Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Алексей Смирнов  
#1 Оставлено : 20 декабря 2024 г. 20:26:17(UTC)
Алексей Смирнов

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.12.2024(UTC)
Сообщений: 2
Российская Федерация
Откуда: Москва

Здравствуйте!

01.01.2025 отключат FTP-сервер zakupki.gov.ru.
В замен предлагают делать запросы предварительно подключившись к stunnel с использованием КриптоПро.

У нас в организации есть свой портал закупок, который делает запросы к FTP zakupki.gov.ru. Нужно настроить на нем подключение zakupki.gov.ru через новый предлагаемый способ.

В соответствии с приложением 4 устанавливаю пробную версию КриптоПро CSP 5.0.12000 (Kraken) для Linux (x64, deb) на свой Ubuntu Server 20.04.5, примерно так:

Код:
# Установка
sudo bash ./install.sh kc1
sudo dpkg -i cprocsp-stunnel-64_5.0.12000-6_amd64.deb
# Добавление персонального сертификата
sudo /opt/cprocsp/bin/amd64/certmgr -inst -file /etc/opt/cprocsp/stunnel/personal-cert-2026-01-22.cer


Согласно той же инструкции создаю файл stunnel.conf с таким содержимым:
Код:
cert = /etc/opt/cprocsp/stunnel/personal-cert-2026-01-22.cer
setuid = root
setgid = 0
pid = /var/opt/cprocsp/tmp/stunnel.pid
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
output = /var/opt/cprocsp/tmp/stunnel.log
client = yes
[https]
accept = localhost:8080
connect = int44.zakupki.gov.ru:443
verify = 0


И запускаю от имени root:
Код:
/opt/cprocsp/sbin/amd64/stunnel_thread /etc/opt/cprocsp/stunnel/stunnel.conf


Далее пробую как в инструкции:
Код:
curl http://localhost:8080
или
Код:
/opt/cprocsp/bin/amd64/curl http://localhost:8080 --cert 87f62249e2defbeedabf14b21f767a9cbd028bdb

Но получаю ошибки в логе stunnel:
Код:
CryptAcquireCertificatePrivateKey!() CertGetCertificateContextPropertyWithLock(CERT_KEY_PROV_INFO_PROP_ID) failed!
CryptAcquireCertificatePrivateKey!(failed: LastError = 0x8009200b)
SSPCPAcquireProvider! AcquireCryptUserData() failed!
CPSSPCreateCredentials! failed to acquire provider!
CPAcquireCredentialsHandleA!failed: LastError = 0x80090304
CertFreeCertificateContext!failed: LastError = 0x57


Если я правильно понял, нужен закрытый ключ. Но владелец ключа не может его дать, так как с ним можно получить доступ к его закрытым данным.
В инструкции написано "путь до сертификата, с которым происходит соединение – с проставленной ссылкой на закрытый ключ", но нигде не нашёл откуда взять или как сделать такую "ссылку на закрытый ключ".

Как решить такую проблему? Нужен ли обязательно закрытый ключ и если да, то как его скрыть от администраторов сервера?

Отредактировано пользователем 20 декабря 2024 г. 20:38:25(UTC)  | Причина: Не указана

Offline Алексей Смирнов  
#2 Оставлено : 21 декабря 2024 г. 20:15:19(UTC)
Алексей Смирнов

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.12.2024(UTC)
Сообщений: 2
Российская Федерация
Откуда: Москва

В ЕСИА можно выпустить "токены". Можно ли их использовать для подключения stunnel к zakupki.gov и если да, то как?
Offline basid  
#3 Оставлено : 22 декабря 2024 г. 12:28:20(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,107

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 153 раз в 138 постах
Из инструкции:
Цитата:
Шаг 8: выберите тип потребителя машиночитаемых данных:

  • Физическое лицо, индивидуальный предприниматель (в том числе для
    иностранных юридических лиц, иностранных граждан)
  • Юридическое лицо РФ
Насколько я помню, для информационных систем получают обезличенную КЭП юридического лица.
Как потом этот сервис будет взаимодействовать с другими субъектами - вопрос совершенно отдельный.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.