Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы<12
Ошибки с закрытым ключом в рабочем контейнере Рутокен на Astra Linux
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Вадим Ж  
#11 Оставлено : 7 июня 2024 г. 5:38:54(UTC)
Вадим Ж

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.06.2024(UTC)
Сообщений: 9
Российская Федерация
Откуда: Нижний Новгород
Переустановил все от имени user, установилось без ошибок,
попробовал csptestf -absorb -certs получил:
user@astra:~$ /opt/cprocsp/bin/amd64/csptestf -keyset -container ххх -check
CSP (Type:80) v5.0.10013 KC1 Release Ver:5.0.13000 OS:Linux CPU:AMD64 FastCode:READY:AVX,AVX2.
AcquireContext: OK. HCRYPTPROV: 6558643
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "ххх"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x6d1633
Symmetric key is not available.
UEC key is not available.
License: Cert without license
Crypto-Pro GOST R 34.10-2012 KC1 CSP запрашивает пин-код на носитель
Введите пин-код:
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Check import passed.
Certificate in container matches AT_KEYEXCHANGE key.
Keys in container:
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 08.05.2025 06:27:43 (UTC)
Total: SYS: 0,030 sec USR: 0,090 sec UTC: 35,600 sec
[ErrorCode: 0x00000000]
=====
License: Cert without license - это почему? Проверка сертификата говорит, что цепочка проверена, ссылка на закрытый ключ есть. Но в графической части Крипто Про все по-прежнему. И почему-то операции с контейнерами и сертификатми начали занимать в разы больше времени.
ПС. "желательно вывод оформлять соответствующими тегами" - извините, не знаю, как и где, и что имееттся ввиду.
Вверх
Offline nickm  
#12 Оставлено : 7 июня 2024 г. 6:50:56(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,133

Сказал(а) «Спасибо»: 532 раз
Поблагодарили: 364 раз в 344 постах
Автор: Вадим Ж Перейти к цитате
License: Cert without license - это почему?

Такой вывод допускается, это означает, что сертификат без встроенной лицензии СКЗИ;

Автор: Вадим Ж Перейти к цитате
попробовал csptestf -absorb -certs получил:

Получили что?

Автор: Вадим Ж Перейти к цитате
Код:
$ /opt/cprocsp/bin/amd64/csptestf -keyset -container ххх -check

Контейнер вычитался без ошибок и в нём присутствует только пользовательский сертификат:
Код:
Certificate in container matches AT_KEYEXCHANGE key.
Keys in container:
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 08.05.2025 06:27:43 (UTC)
Total: SYS: 0,030 sec USR: 0,090 sec UTC: 35,600 sec
[ErrorCode: 0x00000000]


Автор: Вадим Ж Перейти к цитате
И почему-то операции с контейнерами и сертификатами начали занимать в разы больше времени.

Возможно, что такое поведение говорит о том, что токен проблемный и возможно отсюда возникают проблемы при работе с ключом?

Попробуйте из консоли выполнить тестовое подписание, что-то типа такого (формируем откреплённую подпись файла test.pdf в домашней директории пользователя):
Код:
$ /opt/cprocsp/bin/amd64/cryptcp -sign -detached -thumbprint _здесь_отпечаток_пользовательского_сертификата_ ~/test.pdf ~/test.pdf.sig


, что будет в результате?

Ну и сделайте это: воспроизведите ошибку и покажите, что в этот момент происходит в системном журнале:

Автор: Русев Андрей Перейти к цитате
А что в системном журнале (journalctl) после неуспешного тестирования контейнера?
Вверх
Offline Вадим Ж  
#13 Оставлено : 7 июня 2024 г. 7:33:38(UTC)
Вадим Ж

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.06.2024(UTC)
Сообщений: 9
Российская Федерация
Откуда: Нижний Новгород
У меня немного другая команда создания файла с подписью (делает программа "Пирамида" в режиме автоматического создания и подписания файла xml и отправки в АО АТС), из логов:
/opt/cprocsp/bin/amd64/cryptcp -signf /tmp/файл.tmp -uMy -thumbprint _отпечаток_ -dir /tmp/ -der -cert -nochain
запустил из терминала, потом с добавлением -pin _пин-код_контейнера_, все сработало без ошибок, файл создан, отсоединенная подпись тоже.
Почему же графическая часть Крипто Про ни разу не запросила пароль контейнера, только через терминал?
Копирование контейнера через графКриптоПро - отказ, КрПро ругается, возможно рутокен не дает. Пароль на контейнер как-то можно сохранить в хранилищах совместно с сертификатом?

в системе нашел такой файл /usr/share/bash-completion/completions/journalctl. Не уверен, это то что нужно?
Вверх
Offline nickm  
#14 Оставлено : 7 июня 2024 г. 7:40:50(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,133

Сказал(а) «Спасибо»: 532 раз
Поблагодарили: 364 раз в 344 постах
Автор: Вадим Ж Перейти к цитате
Почему же графическая часть Крипто Про ни разу не запросила пароль контейнера, только через терминал?

Хех, ну так установите пакет:
Код:
cprocsp-rdr-gui-gtk-*

, он же:
Код:
cprocsp-rdr-gui-gtk-64_5.0.13000-7_amd64.deb


Выше же Вам предлагался один из вариантов решения:

Автор: nickm Перейти к цитате
Вы каким образом/ какой командой устанавливали СКЗИ?

У Вас установлены не все ридеры.

Есть два варианта:
  1. Если используется GUI, то удалить и установить СКЗИ в графическом режиме с такими параметрами, например:

    UserPostedImage
    UserPostedImage


Проверить работу.


Поэтому повторю вопрос:
Автор: nickm Перейти к цитате
Вы каким образом/ какой командой устанавливали СКЗИ?


, возможно, что скопировали консольные команды из какой-нибудь, устаревшей WiKi-статьи.

Отредактировано пользователем 7 июня 2024 г. 8:58:01(UTC)  | Причина: Не указана
Вверх
Offline Вадим Ж  
#15 Оставлено : 7 июня 2024 г. 9:02:52(UTC)
Вадим Ж

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.06.2024(UTC)
Сообщений: 9
Российская Федерация
Откуда: Нижний Новгород
Вау! Ура! Получилось!

Хех, ну так установите пакет:
Код:
cprocsp-rdr-gui-gtk-*

ПОМОГЛО! Появилось окно сохранения пароля контейнера, тестирование контейнера прошло успешно, подписание файла тоже. И в спец. программе формирования/отправки файлов тоже.
ПС. При этом установку КрПро делал именно так, как советовали, через ./linux-amd64_deb/install_gui.sh с теми параметрами, как в руководстве и как у вас на картинках, и этого пакета, видимо, не было установлено.

ВСЕМ СПАСИБО ОГРОМНОЕ!
Вверх
Offline Вадим Ж  
#16 Оставлено : 7 июня 2024 г. 10:31:07(UTC)
Вадим Ж

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.06.2024(UTC)
Сообщений: 9
Российская Федерация
Откуда: Нижний Новгород
Напоследок устранил задержки, возникающие при тестировании контейнера и сертификата (до 10 секунд).
Они вносились пакетом cprocsp-rdr-cryptoki-64_5.0.13000-7_amd64.deb, который, кроме рутокен-лайт, видимо, еще пытался что-то читать.
Удалил, теперь все получается быстро (это важно для автоматического подписания и шифрования с помощью чужого скрипта).
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET