Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Анатолий Широков  
#1 Оставлено : 7 февраля 2025 г. 14:51:07(UTC)
Анатолий Широков

Статус: Участник

Группы: Участники
Зарегистрирован: 22.01.2019(UTC)
Сообщений: 16
Мужчина
Российская Федерация
Откуда: Санкт-Петербург

Сказал «Спасибо»: 3 раз
Добрый день!

Astra Linux из образа ubi18-openjdk170:1.8.1uu1-mg15.1.0
КриптоПро CSP 5.0.10013 private/csp/50/13000/linux-amd64_deb.tgz

Есть ключ для работы с тестовым КриптоПро УЦ 2.0, сохранен в /var/opt/cprocsp/keys/root

Получаю список ключевый контейнеров успешно:
Код:

# csptestf -keyset -enum_cont -fqcn
CSP (Type:80) v5.0.10013 KC1 Release Ver:5.0.13000 OS:Linux CPU:AMD64 FastCode:READY:AVX,AVX2.
AcquireContext: OK. HCRYPTPROV: 34740163
\\.\HDIMAGE\2025-01-22-test-ca-operator
\\.\HDIMAGE\HSMClient
OK.
Total: SYS: 0.010 sec USR: 0.000 sec UTC: 0.050 sec
[ErrorCode: 0x00000000]


Информацию по контейнеру получаю тоже все в порядке:
Код:

# certmgr -list -container 2025-01-22-test-ca-operator
Certmgr Ver:5.0.13000 OS:Linux CPU:AMD64 (c) "Crypto-Pro", 2007-2024.
Program for managing certificates, CRLs and stores.
=============================================================================
1-------
Issuer              : CN=GIS CA TEST
Subject             : CN=Оператор GIS CA TEST
Serial              : 0x04D97C89006DB29BB9497DEF58523CDCF6
SHA1 Thumbprint     : f995808054436fad0d428a9093beb2621c24a38c
SubjectKeyID        : 352b80f0c877f9f0a0f106f373e355da7c9a19c5
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 512 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before    : 22/01/2025 08:10:36 UTC
Not valid after     : 22/01/2026 08:20:36 UTC
PrivateKey Link     : Certificate from container. No link to key
CA cert URL         : http://xxx/aia/2a61e02cd3c10fae4f0b3c8a02cdb8af0e84f6c8.crt
CDP                 : http://xxx/cdp/2a61e02cd3c10fae4f0b3c8a02cdb8af0e84f6c8.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
                      1.3.6.1.5.5.7.3.4 Защищенная электронная почта
=============================================================================

[ErrorCode: 0x00000000]


Хочу сохранить корневой сертификат закрытого ключа
Код:

# csptestf -keyset -container 2025-01-22-test-ca-operator -saveext /root/2025-01-22-test-ca-operator-root.cer
CSP (Type:80) v5.0.10013 KC1 Release Ver:5.0.13000 OS:Linux CPU:AMD64 FastCode:READY:AVX,AVX2.
AcquireContext: OK. HCRYPTPROV: 31201411
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "2025-01-22-test-ca-operator"
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x1e60713
Symmetric key is not available.
UEC key is not available.
Saving extensions...
Extensions:
 OID: 1.2.643.2.2.37.3.10 does not refer to the certificate
Keys in container:
  exchange key
Extensions:
  OID: 1.2.643.2.2.37.3.10
  PrivKey: Not specified - 23.04.2026 14:20:31 (UTC)
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.020 sec
[ErrorCode: 0x00000000]


Показывает успех, но при попытке установить корневой в mRoot, ошибка:
Код:

# certmgr -install -store mRoot -file /root/2025-01-22-test-ca-operator-root.cer
Certmgr Ver:5.0.13000 OS:Linux CPU:AMD64 (c) "Crypto-Pro", 2007-2024.
Program for managing certificates, CRLs and stores.
No certificate to install

The requested certificate does not exist.

[ErrorCode: 0x8010002c]


Если посмотреть на сохраненный файл, то он пустой:
photo_2025-02-07_14-10-13.jpg (45kb) загружен 5 раз(а).

В каком направлении решать проблему? Что-то с выпущенными сертификатом оператора не так?

Заранее спасибо!

Отредактировано пользователем 10 февраля 2025 г. 12:58:32(UTC)  | Причина: Не указана

Offline Андрей *  
#2 Оставлено : 7 февраля 2025 г. 14:58:47(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,664
Мужчина
Российская Федерация

Сказал «Спасибо»: 571 раз
Поблагодарили: 2297 раз в 1798 постах
Здравствуйте.

Сертификат этой опцией не сохраняется в файл.

Цитата:
-saveext <file> Save container extensions to PKCS#7 file
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#3 Оставлено : 7 февраля 2025 г. 15:01:36(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,664
Мужчина
Российская Федерация

Сказал «Спасибо»: 571 раз
Поблагодарили: 2297 раз в 1798 постах
Цитата:
certmgr -inst -cont '\\.\HDIMAGE\2025-01-22-test-ca-operator' -store mRoot


из контейнера
Техническую поддержку оказываем тут
Наша база знаний
Offline Анатолий Широков  
#4 Оставлено : 7 февраля 2025 г. 15:43:44(UTC)
Анатолий Широков

Статус: Участник

Группы: Участники
Зарегистрирован: 22.01.2019(UTC)
Сообщений: 16
Мужчина
Российская Федерация
Откуда: Санкт-Петербург

Сказал «Спасибо»: 3 раз
Автор: Андрей * Перейти к цитате
Здравствуйте.

Сертификат этой опцией не сохраняется в файл.

Цитата:
-saveext <file> Save container extensions to PKCS#7 file


То что у утилиты csptestf невнятный хелп это не значит, что он это не делает. Посмотрите скрипт channel_k2.sh (/opt/cprocsp/sbin/amd64/channel_k2.sh) из комплекта поставки КриптоПро CSP:
Код:

install_certs()
{
    set -e
    echo "Installing certificates"
    FQCN=`/opt/cprocsp/bin/$arch/csptestf -keyset -enum_cont -fqcn -verifycontext | grep -F "$cont" | sort | head -n1`
    /opt/cprocsp/bin/$arch/csptestf -keyset -container "$FQCN" -saveext $rootcert_file
    /opt/cprocsp/bin/$arch/certmgr -inst -cont "$FQCN"
    /opt/cprocsp/bin/$arch/certmgr -exp -cont "$FQCN" -dest $user_cert_path/cert.cer
    /opt/cprocsp/bin/$arch/certmgr -inst -store mRoot -file $rootcert_file > /dev/null
    set +e
}


Что делает команда вашего скрипта:
Код:

/opt/cprocsp/bin/$arch/csptestf -keyset -container "$FQCN" -saveext $rootcert_file 


?

У меня есть второй ключ, эта команда на нем работает как и ожидается, сохраняя корневой сертификат в файл:
Код:

# csptestf -keyset -container HSMClient -saveext /root/HSMClient-root.cer
CSP (Type:80) v5.0.10013 KC1 Release Ver:5.0.13000 OS:Linux CPU:AMD64 FastCode:READY:AVX,AVX2.
AcquireContext: OK. HCRYPTPROV: 27473907
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "HSMClient"
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x1acff23
Symmetric key is not available.
UEC key is not available.
Saving extensions...
Extensions:
 OID: 1.2.643.2.2.37.3.10 does not refer to the certificate
  OID: 1.2.643.2.2.37.3.3
Keys in container:
  exchange key
Extensions:
  OID: 1.2.643.2.2.37.3.10
  PrivKey: Not specified - 20.02.2026 13:38:44 (UTC)

  OID: 1.2.643.2.2.37.3.3
  Certificates: 1:
    DName: CN=HSM43-000289
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.050 sec
[ErrorCode: 0x00000000]


Который нормально устанавливается в mRoot:
Код:

# certmgr -install -store mRoot -file /root/HSMClient-root.cer
Certmgr Ver:5.0.13000 OS:Linux CPU:AMD64 (c) "Crypto-Pro", 2007-2024.
Program for managing certificates, CRLs and stores.
Installing:
=============================================================================
1-------
Issuer              : CN=HSM43-000289
Subject             : CN=HSM43-000289
Serial              : 0x291FD3D58BF9EA30CE71
SHA1 Thumbprint     : c9173c4d9cb94d468424ceec3829e93d59cd95a6
SubjectKeyID        : 5a1319813e9aed31773e868050a19368fdf8f797
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before    : 24/10/2022 10:14:43 UTC
Not valid after     : 24/10/2037 10:14:43 UTC
PrivateKey Link     : No
Extended Key Usage  : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
                      1.3.6.1.4.1.311.20.2.2 Вход со смарт-картой
                      1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
                      1.2.643.2.2.34.21
                      1.2.643.2.2.34.22
                      1.2.643.2.2.34.28
                      1.2.643.2.2.34.27
=============================================================================

[ErrorCode: 0x00000000]



Теперь по поводу второго совета:

Код:

certmgr -inst -cont '\\.\HDIMAGE\2025-01-22-test-ca-operator' -store mRoot


Эта команда устанавливает сертификат ключа, а мне необходимо установить корневой сертификат сертификата ключа.

Отредактировано пользователем 7 февраля 2025 г. 16:02:08(UTC)  | Причина: Не указана

Offline Андрей *  
#5 Оставлено : 7 февраля 2025 г. 17:12:16(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,664
Мужчина
Российская Федерация

Сказал «Спасибо»: 571 раз
Поблагодарили: 2297 раз в 1798 постах
Во первых, это не мой скрипт.
Во вторых - это выгрузка не корневого, в -help явно прописано что это,
то, что там может быть записан корневой - лишь частный случай, этим указанный код и пользуется.

У Вас нет корневого сертификата в расширении контейнера (пользователя).

Ставьте корневой из файла или обеспечьте его наличие в расширениях у контейнера пользователя.

Техническую поддержку оказываем тут
Наша база знаний
thanks 2 пользователей поблагодарили Андрей * за этот пост.
nickm оставлено 07.02.2025(UTC), Анатолий Широков оставлено 10.02.2025(UTC)
Offline Андрей *  
#6 Оставлено : 7 февраля 2025 г. 17:14:25(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,664
Мужчина
Российская Федерация

Сказал «Спасибо»: 571 раз
Поблагодарили: 2297 раз в 1798 постах
скриптом скачивайте и сразу устанавливайте сертификат из:
Цитата:

CA cert URL : http://xxx/aia/2a61e02cd3c10fae4f0b3c8a02cdb8af0e84f6c8.crt

Техническую поддержку оказываем тут
Наша база знаний
Offline Анатолий Широков  
#7 Оставлено : 10 февраля 2025 г. 12:57:32(UTC)
Анатолий Широков

Статус: Участник

Группы: Участники
Зарегистрирован: 22.01.2019(UTC)
Сообщений: 16
Мужчина
Российская Федерация
Откуда: Санкт-Петербург

Сказал «Спасибо»: 3 раз
Подведу итог моего вопроса: это специфика HSM сертификата, который содержит корневой сертификат в расширениях и в общем случае нельзя использовать этот подход для установки корневого сертификата. Вопрос закрываю.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.