Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий2011  
#11 Оставлено : 20 ноября 2024 г. 13:56:25(UTC)
Дмитрий2011

Статус: Участник

Группы: Участники
Зарегистрирован: 28.08.2023(UTC)
Сообщений: 16
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
я уже так и понял, что на сервере приложений, а именно криптопро не понимает, что закрытый ключ лежит на сервере HSM
если делаю запрос без указания криптопровайдера

csptestf -keyset -container '\\.\HSMDB\HSMDB\\2024' -check

то получу вот

CSP (Type:80) v5.0.10008 KC2 Release Ver:5.0.12000 OS:Linux CPU:AMD64 FastCode:READY:AVX.
Insert carrier to open container 2024
Press 'c' to cancel: с^Hc
Press 'c' to cancel: c
../../../../CSPbuild/CSP/samples/csptest/ctkey.c:1165:AcquireContext("\\.\HSMDB\HSMDB\\2024")
Error 0x8010006e: The action was cancelled by the user.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 7.350 sec
[ErrorCode: 0x8010006e]

а если указав то

csptestf -keyset -container '\\.\HSMDB\HSMDB\\2024' -check -provider "Crypto-Pro HSM CSP" -provtype 75

CSP (Type:75) v5.0.10001 KB2 Release Ver:5.0.10001 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 8811811
GetProvParam(PP_NAME): Crypto-Pro HSM CSP
Container name: "2024"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x86c043
Symmetric key is not available.
UEC key is not available.
License: Cert without license
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Check import passed.
Certificate in container matches AT_KEYEXCHANGE key.
Keys in container:
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 01.11.2025 11:07:31 (UTC)
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.190 sec
[ErrorCode: 0x00000000]

Отредактировано пользователем 20 ноября 2024 г. 13:58:13(UTC)  | Причина: Не указана

Offline Дмитрий2011  
#12 Оставлено : 20 ноября 2024 г. 13:57:12(UTC)
Дмитрий2011

Статус: Участник

Группы: Участники
Зарегистрирован: 28.08.2023(UTC)
Сообщений: 16
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
вот и вопрос,как сделать чтоб криптопро понимало что искать закрытый ключ надо по пути к серверу HSM?
Offline Дмитрий2011  
#13 Оставлено : 20 ноября 2024 г. 14:02:30(UTC)
Дмитрий2011

Статус: Участник

Группы: Участники
Зарегистрирован: 28.08.2023(UTC)
Сообщений: 16
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
/var/opt/cprocsp/keys/<имя пользователя>/
не сюда ли случаем должно быть прописано для каждого пользователя, где лежит закрытая часть?

ошибка
у меня не HDIMAGE а Container : HSMDB

Отредактировано пользователем 20 ноября 2024 г. 14:54:46(UTC)  | Причина: Не указана

Online Русев Андрей  
#14 Оставлено : 20 ноября 2024 г. 15:05:01(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,421

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 567 раз в 395 постах
Можно двумя способами:
1. установить все сертификаты из HSM-ных контейнеров со ссылками на закрытый ключ:
Код:
/opt/cprocsp/bin/amd64/csptest -absorb -certs -pattern HSMDB -provtype 80 -provider "Crypto-Pro GOST R 34.10-2012 HSM CSP"


2. узнать uniue имя контейнера
Код:
/opt/cprocsp/bin/amd64/csptest -keyset -container '2024' -provtype 80 -provider "Crypto-Pro GOST R 34.10-2012 HSM CSP" -unique

в выдаче будет строка примерно такого вида
Цитата:
Container name: "HSMDB\\2024.000\1C18"
Установить правильную ссылку на закрытый ключ, используя это самое имя и правильные имя и тип провайдера:
Код:
/opt/cprocsp/bin/amd64/certmgr -inst -file /путь_к_файлу_с_сертификатом -provtype 80 -provname "Crypto-Pro GOST R 34.10-2012 HSM CSP" -cont 'HSMDB\\2024.000\1C18'
Официальная техподдержка. Официальная база знаний.
thanks 1 пользователь поблагодарил Русев Андрей за этот пост.
nickm оставлено 20.11.2024(UTC)
Offline Дмитрий2011  
#15 Оставлено : 20 ноября 2024 г. 15:17:58(UTC)
Дмитрий2011

Статус: Участник

Группы: Участники
Зарегистрирован: 28.08.2023(UTC)
Сообщений: 16
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
после первой команды выдало вот что

Match: HSMDB\\2024
Match: HSMDB\\testhsm
No cert for AT_KEYEXCHANGE key
OK.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.110 sec
[ErrorCode: 0x00000000]


Нет сертификата для ключа обмена AT_KEY, с чем это может быть связанно?
из под root все нужно делать?
Online Русев Андрей  
#16 Оставлено : 20 ноября 2024 г. 23:21:19(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,421

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 567 раз в 395 постах
Автор: Дмитрий2011 Перейти к цитате
/opt/cprocsp/bin/amd64/csptest -absorb -certs -pattern HSMDB -provtype 80 -provider "Crypto-Pro GOST R 34.10-2012 HSM CSP"
...
Match: HSMDB\\2024
Match: HSMDB\\testhsm
No cert for AT_KEYEXCHANGE key
OK.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.110 sec
[ErrorCode: 0x00000000]

Нет сертификата для ключа обмена AT_KEY, с чем это может быть связанно?
из под root все нужно делать?
Эта команда устанавливает личные сертификаты из контейнеров в хранилище, проставляя ссылку на закрытый ключ. Если в контейнере нет сертификата, а только закрытый ключ, то ей нечего установить в хранилище. Именно об этом предупреждение.

Выполнять её надо под тем пользователем, под которым вы планировали использовать закрытые ключи.

Официальная техподдержка. Официальная база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.