Статус: Участник
Группы: Участники
Зарегистрирован: 22.01.2019(UTC) Сообщений: 16   Откуда: Санкт-Петербург Сказал «Спасибо»: 3 раз
|
Добрый день! Astra Linux из образа ubi18-openjdk170:1.8.1uu1-mg15.1.0 КриптоПро CSP 5.0.10013 private/csp/50/13000/linux-amd64_deb.tgz Есть ключ для работы с тестовым КриптоПро УЦ 2.0, сохранен в /var/opt/cprocsp/keys/root Получаю список ключевый контейнеров успешно: Код:
# csptestf -keyset -enum_cont -fqcn
CSP (Type:80) v5.0.10013 KC1 Release Ver:5.0.13000 OS:Linux CPU:AMD64 FastCode:READY:AVX,AVX2.
AcquireContext: OK. HCRYPTPROV: 34740163
\\.\HDIMAGE\2025-01-22-test-ca-operator
\\.\HDIMAGE\HSMClient
OK.
Total: SYS: 0.010 sec USR: 0.000 sec UTC: 0.050 sec
[ErrorCode: 0x00000000]
Информацию по контейнеру получаю тоже все в порядке: Код:
# certmgr -list -container 2025-01-22-test-ca-operator
Certmgr Ver:5.0.13000 OS:Linux CPU:AMD64 (c) "Crypto-Pro", 2007-2024.
Program for managing certificates, CRLs and stores.
=============================================================================
1-------
Issuer : CN=GIS CA TEST
Subject : CN=Оператор GIS CA TEST
Serial : 0x04D97C89006DB29BB9497DEF58523CDCF6
SHA1 Thumbprint : f995808054436fad0d428a9093beb2621c24a38c
SubjectKeyID : 352b80f0c877f9f0a0f106f373e355da7c9a19c5
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 512 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 22/01/2025 08:10:36 UTC
Not valid after : 22/01/2026 08:20:36 UTC
PrivateKey Link : Certificate from container. No link to key
CA cert URL : http://xxx/aia/2a61e02cd3c10fae4f0b3c8a02cdb8af0e84f6c8.crt
CDP : http://xxx/cdp/2a61e02cd3c10fae4f0b3c8a02cdb8af0e84f6c8.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
1.3.6.1.5.5.7.3.4 Защищенная электронная почта
=============================================================================
[ErrorCode: 0x00000000]
Хочу сохранить корневой сертификат закрытого ключа Код:
# csptestf -keyset -container 2025-01-22-test-ca-operator -saveext /root/2025-01-22-test-ca-operator-root.cer
CSP (Type:80) v5.0.10013 KC1 Release Ver:5.0.13000 OS:Linux CPU:AMD64 FastCode:READY:AVX,AVX2.
AcquireContext: OK. HCRYPTPROV: 31201411
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "2025-01-22-test-ca-operator"
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x1e60713
Symmetric key is not available.
UEC key is not available.
Saving extensions...
Extensions:
OID: 1.2.643.2.2.37.3.10 does not refer to the certificate
Keys in container:
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 23.04.2026 14:20:31 (UTC)
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.020 sec
[ErrorCode: 0x00000000]
Показывает успех, но при попытке установить корневой в mRoot, ошибка: Код:
# certmgr -install -store mRoot -file /root/2025-01-22-test-ca-operator-root.cer
Certmgr Ver:5.0.13000 OS:Linux CPU:AMD64 (c) "Crypto-Pro", 2007-2024.
Program for managing certificates, CRLs and stores.
No certificate to install
The requested certificate does not exist.
[ErrorCode: 0x8010002c]
Если посмотреть на сохраненный файл, то он пустой:  photo_2025-02-07_14-10-13.jpg (45kb) загружен 5 раз(а).В каком направлении решать проблему? Что-то с выпущенными сертификатом оператора не так? Заранее спасибо! Отредактировано пользователем 10 февраля 2025 г. 12:58:32(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,664   Сказал «Спасибо»: 571 раз Поблагодарили: 2297 раз в 1798 постах
|
Здравствуйте. Сертификат этой опцией не сохраняется в файл. Цитата:-saveext <file> Save container extensions to PKCS#7 file |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,664   Сказал «Спасибо»: 571 раз Поблагодарили: 2297 раз в 1798 постах
|
Цитата:certmgr -inst -cont '\\.\HDIMAGE\2025-01-22-test-ca-operator' -store mRoot из контейнера |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.01.2019(UTC) Сообщений: 16   Откуда: Санкт-Петербург Сказал «Спасибо»: 3 раз
|
Автор: Андрей *  Здравствуйте. Сертификат этой опцией не сохраняется в файл. Цитата:-saveext <file> Save container extensions to PKCS#7 file То что у утилиты csptestf невнятный хелп это не значит, что он это не делает. Посмотрите скрипт channel_k2.sh (/opt/cprocsp/sbin/amd64/channel_k2.sh) из комплекта поставки КриптоПро CSP: Код:
install_certs()
{
set -e
echo "Installing certificates"
FQCN=`/opt/cprocsp/bin/$arch/csptestf -keyset -enum_cont -fqcn -verifycontext | grep -F "$cont" | sort | head -n1`
/opt/cprocsp/bin/$arch/csptestf -keyset -container "$FQCN" -saveext $rootcert_file
/opt/cprocsp/bin/$arch/certmgr -inst -cont "$FQCN"
/opt/cprocsp/bin/$arch/certmgr -exp -cont "$FQCN" -dest $user_cert_path/cert.cer
/opt/cprocsp/bin/$arch/certmgr -inst -store mRoot -file $rootcert_file > /dev/null
set +e
}
Что делает команда вашего скрипта: Код:
/opt/cprocsp/bin/$arch/csptestf -keyset -container "$FQCN" -saveext $rootcert_file
? У меня есть второй ключ, эта команда на нем работает как и ожидается, сохраняя корневой сертификат в файл: Код:
# csptestf -keyset -container HSMClient -saveext /root/HSMClient-root.cer
CSP (Type:80) v5.0.10013 KC1 Release Ver:5.0.13000 OS:Linux CPU:AMD64 FastCode:READY:AVX,AVX2.
AcquireContext: OK. HCRYPTPROV: 27473907
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "HSMClient"
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x1acff23
Symmetric key is not available.
UEC key is not available.
Saving extensions...
Extensions:
OID: 1.2.643.2.2.37.3.10 does not refer to the certificate
OID: 1.2.643.2.2.37.3.3
Keys in container:
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 20.02.2026 13:38:44 (UTC)
OID: 1.2.643.2.2.37.3.3
Certificates: 1:
DName: CN=HSM43-000289
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.050 sec
[ErrorCode: 0x00000000]
Который нормально устанавливается в mRoot: Код:
# certmgr -install -store mRoot -file /root/HSMClient-root.cer
Certmgr Ver:5.0.13000 OS:Linux CPU:AMD64 (c) "Crypto-Pro", 2007-2024.
Program for managing certificates, CRLs and stores.
Installing:
=============================================================================
1-------
Issuer : CN=HSM43-000289
Subject : CN=HSM43-000289
Serial : 0x291FD3D58BF9EA30CE71
SHA1 Thumbprint : c9173c4d9cb94d468424ceec3829e93d59cd95a6
SubjectKeyID : 5a1319813e9aed31773e868050a19368fdf8f797
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 24/10/2022 10:14:43 UTC
Not valid after : 24/10/2037 10:14:43 UTC
PrivateKey Link : No
Extended Key Usage : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
1.3.6.1.4.1.311.20.2.2 Вход со смарт-картой
1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
1.2.643.2.2.34.21
1.2.643.2.2.34.22
1.2.643.2.2.34.28
1.2.643.2.2.34.27
=============================================================================
[ErrorCode: 0x00000000]
Теперь по поводу второго совета: Код:
certmgr -inst -cont '\\.\HDIMAGE\2025-01-22-test-ca-operator' -store mRoot
Эта команда устанавливает сертификат ключа, а мне необходимо установить корневой сертификат сертификата ключа. Отредактировано пользователем 7 февраля 2025 г. 16:02:08(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,664   Сказал «Спасибо»: 571 раз Поблагодарили: 2297 раз в 1798 постах
|
Во первых, это не мой скрипт. Во вторых - это выгрузка не корневого, в -help явно прописано что это, то, что там может быть записан корневой - лишь частный случай, этим указанный код и пользуется.
У Вас нет корневого сертификата в расширении контейнера (пользователя).
Ставьте корневой из файла или обеспечьте его наличие в расширениях у контейнера пользователя.
|
|
 2 пользователей поблагодарили Андрей * за этот пост.
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,664   Сказал «Спасибо»: 571 раз Поблагодарили: 2297 раз в 1798 постах
|
скриптом скачивайте и сразу устанавливайте сертификат из: Цитата: CA cert URL : http://xxx/aia/2a61e02cd3c10fae4f0b3c8a02cdb8af0e84f6c8.crt
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.01.2019(UTC) Сообщений: 16   Откуда: Санкт-Петербург Сказал «Спасибо»: 3 раз
|
Подведу итог моего вопроса: это специфика HSM сертификата, который содержит корневой сертификат в расширениях и в общем случае нельзя использовать этот подход для установки корневого сертификата. Вопрос закрываю.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close