Потом доставили корневые ФК и доступ пропал.

О каких корневых сертификатах идёт речь? Возможно Вы путаете с промежуточными?

Вы можете показать проблему скрином ошибки, выводом консоли? Пока не совсем понятно, о чём Вы ведёте речь.
Offline salder  
#5 Оставлено : 14 мая 2024 г. 8:13:04(UTC)
salder

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.05.2018(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 1 раз
Добрый день!
К сожалению сейчас доступа к данном компу нет, поэтому пока опишу на словах.

Сайт Электронного бюджета, точнее вход в личный кабинет.
http://ssl.budgetplan.minfin.ru/
Все работало - проблем не было.
Точнее пользователь вполне себе заходил в личный кабинет и работал.
Только при каждом входе постоянно приходилось преодолевать страницу с предупреждением о небезопасности сайта.

Решили попробовать поправить этот момент.
Выяснилось, что из корневых сертификатов был установлен (в криптопро) сертификат Russian Trusted Root CA.cer в доверенные центры сертификации и сертификат менфина - в промежуточные.
Не было казначейских.
Скачали последний казначейский сертификат с их сайта (за 2023 год).
Установили в промежуточные.
Ничего не изменилось.
Тогда скачали с их сайта два сертификата - минцифры и казначействий (за 2022 год).
Установили - один в доверенные, а другой в промежуточные.
И доступ к личному кабинету пропал. То есть крипто про дает выбрать подпись, а потом на этапе авторизации - страница недоступка.
Решили удалить два последний установленных корневых сертификата (за 2022 год). И не тут-то было.
Отказано в доступе.
Решили все удалить: Russian Trusted Root CA и минфиновский. Минфиновский удалился, а Russian Trusted Root CA - тоже с отказом в доступе идет.

Удалили Крипто про с помощью утилиты из установщика.
Вручную были удалены каталоги:
/opt/cprocsp
/var/opt/cprocsp/
/etc/opt/cprocsp/

Перезагрузили машину.
Устанавливаем КпритоПро - а сертификаты как там были так и остались и также не удаляются. И сайт также не доступен.
Offline nickm  
#6 Оставлено : 14 мая 2024 г. 8:30:53(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,348

Сказал(а) «Спасибо»: 569 раз
Поблагодарили: 397 раз в 376 постах
Автор: salder Перейти к цитате
Перезагрузили машину.
Устанавливаем КпритоПро - а сертификаты как там были так и остались и также не удаляются.

Возможно, что на этапе установки Вы импортируете системные сертифкаты:

UserPostedImage

Автор: salder Перейти к цитате
И сайт также не доступен.

C этим, конечно, надо разбираться. Возможно цепочки для сайта не строятся или что-то с сертификатом/ ключом ЭП.
Offline Андрей *  
#7 Оставлено : 14 мая 2024 г. 10:24:32(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Автор: salder Перейти к цитате
Добрый день!
К сожалению сейчас доступа к данном компу нет, поэтому пока опишу на словах.

Сайт Электронного бюджета, точнее вход в личный кабинет.
http://ssl.budgetplan.minfin.ru/
Все работало - проблем не было.
Точнее пользователь вполне себе заходил в личный кабинет и работал.
Только при каждом входе постоянно приходилось преодолевать страницу с предупреждением о небезопасности сайта.


Здравствуйте.
А почему по http сначала открываете?
Может из-за этого всё?
Сообщение было о небезопасности в адресной строке
или всё таки реально про tls и отсутствии доверия к корневому сертификату?

если по http://
Snimok ehkrana ot 2024-05-14 11-17-18.png (5kb) загружен 2 раз(а).

На linux:
Snimok ehkrana ot 2024-05-14 11-06-09.png (83kb) загружен 5 раз(а).

И по ссылке не корневой сертификат Минцифры России (что по идее должно быть),
а промежуточный сертификат от ИИТ (от 2020) и с цепочкой до старого сертификата Минкомсвязи.

http://ssl.budgetplan.minfin.ru/CAMinfin.cer

Snimok ehkrana ot 2024-05-14 11-13-48.png (16kb) загружен 6 раз(а).
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
nickm оставлено 14.05.2024(UTC)
Offline nickm  
#8 Оставлено : 14 мая 2024 г. 11:44:23(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,348

Сказал(а) «Спасибо»: 569 раз
Поблагодарили: 397 раз в 376 постах
Автор: nickm Перейти к цитате
Автор: salder Перейти к цитате
И сайт также не доступен.

C этим, конечно, надо разбираться. Возможно цепочки для сайта не строятся или что-то с сертификатом/ ключом ЭП.

Возможно, что:
  • пользовательский сертификат не связан с ключом;
  • не строится доверенная цепочка пользовательского сертификата;
  • отсутствует доступ к ключу

, т.к. после выбора сертификата:
Автор: salder Перейти к цитате
То есть крипто про дает выбрать подпись, а потом на этапе авторизации - страница недоступна.

происходит обращение к ключу.

Отредактировано пользователем 14 мая 2024 г. 12:12:11(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.