Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий2011  
#11 Оставлено : 20 ноября 2024 г. 13:56:25(UTC)
Дмитрий2011

Статус: Участник

Группы: Участники
Зарегистрирован: 28.08.2023(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
я уже так и понял, что на сервере приложений, а именно криптопро не понимает, что закрытый ключ лежит на сервере HSM
если делаю запрос без указания криптопровайдера

csptestf -keyset -container '\\.\HSMDB\HSMDB\\2024' -check

то получу вот

CSP (Type:80) v5.0.10008 KC2 Release Ver:5.0.12000 OS:Linux CPU:AMD64 FastCode:READY:AVX.
Insert carrier to open container 2024
Press 'c' to cancel: с^Hc
Press 'c' to cancel: c
../../../../CSPbuild/CSP/samples/csptest/ctkey.c:1165:AcquireContext("\\.\HSMDB\HSMDB\\2024")
Error 0x8010006e: The action was cancelled by the user.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 7.350 sec
[ErrorCode: 0x8010006e]

а если указав то

csptestf -keyset -container '\\.\HSMDB\HSMDB\\2024' -check -provider "Crypto-Pro HSM CSP" -provtype 75

CSP (Type:75) v5.0.10001 KB2 Release Ver:5.0.10001 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 8811811
GetProvParam(PP_NAME): Crypto-Pro HSM CSP
Container name: "2024"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x86c043
Symmetric key is not available.
UEC key is not available.
License: Cert without license
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Check import passed.
Certificate in container matches AT_KEYEXCHANGE key.
Keys in container:
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 01.11.2025 11:07:31 (UTC)
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.190 sec
[ErrorCode: 0x00000000]

Отредактировано пользователем 20 ноября 2024 г. 13:58:13(UTC)  | Причина: Не указана

Offline Дмитрий2011  
#12 Оставлено : 20 ноября 2024 г. 13:57:12(UTC)
Дмитрий2011

Статус: Участник

Группы: Участники
Зарегистрирован: 28.08.2023(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
вот и вопрос,как сделать чтоб криптопро понимало что искать закрытый ключ надо по пути к серверу HSM?
Offline Дмитрий2011  
#13 Оставлено : 20 ноября 2024 г. 14:02:30(UTC)
Дмитрий2011

Статус: Участник

Группы: Участники
Зарегистрирован: 28.08.2023(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
/var/opt/cprocsp/keys/<имя пользователя>/
не сюда ли случаем должно быть прописано для каждого пользователя, где лежит закрытая часть?

ошибка
у меня не HDIMAGE а Container : HSMDB

Отредактировано пользователем 20 ноября 2024 г. 14:54:46(UTC)  | Причина: Не указана

Offline Русев Андрей  
#14 Оставлено : 20 ноября 2024 г. 15:05:01(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,429

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 573 раз в 399 постах
Можно двумя способами:
1. установить все сертификаты из HSM-ных контейнеров со ссылками на закрытый ключ:
Код:
/opt/cprocsp/bin/amd64/csptest -absorb -certs -pattern HSMDB -provtype 80 -provider "Crypto-Pro GOST R 34.10-2012 HSM CSP"


2. узнать uniue имя контейнера
Код:
/opt/cprocsp/bin/amd64/csptest -keyset -container '2024' -provtype 80 -provider "Crypto-Pro GOST R 34.10-2012 HSM CSP" -unique

в выдаче будет строка примерно такого вида
Цитата:
Container name: "HSMDB\\2024.000\1C18"
Установить правильную ссылку на закрытый ключ, используя это самое имя и правильные имя и тип провайдера:
Код:
/opt/cprocsp/bin/amd64/certmgr -inst -file /путь_к_файлу_с_сертификатом -provtype 80 -provname "Crypto-Pro GOST R 34.10-2012 HSM CSP" -cont 'HSMDB\\2024.000\1C18'
Официальная техподдержка. Официальная база знаний.
thanks 1 пользователь поблагодарил Русев Андрей за этот пост.
nickm оставлено 20.11.2024(UTC)
Offline Дмитрий2011  
#15 Оставлено : 20 ноября 2024 г. 15:17:58(UTC)
Дмитрий2011

Статус: Участник

Группы: Участники
Зарегистрирован: 28.08.2023(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
после первой команды выдало вот что

Match: HSMDB\\2024
Match: HSMDB\\testhsm
No cert for AT_KEYEXCHANGE key
OK.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.110 sec
[ErrorCode: 0x00000000]


Нет сертификата для ключа обмена AT_KEY, с чем это может быть связанно?
из под root все нужно делать?
Offline Русев Андрей  
#16 Оставлено : 20 ноября 2024 г. 23:21:19(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,429

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 573 раз в 399 постах
Автор: Дмитрий2011 Перейти к цитате
/opt/cprocsp/bin/amd64/csptest -absorb -certs -pattern HSMDB -provtype 80 -provider "Crypto-Pro GOST R 34.10-2012 HSM CSP"
...
Match: HSMDB\\2024
Match: HSMDB\\testhsm
No cert for AT_KEYEXCHANGE key
OK.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.110 sec
[ErrorCode: 0x00000000]

Нет сертификата для ключа обмена AT_KEY, с чем это может быть связанно?
из под root все нужно делать?
Эта команда устанавливает личные сертификаты из контейнеров в хранилище, проставляя ссылку на закрытый ключ. Если в контейнере нет сертификата, а только закрытый ключ, то ей нечего установить в хранилище. Именно об этом предупреждение.

Выполнять её надо под тем пользователем, под которым вы планировали использовать закрытые ключи.

Официальная техподдержка. Официальная база знаний.
Offline Дмитрий2011  
#17 Оставлено : 22 ноября 2024 г. 10:21:59(UTC)
Дмитрий2011

Статус: Участник

Группы: Участники
Зарегистрирован: 28.08.2023(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
при расшифровке выдает ошибку не тот тип (cryptcp -decr -dn 'CN="ПУБЛИЧНОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО ""********"""' -start /srv/kyc/log/epvv/Input/2024-11-22/20241121.xml.zip.enc /srv/kyc/log/epvv/Input/2024-11-22/20241121.xml.zip)
Certificate chains are checked.
Decrypting the data...
Error: Invalid type specified.

../../../../CSPbuild/CSP/samples/CPCrypt/Encr.cpp:840: 0x8009000A
[ErrorCode: 0x8009000a]

certmgr -list -store uMy

SHA1 Thumbprint : 8a6874b0bc38aa8c5280e6904a6148ca88a4b01e
SubjKeyID : 4fb4c9ee21abaa34ff5f9276a779885fa28596be
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 21/08/2024 09:41:15 UTC
Not valid after : 21/12/2037 09:41:15 UTC
PrivateKey Link : Yes
Container : HSMDB\\2024
Provider Name : Crypto-Pro GOST R 34.10-2012 HSM CSP
Provider Info : Provider Type: 80, Key Spec: 1, Flags: 0x0

csptestf -keyset -container '\\.\HSMDB\HSMDB\\2024' -check -provider "Crypto-Pro GOST R 34.10-2012 HSM CSP" -provtype 80

CSP (Type:80) v5.0.10001 KB2 Release Ver:5.0.10001 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 22114067
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 HSM CSP
Container name: "2024"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x1517093
Symmetric key is not available.
UEC key is not available.
License: Cert without license
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Check import passed.
Certificate in container matches AT_KEYEXCHANGE key.
Keys in container:
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 20.11.2025 06:14:09 (UTC)
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.210 sec
[ErrorCode: 0x00000000]


пользователь, который все выполняет из под которого запущены все сервисы и им же установлены все сертификаты один, а файл сертификата открытого ключа то есть владелец этого сертификата при просмотре командой ls -l другой, может это влиять на такую ошибку, что не тот тип пишет?
Offline Русев Андрей  
#18 Оставлено : 22 ноября 2024 г. 11:01:10(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,429

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 573 раз в 399 постах
Автор: Дмитрий2011 Перейти к цитате
при расшифровке выдает ошибку не тот тип (cryptcp -decr -dn 'CN="ПУБЛИЧНОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО ""********"""' -start /srv/kyc/log/epvv/Input/2024-11-22/20241121.xml.zip.enc /srv/kyc/log/epvv/Input/2024-11-22/20241121.xml.zip)
Certificate chains are checked.
Decrypting the data...
Error: Invalid type specified.

../../../../CSPbuild/CSP/samples/CPCrypt/Encr.cpp:840: 0x8009000A
[ErrorCode: 0x8009000a]
Уже лучше, а что в системном журнале при этом (journalctl)?

Автор: Дмитрий2011 Перейти к цитате
пользователь, который все выполняет из под которого запущены все сервисы и им же установлены все сертификаты один, а файл сертификата открытого ключа то есть владелец этого сертификата при просмотре командой ls -l другой, может это влиять на такую ошибку, что не тот тип пишет?
Всё должно быть выполняться под одним и тем же пользователем: и настройка, и работа.
Официальная техподдержка. Официальная база знаний.
Offline Дмитрий2011  
#19 Оставлено : 22 ноября 2024 г. 12:59:30(UTC)
Дмитрий2011

Статус: Участник

Группы: Участники
Зарегистрирован: 28.08.2023(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
к сожалению вывод журнала могу только так
https://disk.yandex.ru/d/Dn4SdZhu24avig
Offline Русев Андрей  
#20 Оставлено : 28 ноября 2024 г. 15:48:02(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,429

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 573 раз в 399 постах
Вероятно, в следующем релизе в рамках CPCSP-6272 в cryptcp и на linux / macos появится возможность автоматического поиска контейнера, соответствующего сертификату из параметра -f при указании ключа -autocont. Но вообще установить сертификат со ссылкой на закрытый ключ - это тривиальная задача в "Инструментах КриптоПро", через certmgr в консоли посложней.

Отредактировано пользователем 28 ноября 2024 г. 19:39:59(UTC)  | Причина: Не указана

Официальная техподдержка. Официальная база знаний.
thanks 1 пользователь поблагодарил Русев Андрей за этот пост.
nickm оставлено 28.11.2024(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.