Ключевое слово в защите информации
ключевое слово
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
4 Страницы«<234
Не качаются списки отзыва
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline nikva76@ya.ru  
#31 Оставлено : 26 июня 2025 г. 11:46:53(UTC)
nikva76@ya.ru

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.05.2018(UTC)
Сообщений: 9
Российская Федерация
Откуда: Курган

Сказал(а) «Спасибо»: 2 раз
Автор: nickm Перейти к цитате
Автор: nikva76@ya.ru Перейти к цитате
самое интересное что env | grep -i proxy показывал и браузер все подхватывал из консоли все работало но только крипто про нет

Можно предположить, что Вы, ещё каким-то другим способом задавали переменные пользователя, которые работают в текущем сеансе консоли.

/etc/environment - это файл общих, системных переменных.



когда увидели что в ид процесса нет переменой от прокси а в окружении есть мы и туда еще прописали и получили за двоение потом удалили
Вверх
Offline trillobit  
#32 Оставлено : 25 августа 2025 г. 12:21:00(UTC)
trillobit

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.02.2023(UTC)
Сообщений: 1
Российская Федерация
Добрый день!
Версия КриптоПро CSP 5.0.13000
Виртуальная машина Debian Linux 12

Не могу зайти в личный кабинет индивидуального предпринимателя на сайте налоговой.
Проверка выполнения условий доступа к личному кабинету до пункта
Цитата:

В хранилище сертификатов Личные установлен Сертификат ЭП, выданный индивидуальному предпринимателю аккредитованным удостоверяющим центром, и успешно создана электронная подпись с использованием Сертификата ЭП индивидуального предпринимателя.

проходит успешно. И на этом пункте возникает длительная пауза (минут 15, если не больше) после чего выдается сообщение

Цитата:

Недоступные сертификаты
Ошибка при проверке цепочки сертификатов. Возможно на компьютере не установлены сертификаты УЦ, выдавшего ваш сертификат и (или) Список отзыва сертификатов


В это время логах записи такого вида (лог не весь)


Причем в cptools сертификаты отображаются. Но если нажать свойства сертификата, то приходится ждать чуть больше шести минут
и свойства сертификата появляются! В логах при этом тоже, что и выше.
Полный лог:


Пробую качать при помощи curl, качает

/opt/cprocsp/bin/amd64/curl http://pki.tax.gov.ru/cd...ae0ac66749577f87e116.crl -o test.crl
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 23.6M 100 23.6M 0 0 190k 0 0:02:07 0:02:07 --:--:-- 152k


Прописывал таймауты через cpconfig:

/opt/cprocsp/sbin/amd64/cpconfig -ini '\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config' -add long ChainUrlRetrievalTimeoutMilliseconds 150000
/opt/cprocsp/sbin/amd64/cpconfig -ini '\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config' -add long ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds 200000

не помогает, сообщения в логах с той же периодичностью

Команда /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn -un
выдает следующее:

CSP (Type:80) v5.0.10013 KC1 Release Ver:5.0.13000 OS:Linux CPU:AMD64 FastCode:READY:SSE2. DISABLED:EncryptECB;DecryptECB;DecryptCBC;GammaCNT;DecryptCFB;GR3412GammaOFB;GR3412GammaCTR;MGM_Auth;GHASH;SHA1;SHA2;AESNI;RSA;
AcquireContext: OK. HCRYPTPROV: 1064901635
\\.\Aktiv Co. Rutoken S 01 00\6daf6976-d69d-4d42-af17-2e51a225eb67|\\.\Aktiv Co. Rutoken S 01 00\SCARD\rutoken_30d96e93\0A00\DA81
\\.\Aktiv Co. Rutoken S 00 00\a4264920-7af0-4c9e-9626-70b591b943ff|\\.\Aktiv Co. Rutoken S 00 00\SCARD\rutoken_335068cc\0B00\0965
OK.
Total: SYS: 0,060 sec USR: 0,140 sec UTC: 2,310 sec
[ErrorCode: 0x00000000]


не знаю что ещё сделать.
Вверх
Offline nickm  
#33 Оставлено : 25 августа 2025 г. 14:45:08(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 3,012

Сказал(а) «Спасибо»: 684 раз
Поблагодарили: 537 раз в 508 постах
Автор: trillobit Перейти к цитате
Пробую качать при помощи curl, качает
Код:
/opt/cprocsp/bin/amd64/curl http://pki.tax.gov.ru/cdp/d156fb382c4c55ad7eb3ae0ac66749577f87e116.crl -o test.crl
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 23.6M  100 23.6M    0     0   190k      0  0:02:07  0:02:07 --:--:--  152k


У Вас большие задержки в сети, возможно, что ФНС, на такой маленькой скорости, отдаёт список отзывов и Вы не укладываетесь в таймаут по умолчанию;

Автор: trillobit Перейти к цитате
Прописывал таймауты через cpconfig:
Код:
/opt/cprocsp/sbin/amd64/cpconfig -ini '\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config' -add long ChainUrlRetrievalTimeoutMilliseconds 150000
/opt/cprocsp/sbin/amd64/cpconfig -ini '\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config' -add long ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds 200000


не помогает, сообщения в логах с той же периодичностью


Не помогает по той причине, что в используемой Вами версии СКЗИ максимально возможное значение 65535 (читать здесь);


Автор: trillobit Перейти к цитате
не знаю что ещё сделать.

Если у Вас время загрузки всегда будет более ~65 секунд (65535/ 1000), то Вы, в принципе, никогда не сможете выкачать эти списки в кэш. Поэтому, как возможное решение, это ручная загрузка и установка списков в хранилища.

Отредактировано пользователем 25 августа 2025 г. 14:52:27(UTC)  | Причина: Не указана
Вверх
Offline GIT_180  
#34 Оставлено : 15 января 2026 г. 16:47:58(UTC)
GIT_180

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.01.2026(UTC)
Сообщений: 3
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Автор: nickm Перейти к цитате
Используете прокси?


Разрешите продолжить тему.
Мы также используем прокси в закрытом контуре. Но у нас прокси может авторизовывать пользователей только по kerberos, никаких NTLM, и тем более без авторизации.
Тоже мучаемся с автоматическим получением crl и проверкой цепочки сертификатов.
Системный curl отлично скачивает crl через прокси с авторизацией по kerberos. Curl из пакетов КриптоПРО 5.0.13000 - не может авторизоваться на прокси, хотя поддержка kerberos должна быть:

$ /opt/cprocsp/bin/amd64/curl -V
curl 7.65.3-DEV (x86_64-pc-linux-gnu) libcurl/7.65.3-DEV Schannel zlib/1.3.1
Release-Date: [unreleased]
Protocols: dict file ftp ftps gopher http https imap imaps pop3 pop3s rtsp smtp smtps telnet tftp
Features: AsynchDNS IPv6 Kerberos Largefile libz NTLM NTLM_WB SPNEGO SSL SSPI UnixSockets

Можно ли заставить curl из состава КриптоПро авторизовываться на прокси?
При использовании ключа -U <user:passwd> и без него результат одинаковый.
Нашел пояснения в соседней теме Прокси с авторизацией, но не сильно прояснило ситуацию.

Отредактировано пользователем 15 января 2026 г. 17:40:13(UTC)  | Причина: Не указана
Вверх
Offline nickm  
#35 Оставлено : 15 января 2026 г. 19:30:51(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 3,012

Сказал(а) «Спасибо»: 684 раз
Поблагодарили: 537 раз в 508 постах
Автор: GIT_180 Перейти к цитате
Нашел пояснения в соседней теме Прокси с авторизацией, но не сильно прояснило ситуацию.

Сам прокси не использую, но вроде как, это следует понимать буквально так:

1.
Автор: Зубов Иван Перейти к цитате
Тикет для отслеживания: CPCSP-14702.

В ченжлоге версии "5.0.13600" видим эту запись:
Цитата:
capilite: В секции Parameters конфигурационного файла можно задать CURLOPT_PROXY через параметр CurlProxy и CURLOPT_PROXYAUTH через параметр CurlProxyAuth (CPCSP-14702).


2.
Автор: Зубов Иван Перейти к цитате
Задать можно через cpconfig:
Код:
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\Parameters' -add string CurlProxy 'a'

Ок, задаём:
Код:
# /opt/cprocsp/sbin/amd64/cpconfig -ini '\config\Parameters' -add string CurlProxy 'http://my.proxy:3128'


3.
Автор: Зубов Иван Перейти к цитате
Значения констант:
Код:
#define CURLAUTH_NONE         ((unsigned long)0)
#define CURLAUTH_BASIC        (((unsigned long)1)<<0)
#define CURLAUTH_DIGEST       (((unsigned long)1)<<1)
#define CURLAUTH_NEGOTIATE    (((unsigned long)1)<<2)

Автор: Зубов Иван Перейти к цитате
Задать можно через cpconfig:
Код:
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\Parameters' -add long CurlProxyAuth 1

Ок, задаём (вот тут следует понять, что значит битовая маска, скорее всего 1<<2 равно 4 в десятичной, или 0100 в двоичной, тогда получается 3 в битовой маске?):
Код:
# /opt/cprocsp/sbin/amd64/cpconfig -ini '\config\Parameters' -add long CurlProxyAuth 3

Отредактировано пользователем 15 января 2026 г. 20:00:58(UTC)  | Причина: Не указана
Вверх
thanks 1 пользователь поблагодарил nickm за этот пост.
GIT_180 оставлено 16.01.2026(UTC)
Offline GIT_180  
#36 Оставлено : 16 января 2026 г. 11:35:23(UTC)
GIT_180

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.01.2026(UTC)
Сообщений: 3
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Автор: nickm Перейти к цитате

Ок, задаём (вот тут следует понять, что значит битовая маска, скорее всего 1<<2 равно 4 в десятичной, или 0100 в двоичной, тогда получается 3 в битовой маске?):
Код:
# /opt/cprocsp/sbin/amd64/cpconfig -ini '\config\Parameters' -add long CurlProxyAuth 3

Благодарю! Отрабатывает отлично!
Вверх
thanks 1 пользователь поблагодарил GIT_180 за этот пост.
nickm оставлено 16.01.2026(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
4 Страницы«<234
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2026, Yet Another Forum.NET