Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
3 Страницы<123
Ошибка асинхронной обработки pkica.ca.command.loadKey
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Onkel_Ron  
#21 Оставлено : 4 февраля 2025 г. 13:48:48(UTC)
Onkel_Ron

Статус: Активный участник

Группы: Участники
Зарегистрирован: 08.02.2023(UTC)
Сообщений: 38
Российская Федерация
Откуда: Москва
Я указал вырезку из конфига nats.

Прикладываю полный конфиг. nats.txt (5kb) загружен 1 раз(а).

Сейчас у меня выпущено 5 сертификатов для ЦС:

Корневой выпускающий сертификат: CN = ROOT CA, fp: 3e7371f50b1da977dc5871bcda68c01d97a974c9 в хранилище пользователя root

CN = kv-gpca-sub01.ipa.ucb.local, fp: de5590a2cab84cfce087ec34249dba314959be1f - в хранилище пользователя root

CN = stan, fp: 6e86cfa3c94308224052033f0633dd29356b9580 - в хранилище пользователя stan

CN = ca, fp:cf09fe99671b21b673faffbdab2a001ebc6a4f7c - в хранилище пользователя ca

CN = pkica, fp: 3d102f8fd495f10529967702ebd20ae7d03a714d - в хранилище пользователя pkica
Вверх
Offline Захар Тихонов  
#22 Оставлено : 4 февраля 2025 г. 15:14:24(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,293
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 39 раз
Поблагодарили: 583 раз в 560 постах
Автор: Onkel_Ron Перейти к цитате
Я указал вырезку из конфига nats.

Прикладываю полный конфиг. nats.txt (5kb) загружен 1 раз(а).

Сейчас у меня выпущено 5 сертификатов для ЦС:

Корневой выпускающий сертификат: CN = ROOT CA, fp: 3e7371f50b1da977dc5871bcda68c01d97a974c9 в хранилище пользователя root

CN = kv-gpca-sub01.ipa.ucb.local, fp: de5590a2cab84cfce087ec34249dba314959be1f - в хранилище пользователя root

CN = stan, fp: 6e86cfa3c94308224052033f0633dd29356b9580 - в хранилище пользователя stan

CN = ca, fp:cf09fe99671b21b673faffbdab2a001ebc6a4f7c - в хранилище пользователя ca

CN = pkica, fp: 3d102f8fd495f10529967702ebd20ae7d03a714d - в хранилище пользователя pkica



Т.е. nats запускается с конфигом TLS успешно?

1. Для ЦС у вас два сертификата.
сертификаты nats\stan - не для ЦС
сертификат pkica - не для ЦС
и т.д.

2. Если dn клиентского сертификата Са: CN = ca, то ошибка верная, у вас в конфиге указано что DN будет "CN=ca,C=RU" (это настройка по умолчанию, это можно менять). Укажите корректный dn в конфиге nats (обязательно перезапустить службы после правки конфига) или смените клиентский сертификат Са.

Со всеми остальными службами - аналогично, простой способ - выпускать сертификаты с уже преднастроенным dn в конфиге nats.
users = [
{user: "CN=stan,C=RU", permissions: $stan_permissions}
{user: "CN=ca,C=RU", permissions: $ca_permissions}
{user: "CN=ra,C=RU", permissions: $ra_permissions}
{user: "CN=certRegistry,C=RU", permissions: $certRegistry_permissions}
{user: "CN=pkica,C=RU", permissions: $pkica_permissions}
]
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline Onkel_Ron  
#23 Оставлено : 4 февраля 2025 г. 15:29:29(UTC)
Onkel_Ron

Статус: Активный участник

Группы: Участники
Зарегистрирован: 08.02.2023(UTC)
Сообщений: 38
Российская Федерация
Откуда: Москва
Цитата:
Для ЦС у вас два сертификата.

То есть для запуска nats мне нужны только эти три сертификата?

Корневой выпускающий сертификат: CN = ROOT CA, fp: 3e7371f50b1da977dc5871bcda68c01d97a974c9 в хранилище пользователя root

CN = kv-gpca-sub01.ipa.ucb.local, fp: de5590a2cab84cfce087ec34249dba314959be1f - в хранилище пользователя root

CN = ca, fp:cf09fe99671b21b673faffbdab2a001ebc6a4f7c - в хранилище пользователя ca

Какой из них является клиентским сертификатом для Nats?


Цитата:
Т.е. nats запускается с конфигом TLS успешно?


C текущим конфигом nats запускается так (или не запускается):

root@kv-gpca-sub01:~# /opt/cpca/nats-streaming/nats-streaming-server -sc /opt/cpca/nats-streaming/nats.conf
[71604] 2025/02/04 15:13:00.340593 [INF] STREAM: Starting nats-streaming-server[pkica-cluster] version 0.24.6
[71604] 2025/02/04 15:13:00.340678 [INF] STREAM: ServerID: KVgM34iK4QkDSkJMDXqHgT
[71604] 2025/02/04 15:13:00.340685 [INF] STREAM: Go version: go1.18.5
[71604] 2025/02/04 15:13:00.340690 [INF] STREAM: Git commit: [not set]
[71604] 2025/02/04 15:13:00.342512 [INF] Starting nats-server
[71604] 2025/02/04 15:13:00.342534 [INF] Version: 2.8.2
[71604] 2025/02/04 15:13:00.342537 [INF] Git: [not set]
[71604] 2025/02/04 15:13:00.342539 [INF] Name: NBRYJEO6XGTJTMMXAXDJUGKJUMIJVBE7E2ABFVYY7OMHGJJSXT4EVCDL
[71604] 2025/02/04 15:13:00.342542 [INF] ID: NBRYJEO6XGTJTMMXAXDJUGKJUMIJVBE7E2ABFVYY7OMHGJJSXT4EVCDL
[71604] 2025/02/04 15:13:00.342556 [INF] Using configuration file: /opt/cpca/nats-streaming/nats.conf
[71604] 2025/02/04 15:13:00.342567 [WRN] Maximum payloads over 8.00 MB are generally discouraged and could lead to poor performance
[71604] 2025/02/04 15:13:00.347534 [INF] Listening for client connections on kv-gpca-sub01.ipa.ucb.local:4222
[71604] 2025/02/04 15:13:00.347548 [INF] TLS required for client connections
[71604] 2025/02/04 15:13:00.347561 [INF] Server is ready
[71604] 2025/02/04 15:13:00.388295 [FTL] STREAM: Failed to start: use of closed network connection

Цитата:
Укажите корректный dn в конфиге nats

Так все DN у меня соответствуют конфигу nats.

Отредактировано пользователем 4 февраля 2025 г. 15:34:33(UTC)  | Причина: Не указана
Вверх
Offline Захар Тихонов  
#24 Оставлено : 4 февраля 2025 г. 15:54:24(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,293
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 39 раз
Поблагодарили: 583 раз в 560 постах
Автор: Onkel_Ron Перейти к цитате
Цитата:
Для ЦС у вас два сертификата.

То есть для запуска nats мне нужны только эти три сертификата?

Корневой выпускающий сертификат: CN = ROOT CA, fp: 3e7371f50b1da977dc5871bcda68c01d97a974c9 в хранилище пользователя root

CN = kv-gpca-sub01.ipa.ucb.local, fp: de5590a2cab84cfce087ec34249dba314959be1f - в хранилище пользователя root

CN = ca, fp:cf09fe99671b21b673faffbdab2a001ebc6a4f7c - в хранилище пользователя ca

Какой из них является клиентским сертификатом для Nats?


Цитата:
Т.е. nats запускается с конфигом TLS успешно?


C текущим конфигом nats запускается так (или не запускается):

root@kv-gpca-sub01:~# /opt/cpca/nats-streaming/nats-streaming-server -sc /opt/cpca/nats-streaming/nats.conf
[71604] 2025/02/04 15:13:00.340593 [INF] STREAM: Starting nats-streaming-server[pkica-cluster] version 0.24.6
[71604] 2025/02/04 15:13:00.340678 [INF] STREAM: ServerID: KVgM34iK4QkDSkJMDXqHgT
[71604] 2025/02/04 15:13:00.340685 [INF] STREAM: Go version: go1.18.5
[71604] 2025/02/04 15:13:00.340690 [INF] STREAM: Git commit: [not set]
[71604] 2025/02/04 15:13:00.342512 [INF] Starting nats-server
[71604] 2025/02/04 15:13:00.342534 [INF] Version: 2.8.2
[71604] 2025/02/04 15:13:00.342537 [INF] Git: [not set]
[71604] 2025/02/04 15:13:00.342539 [INF] Name: NBRYJEO6XGTJTMMXAXDJUGKJUMIJVBE7E2ABFVYY7OMHGJJSXT4EVCDL
[71604] 2025/02/04 15:13:00.342542 [INF] ID: NBRYJEO6XGTJTMMXAXDJUGKJUMIJVBE7E2ABFVYY7OMHGJJSXT4EVCDL
[71604] 2025/02/04 15:13:00.342556 [INF] Using configuration file: /opt/cpca/nats-streaming/nats.conf
[71604] 2025/02/04 15:13:00.342567 [WRN] Maximum payloads over 8.00 MB are generally discouraged and could lead to poor performance
[71604] 2025/02/04 15:13:00.347534 [INF] Listening for client connections on kv-gpca-sub01.ipa.ucb.local:4222
[71604] 2025/02/04 15:13:00.347548 [INF] TLS required for client connections
[71604] 2025/02/04 15:13:00.347561 [INF] Server is ready
[71604] 2025/02/04 15:13:00.388295 [FTL] STREAM: Failed to start: use of closed network connection

Цитата:
Укажите корректный dn в конфиге nats

Так все DN у меня соответствуют конфигу nats.


Для запуска nats в режиме TLS надо выпустить сертификат TSL (c проверкой подлинности сервера) для nats, в конфиге указан путь к этому сертификату /opt/cpca/nats-streaming/ssl/nats-server.cer.
Второй для stan - клиентский (с проверкой подлинности клиента), в конфиге указан путь к этому сертификату /opt/cpca/nats-streaming/ssl/nats-client.cer
Все. Для запуска nats в режиме TLS ничего не надо выпускать. Все остальное для - других сервисов.
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline Onkel_Ron  
#25 Оставлено : 4 февраля 2025 г. 16:21:14(UTC)
Onkel_Ron

Статус: Активный участник

Группы: Участники
Зарегистрирован: 08.02.2023(UTC)
Сообщений: 38
Российская Федерация
Откуда: Москва
Цитата:
Для запуска nats в режиме TLS надо выпустить сертификат TSL (c проверкой подлинности сервера) для nats, в конфиге указан путь к этому сертификату /opt/cpca/nats-streaming/ssl/nats-server.cer.
Второй для stan - клиентский (с проверкой подлинности клиента), в конфиге указан путь к этому сертификату /opt/cpca/nats-streaming/ssl/nats-client.cer


Если я вас правильно понял.

Я выпустил сертификат DN - CN=nats, С=RU + DNS=kv-gpca-sub01.ipa.ucb.local + проверка подлинности сервера. И скопировал сертификат и прописал его как nats-server.cer в конфиге nats.conf
Сертификат DN - CN=stan, С=RU + проверка подлинности клиента, прописал его как nats-client.cer в конфиге nats.conf

Но не работает, запускаю сервис от root:

/opt/cpca/nats-streaming/nats-streaming-server -sc /opt/cpca/nats-streaming/nats.conf
[75482] 2025/02/04 16:09:00.275773 [INF] STREAM: Starting nats-streaming-server[pkica-cluster] version 0.24.6
[75482] 2025/02/04 16:09:00.275943 [INF] STREAM: ServerID: 44ERbpDr6LloiOq3Yq9Zid
[75482] 2025/02/04 16:09:00.275999 [INF] STREAM: Go version: go1.18.5
[75482] 2025/02/04 16:09:00.276034 [INF] STREAM: Git commit: [not set]
[75482] 2025/02/04 16:09:00.277896 [INF] Starting nats-server
[75482] 2025/02/04 16:09:00.277906 [INF] Version: 2.8.2
[75482] 2025/02/04 16:09:00.277925 [INF] Git: [not set]
[75482] 2025/02/04 16:09:00.277931 [INF] Name: ND6ZX6H5FOBSB6S7WQY6QADAGHC572BSUGQRL573D64AKKUDEK7KO2A2
[75482] 2025/02/04 16:09:00.277937 [INF] ID: ND6ZX6H5FOBSB6S7WQY6QADAGHC572BSUGQRL573D64AKKUDEK7KO2A2
[75482] 2025/02/04 16:09:00.277955 [INF] Using configuration file: /opt/cpca/nats-streaming/nats.conf
[75482] 2025/02/04 16:09:00.277974 [WRN] Maximum payloads over 8.00 MB are generally discouraged and could lead to poor performance
[75482] 2025/02/04 16:09:00.281920 [INF] Listening for client connections on kv-gpca-sub01.ipa.ucb.local:4222
[75482] 2025/02/04 16:09:00.281933 [INF] TLS required for client connections
[75482] 2025/02/04 16:09:00.281942 [INF] Server is ready
[75482] 2025/02/04 16:09:00.334025 [FTL] STREAM: Failed to start: use of closed network connection

Может быть мне нужно создать пользователя nats скопировать ему ключ и сертификат и запускать от его имени сервис nats?

Отредактировано пользователем 4 февраля 2025 г. 16:35:59(UTC)  | Причина: Не указана
Вверх
Offline Захар Тихонов  
#26 Оставлено : 4 февраля 2025 г. 16:59:16(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,293
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 39 раз
Поблагодарили: 583 раз в 560 постах
Автор: Onkel_Ron Перейти к цитате
Цитата:
Для запуска nats в режиме TLS надо выпустить сертификат TSL (c проверкой подлинности сервера) для nats, в конфиге указан путь к этому сертификату /opt/cpca/nats-streaming/ssl/nats-server.cer.
Второй для stan - клиентский (с проверкой подлинности клиента), в конфиге указан путь к этому сертификату /opt/cpca/nats-streaming/ssl/nats-client.cer


Если я вас правильно понял.

Я выпустил сертификат DN - CN=nats, С=RU + DNS=kv-gpca-sub01.ipa.ucb.local + проверка подлинности сервера. И скопировал сертификат и прописал его как nats-server.cer в конфиге nats.conf
Сертификат DN - CN=stan, С=RU + проверка подлинности клиента, прописал его как nats-client.cer в конфиге nats.conf

Но не работает, запускаю сервис от root:

/opt/cpca/nats-streaming/nats-streaming-server -sc /opt/cpca/nats-streaming/nats.conf
[75482] 2025/02/04 16:09:00.275773 [INF] STREAM: Starting nats-streaming-server[pkica-cluster] version 0.24.6
[75482] 2025/02/04 16:09:00.275943 [INF] STREAM: ServerID: 44ERbpDr6LloiOq3Yq9Zid
[75482] 2025/02/04 16:09:00.275999 [INF] STREAM: Go version: go1.18.5
[75482] 2025/02/04 16:09:00.276034 [INF] STREAM: Git commit: [not set]
[75482] 2025/02/04 16:09:00.277896 [INF] Starting nats-server
[75482] 2025/02/04 16:09:00.277906 [INF] Version: 2.8.2
[75482] 2025/02/04 16:09:00.277925 [INF] Git: [not set]
[75482] 2025/02/04 16:09:00.277931 [INF] Name: ND6ZX6H5FOBSB6S7WQY6QADAGHC572BSUGQRL573D64AKKUDEK7KO2A2
[75482] 2025/02/04 16:09:00.277937 [INF] ID: ND6ZX6H5FOBSB6S7WQY6QADAGHC572BSUGQRL573D64AKKUDEK7KO2A2
[75482] 2025/02/04 16:09:00.277955 [INF] Using configuration file: /opt/cpca/nats-streaming/nats.conf
[75482] 2025/02/04 16:09:00.277974 [WRN] Maximum payloads over 8.00 MB are generally discouraged and could lead to poor performance
[75482] 2025/02/04 16:09:00.281920 [INF] Listening for client connections on kv-gpca-sub01.ipa.ucb.local:4222
[75482] 2025/02/04 16:09:00.281933 [INF] TLS required for client connections
[75482] 2025/02/04 16:09:00.281942 [INF] Server is ready
[75482] 2025/02/04 16:09:00.334025 [FTL] STREAM: Failed to start: use of closed network connection

Может быть мне нужно создать пользователя nats скопировать ему ключ и сертификат и запускать от его имени сервис nats?


Выглядит хорошо, но:
Вы запускаете под root, а у этой учетки установлены сертификаты выпущенные вами с привязкой к ЗК? Ключи в хранилище у root? И на ключах нет пин-кодов (если есть, то стоит их убрать)?
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline Onkel_Ron  
#27 Оставлено : 4 февраля 2025 г. 18:08:00(UTC)
Onkel_Ron

Статус: Активный участник

Группы: Участники
Зарегистрирован: 08.02.2023(UTC)
Сообщений: 38
Российская Федерация
Откуда: Москва
Автор: Захар Тихонов Перейти к цитате
Вы запускаете под root, а у этой учетки установлены сертификаты выпущенные вами с привязкой к ЗК? Ключи в хранилище у root? И на ключах нет пин-кодов (если есть, то стоит их убрать)


Спасибо! Запустилось. Убрал пароли с ключей stan и nats.

А чей же отпечаток нужно прописывать в /opt/cpca/CryptoPro.Ca.Service/appsettings.json?

Сервис CryptoPro.Ca.Service нужно запускать от имени пользователя ca c подкинутым ключом или можно от имени root?
Вверх
Offline Захар Тихонов  
#28 Оставлено : 4 февраля 2025 г. 18:20:52(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,293
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 39 раз
Поблагодарили: 583 раз в 560 постах
Автор: Onkel_Ron Перейти к цитате
Автор: Захар Тихонов Перейти к цитате
Вы запускаете под root, а у этой учетки установлены сертификаты выпущенные вами с привязкой к ЗК? Ключи в хранилище у root? И на ключах нет пин-кодов (если есть, то стоит их убрать)


Спасибо! Запустилось. Убрал пароли с ключей stan и nats.

А чей же отпечаток нужно прописывать в /opt/cpca/CryptoPro.Ca.Service/appsettings.json?

Сервис CryptoPro.Ca.Service нужно запускать от имени пользователя ca c подкинутым ключом или можно от имени root?




Мы рекомендуем - запускать все под обычными учетными записями, которые не состоят в sudoers.

Ca.Service, как и Ra.Service и другие - должны иметь свои клиентские сертификаты, по аналогии с сертификатом stan (dn свой конечно, указал ранее пример где какие по умолчанию в конфиге ожидаются). Отпечатки клиентских сертификатов служб указываются в их конфигах. Например, для Ca.Service в файле CryptoPro.Ca.Service/appsettings.json, там дважды указываете отпечаток сертификат (и указываете true). Сертификат должен быть установлен с привязкой к ЗК и без пароля под той учеткой, под которой запускаете службу.

Отредактировано пользователем 4 февраля 2025 г. 18:21:49(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
3 Страницы<123
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET