Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline Pro100Fill9  
#11 Оставлено : 5 июля 2024 г. 14:42:24(UTC)
Pro100Fill9

Статус: Участник

Группы: Участники
Зарегистрирован: 05.07.2024(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Автор: Андрей * Перейти к цитате

Скопировали файлы, а csptest от себя запустили? И что выдала утилита?

Ставил от пользователя 1с.

Автор: Андрей * Перейти к цитате

Оболочка есть или только терминал?

GUI нету


Автор: Pro100Fill9 Перейти к цитате

Получил ошибку
[ErrorCode: 0x20000136]
Ошибка: Не удалось получить закрытый ключ сертификата.

Выполнял не под пользователем от которого работает 1С.
Выполняю сейчас вот так от пользователя 1С:
Код:
$ /opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint 4c5ce55321334803af3c52706d1e44ad75207855 /tmp/test1.txt /tmp/test1.sig

Получаю ошибку:
Код:
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2024.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект: Персональные данные
Действителен с 11.04.2024 11:21:23 по 11.04.2025 11:26:23

Цепочки сертификатов проверены.
Папка '/tmp/':
Ошибка: Ошибка при создании папки: './'.
../../../../CSPbuild/CSP/samples/CPCrypt/Files.cpp:642: 0x20000393
[ErrorCode: 0x20000393]
Offline nickm  
#12 Оставлено : 5 июля 2024 г. 14:45:25(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,343

Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
Автор: Pro100Fill9 Перейти к цитате
Затер персональные данные

В выводе придраться не к чему. В консоли подписание должно работать. Возможно, что проблема заключается в том, что к ключу идёт обращение от различных пользователей и/ или нарушены права доступа.





Offline nickm  
#13 Оставлено : 5 июля 2024 г. 15:05:16(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,343

Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
Код:
$ sudo -u usr1cv8 /opt/cprocsp/bin/amd64/certmgr -list -store uMy
[sudo] пароль для:
Certmgr Ver:5.0.13000 OS:Linux CPU:AMD64 (c) "КРИПТО-ПРО", 2007-2024.
Программа для работы с сертификатами, CRL и хранилищами.
=============================================================================
1-------
Издатель            : E=uc_fk@roskazna.ru, S=77 Москва, ИНН ЮЛ=7710568760, ОГРН=1047797019830, STREET="Большой Златоустинский переулок, д. 6, строение 1", L=г. Москва, C=RU, O=Казначейство России, CN=Казначейство России
Субъект             : C=RU
Серийный номер      : 0x70430D5F013FE9AFA9EF098D3C47ED95
SHA1 отпечаток      : 51a840920772045fa651a5c6815b8d07ec77569f
Идентификатор ключа : 163bd8fe6bbf3e92d2d86eee64f1169ac44de16a
Алгоритм подписи    : ГОСТ Р 34.11-2012/34.10-2012 256 бит
Алгоритм откр. кл.  : ГОСТ Р 34.10-2012 256 бит (512 бит)
Выдан               : 15/02/2024 05:20:25 UTC
Истекает            : 10/05/2025 05:20:25 UTC
Ссылка на ключ      : Есть
Контейнер           : HDIMAGE\\yxmwzeik.000\3F48
Имя провайдера      : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Инфо о провайдере   : Тип провайдера: 80, тип ключа: 1, флаги: 0x0
Тип идентификации   : При личном присутствии
URL сертификата УЦ  : http://crl.roskazna.ru/crl/ucfk_2023.crt
URL сертификата УЦ  : http://crl.fk.local/crl/ucfk_2023.crt
URL списка отзыва   : http://crl.roskazna.ru/crl/ucfk_2023.crl
URL списка отзыва   : http://crl.fk.local/crl/ucfk_2023.crl
Назначение/EKU      : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
=============================================================================

[ErrorCode: 0x00000000]



Код:
$ sudo -u usr1cv8 /opt/cprocsp/bin/amd64/csptest -keyset -enum_containers -verifycontext -fqcn -uniq
CSP (Type:80) v5.0.10013 KC1 Release Ver:5.0.13000 OS:Linux CPU:AMD64 FastCode:READY:SSSE3. DISABLED:MGM_Auth;GHASH;AESNI;RSA;
AcquireContext: OK. HCRYPTPROV: 10009587
\\.\HDIMAGE\215094844 - Copy|\\.\HDIMAGE\HDIMAGE\\yxmwzeik.000\3F48
OK.
Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,140 sec
[ErrorCode: 0x00000000]


Код:
$ sudo -u usr1cv8 /opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint 51a840920772045fa651a5c6815b8d07ec77569f /tmp/file /tmp/file.sig
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2024.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:RU
Действителен с 15.02.2024 05:20:25 по 10.05.2025 05:20:25

Цепочки сертификатов проверены.
Папка '/tmp/':
/tmp/file... Подпись данных...
Подписанное сообщение успешно создано.
[ErrorCode: 0x00000000]


Код:
$ ls -l /tmp | grep -i file.sig
-rw-r--r-- 1 usr1cv8 grp1cv8 5099 июл  5 16:54 file.sig

Отредактировано пользователем 5 июля 2024 г. 15:06:44(UTC)  | Причина: Не указана

Offline Pro100Fill9  
#14 Оставлено : 5 июля 2024 г. 15:05:54(UTC)
Pro100Fill9

Статус: Участник

Группы: Участники
Зарегистрирован: 05.07.2024(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Автор: nickm Перейти к цитате
Возможно, что проблема заключается в том, что к ключу идёт обращение от различных пользователей и/ или нарушены права доступа.

Обращение идёт от одного пользователя, на что права стоит проверить?
Offline nickm  
#15 Оставлено : 5 июля 2024 г. 15:12:24(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,343

Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
Автор: Pro100Fill9 Перейти к цитате
Обращение идёт от одного пользователя, на что права стоит проверить?

Безошибочный вывод привёл выше.

Команды от имени пользователя можно выполнять с помощью sudo, т.к. не всегда возможен интерактивный доступ к УЗ пользователя.

Для тестирования, вместо директории /tmp попробуйте использовать домашнюю директорию пользователя.

Повторюсь, согласно предоставленного Вами вывода информации о хранилище и контейнера, ошибок быть не должно.

+

Автор: Pro100Fill9 Перейти к цитате
GUI нету


раз у Вас имеется ПИН и при этом отсутствует GUI, то пакет cprocsp-rdr-gui-gtk-64 следует удалить, а ПИН либо передавать явно, либо вводить по запросу в консоли.

Отредактировано пользователем 5 июля 2024 г. 15:15:24(UTC)  | Причина: Не указана

Offline Pro100Fill9  
#16 Оставлено : 5 июля 2024 г. 15:39:10(UTC)
Pro100Fill9

Статус: Участник

Группы: Участники
Зарегистрирован: 05.07.2024(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Ввожу верный пин в консоли, получаю ошибку доступа. Если введен неправильный пин, то предалает снова ввести пин и пишет что осталось 4 попытки.
Результат одинаковый /tmp и /home/usr1cv8,

Код:
$ sudo -u usr1cv8 /opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint 4c5ce55321334803af3c52706d1e44ad75207855 /home/usr1cv8/test.txt /tmp/file.sig
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2024.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:
Действителен с 11.04.2024 11:21:23 по 11.04.2025 11:26:23

Цепочки сертификатов проверены.
Папка '/tmp/':
/tmp/test1.txt... Подпись данных...  0%Crypto-Pro GOST R 34.10-2012 KC1 CSP запрашивает пароль на контейнер
Введите пароль:
Ошибка: Отказано в доступе.

../../../../CSPbuild/CSP/samples/CPCrypt/DSign.cpp:433: 0x80090010
[ErrorCode: 0x80090010]


На что права еще нужно проверить пользователю usr1cv8?

Код:
/home$ ls -l
итого 12
drwx------ 8 adminrudn adminrudn 4096 июл  5 13:20 adminrudn
drwx------ 3 ls        ls        4096 апр 25 13:11 ls
drwx------ 5 usr1cv8   grp1cv8   4096 июл  5 15:11 usr1cv8

/var/opt/cprocsp/keys$ ls -l
итого 12
drwx------ 2 adminrudn adminrudn 4096 июл  4 15:19 adminrudn
drwx------ 3 root      root      4096 июн 17 12:59 root
drwx------ 3 usr1cv8   grp1cv8   4096 июн 28 10:17 usr1cv8

/$ ls -l
итого 90
....
drwxrwxrwt  15 root root 28672 июл  5 15:24 tmp


Offline nickm  
#17 Оставлено : 5 июля 2024 г. 16:01:03(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,343

Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
Следует выверить права нижеуказанных директорий, т.к. не известно, в каком они состоянии, т.к. файлы помещались в ключевую директорию прямым копированием:

Код:
$ sudo -u usr1cv8 ls -l /var/opt/cprocsp/keys
[sudo] пароль для:
итого 12
drwx------ 3 root    root    4096 мая 21  2021 root
drwx------ 3 usr1cv8 grp1cv8 4096 июн 18 18:56 usr1cv8


Код:
$ sudo -u usr1cv8 ls -lR /var/opt/cprocsp/keys/usr1cv8

/var/opt/cprocsp/keys/usr1cv8:
итого 4
drwxr-xr-x 2 usr1cv8 grp1cv8 4096 июн 18 18:52 yxmwzeik.000

/var/opt/cprocsp/keys/usr1cv8/yxmwzeik.000:
итого 36
-rw-r--r-- 1 usr1cv8 grp1cv8 6114 мар 25 14:35  header.key
-rw-r--r-- 1 usr1cv8 grp1cv8   56 мар 25 14:35  masks2.key
-rw-r--r-- 1 usr1cv8 grp1cv8   56 июл  5 16:54  masks.key
-rw-r--r-- 1 usr1cv8 grp1cv8   52 фев 16 19:25  name.key
-rw-r--r-- 1 usr1cv8 grp1cv8   36 мар 25 14:35  primary2.key
-rw-r--r-- 1 usr1cv8 grp1cv8   36 июл  5 16:54  primary.key


Код:
$ sudo -u usr1cv8 /opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint 51a840920772045fa651a5c6815b8d07ec77569f /home/usr1cv8/file /home/usr1cv8/file.sig
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2024.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:RU
Действителен с 15.02.2024 05:20:25 по 10.05.2025 05:20:25

Цепочки сертификатов проверены.
Папка '/home/usr1cv8/':
/home/usr1cv8/file... Подпись данных...
Подписанное сообщение успешно создано.
[ErrorCode: 0x00000000]


Код:
$ sudo -u usr1cv8 ls -l /home/usr1cv8 | grep -i sig
-rw-r--r-- 1 usr1cv8 grp1cv8 9291 июл  5 17:45 file.sig


Попробуйте перезагрузить систему и повторить вышепредложенные команды, т.к. имеется предположение, что один и тот же контейнер вычитывался из-под разных пользователей, а это уже может быть другой случай, хотя и не факт.
thanks 1 пользователь поблагодарил nickm за этот пост.
Pro100Fill9 оставлено 05.07.2024(UTC)
Offline Pro100Fill9  
#18 Оставлено : 5 июля 2024 г. 16:39:23(UTC)
Pro100Fill9

Статус: Участник

Группы: Участники
Зарегистрирован: 05.07.2024(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Автор: nickm Перейти к цитате
файлы помещались в ключевую директорию прямым копированием

Спасибо, в этом и была ошибка, поправил права теперь все формируется.
Автор: nickm Перейти к цитате
ПИН либо передавать явно, либо вводить по запросу в консоли.

А есть возможность снять ПИН с контейнера? т.к. в 1С не нашел способа явно передавать ПИН

Offline nickm  
#19 Оставлено : 5 июля 2024 г. 17:09:46(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,343

Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
Автор: Pro100Fill9 Перейти к цитате
А есть возможность снять ПИН с контейнера? т.к. в 1С не нашел способа явно передавать ПИН

Варианта два:
  1. Если контейнер экспортируемый (копируемый), то просто скопировать в хранилище без ПИН'а;

  2. Прописать ПИН в конфигурационном файле пользователя (Сохранение паролей для контейнеров на Linux/UNIX).

Отредактировано пользователем 5 июля 2024 г. 17:15:23(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил nickm за этот пост.
Pro100Fill9 оставлено 05.07.2024(UTC)
Offline nickm  
#20 Оставлено : 5 июля 2024 г. 17:14:49(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,343

Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
-
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.