Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline antiigor  
#1 Оставлено : 9 октября 2014 г. 20:46:06(UTC)
antiigor

Статус: Участник

Группы: Участники
Зарегистрирован: 03.09.2014(UTC)
Сообщений: 16
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 10 раз
Добрый вечер! Выручайте, друзья!
Есть машина под управлением Astra Linux. Получили на eToken сертификат с закрытм ключём, выданный УЦ KPИПTO-ПPO. Пытаюсь установить сертификат, чтоб закртый ключ остался на токене. Драйвера с горем по полам поставил;
токен виден в lsusb, pcsc_scan, list_pcsc с таким именем:
available reader: AKS ifdh [Main Interface] 00 00

Но добавление его валится с ошибкой:

root@astra3:/opt/cprocsp/sbin/amd64# ./cpconfig -hardware reader -add "AKS ifdh [Main Interface] 00 00"
Adding new reader:
Nick name: AKS ifdh [Main Interface] 00 00
Failed, code:0x1008
Error code:4104, Connection error.

Ладно, думаю, не факт что моя операционка вообще позволяет работать с eToken, на форуме здешном видел такие ответы, нужно попробовать установить сертификат с закрытым ключом из файла. На виндовой машине достал .pfx файл из токена, благо закрытый ключ экспортируемый, на другую виндовую машину устанавливается он без проблем и нормально работает. Но при попытке установить на машину под управлением Astra Linux получаю ошибку

root@astra4:~/Distr/CryptoPRO/сerts# /opt/cprocsp/bin/amd64/certmgr -inst -file ./XXX.pfx -pin YYY
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores

Invalid data in file ./XXX.pfx

[ErrorCode: 0x80092003]

При этом в логе /var/log/auth.log появляется такое сообщение
Oct 9 08:16:20 astra4 cpcsp[6679]: capi20: CryptMsgUpdate () Exception :'Ошибка 0x80091004: Invalid cryptographic message type.' at file:'/dailybuildsbranches/CSP_3_6r4/CSPbuild/CSP/capilite/CMSMessage.cpp' line:161

И что самое интересное, если certmgr сообщить несуществующее имя файла в ключе -file, ошибка точно такая же.

Если же при экспорте этого сертификата с виндовой машины не экспортировать закрытый ключ, то .cer файл нормально устанавливается на линуксовую машину и получается этим сертификатом без проблем зашифровать файл.

До этого на этой же самой линуксовой машине стоял серфификат с закрытым ключом сгенерённый вашим тестовым центром сертификации http://cryptopro.ru/certsrv/ и нормально работал, но сейчас он уже просрочен и проверить расширование им уже не удаётся. Но при его установке проблем не было ровным счётом никаких. Самое неприятное, что я получил на тестовом ЦС новый тестовый сертификат и с ним сейчас такая же проблема, Invalid data in file.

Пробовал удалить Крипто-Про CSP и поставить заново, результат нулевой.

Помогите пожалуйста.
Offline Ivanov-aa  
#2 Оставлено : 13 октября 2014 г. 18:04:24(UTC)
Ivanov-aa

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 01.08.2011(UTC)
Сообщений: 674
Откуда: Москва

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 38 раз в 36 постах
Добрый день.

Если у вас актуальная версия CSP 3.6 R3 и выше, то нет необходимости добавлять считыватель, они автоматически прописываются. Если более поздняя версия, то пример добавления указан на сайте
http://www.cryptopro.ru/...a-raboty-s-rutokenetoken

Если же все корректно настроено, то csp должен увидеть контейнер, который находится на токене. вы можете просмотреть ее с помощью команды
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifycontext


А экспортируемый файл .pfx предназначен, только для импорта в MS Windows, и не более. К тому же CSP должно быть установлено 3.6 R3 и выше.
Offline antiigor  
#3 Оставлено : 13 октября 2014 г. 18:45:10(UTC)
antiigor

Статус: Участник

Группы: Участники
Зарегистрирован: 03.09.2014(UTC)
Сообщений: 16
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 10 раз
Добрый день!
Как посмотреть версию всего Крипто-Про, а не конкретной утилиты, я не очень разобрался, но если верить release_notes в дистрибутиве, мы ставили CryptoPro CSP 3.6 R4 (build 7777) (ЖТЯИ.00050-03)
По приведённой команде не вижу контейнера, установленного на токене, вижу вот что:
root@astra4:/opt/cprocsp/bin/amd64# ./csptest -keyset -enum_cont -fqcn -verifycontext
CSP (Type:75) v3.6.5365 KC1 Release Ver:3.6.7777 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 13401779
OK.
Total:
[ErrorCode: 0x00000000]

Это говорит о том, что токен готов к работе, или всё таки нет? Какие дальнейшие шаги мне предпринять, чтоб иметь возможность использовать сертификат на етокене для шифрования?


Метод из инструкции

как я и писал выше возвращает ошибку:
root@astra4:/opt/cprocsp/sbin/amd64# ./cpconfig -hardware reader -add "AKS ifdh [Main Interface] 00 00"
Adding new reader:
Nick name: AKS ifdh [Main Interface] 00 00
Failed, code:0x1008
Error code:4104, Connection error.

Offline antiigor  
#4 Оставлено : 13 октября 2014 г. 18:48:38(UTC)
antiigor

Статус: Участник

Группы: Участники
Зарегистрирован: 03.09.2014(UTC)
Сообщений: 16
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 10 раз
Добавление считывателя с параметром -name возвращает такое же сообщение
root@astra4:/opt/cprocsp/sbin/amd64# ./cpconfig -hardware reader -add "AKS ifdh [Main Interface] 00 00" -name "eToken123"
Adding new reader:
Nick name: AKS ifdh [Main Interface] 00 00
Name device: eToken123
Failed, code:0x1008
Error code:4104, Connection error.
Offline Ivanov-aa  
#5 Оставлено : 14 октября 2014 г. 14:33:51(UTC)
Ivanov-aa

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 01.08.2011(UTC)
Сообщений: 674
Откуда: Москва

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 38 раз в 36 постах
У вас версия CSP 3.6 R4, нет необходимости добавлять считыватель.

Попробуйте создать контейнер:
csptest -keyset -newkeyset -cont '\\.\AKS ifdh [Main Interface] 00 00\testcont'
thanks 1 пользователь поблагодарил Ivanov-aa за этот пост.
antiigor оставлено 16.10.2014(UTC)
Offline antiigor  
#6 Оставлено : 14 октября 2014 г. 15:39:32(UTC)
antiigor

Статус: Участник

Группы: Участники
Зарегистрирован: 03.09.2014(UTC)
Сообщений: 16
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 10 раз
Автор: Ivanov-aa Перейти к цитате
У вас версия CSP 3.6 R4, нет необходимости добавлять считыватель.

Попробуйте создать контейнер:
csptest -keyset -newkeyset -cont '\\.\AKS ifdh [Main Interface] 00 00\testcont'


Создать контейнер не получилось:
root@astra4:~# csptest -keyset -newkeyset -cont '\\.\AKS ifdh [Main Interface] 00 00\testcont'
CSP (Type:75) v3.6.5365 KC1 Release Ver:3.6.7777 OS:Linux CPU:AMD64 FastCode:READY:AVX.
An error occurred in running the program.
/dailybuildsbranches/CSP_3_6r4/CSPbuild/CSP/samples/csptest/ctkey.c:886:AcquireContext("\\.\AKS ifdh [Main Interface] 00 00\testcont")
Error number 0x8009001f (2148073503).
The Keyset parameter is invalid.
Total:
[ErrorCode: 0x8009001f]

В auth.log при этом такое сообщение:
Oct 14 15:17:04 astra4 cprdr[4948]: cpcsp: carrier_open create_keyset fail (testcont)
Oct 14 15:17:04 astra4 cprdr[4948]: cpcsp: CreateContainer CreateContainer: key_carrier_open faild!
Offline antiigor  
#7 Оставлено : 16 октября 2014 г. 14:37:05(UTC)
antiigor

Статус: Участник

Группы: Участники
Зарегистрирован: 03.09.2014(UTC)
Сообщений: 16
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 10 раз
Каким то чудесным образом еТокен получилось добавить без ошибки и он теперь виден в списке:

# cpconfig -hardware reader -view

Nick name: AKS ifdh [Main Interface] 00 00
Connect name:
Reader name: AKS ifdh [Main Interface] 00 00

Nick name: FLASH
Connect name:
Reader name: FLASH

Nick name: HDIMAGE
Connect name:
Reader name: ▒▒▒▒▒▒▒▒▒ ▒▒▒▒▒▒▒ ▒▒ ▒▒▒▒▒▒▒ ▒▒▒▒▒

Теперь пытаюсь определить имя контейнера для его дальнейшео использования, пользуясь командой из FAQ, но никаких контейнеров не видно:
# csptest -keyset -enum_cont -verifycontext -fqcn
CSP (Type:75) v3.6.5365 KC2 Release Ver:3.6.7777 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 10960003
OK.
Total:
[ErrorCode: 0x00000000]

Причём на виндовой машине контейнер был виден, и даже получалось расшифровывать файлы через cryptcp.
Как увидеть контейнер на еТокене?
Offline Ivanov-aa  
#8 Оставлено : 16 октября 2014 г. 18:26:59(UTC)
Ivanov-aa

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 01.08.2011(UTC)
Сообщений: 674
Откуда: Москва

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 38 раз в 36 постах
Видимо у вас не корректно настроен драйвер или модуль поддержки етокена, поэтому ничего и не выходит... За настройкой посоветую обратится в аладин

Отредактировано пользователем 16 октября 2014 г. 18:27:35(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил Ivanov-aa за этот пост.
antiigor оставлено 16.10.2014(UTC)
Offline antiigor  
#9 Оставлено : 16 октября 2014 г. 18:33:40(UTC)
antiigor

Статус: Участник

Группы: Участники
Зарегистрирован: 03.09.2014(UTC)
Сообщений: 16
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 10 раз
Понятно, спасибо!
Offline antiigor  
#10 Оставлено : 21 октября 2014 г. 13:48:09(UTC)
antiigor

Статус: Участник

Группы: Участники
Зарегистрирован: 03.09.2014(UTC)
Сообщений: 16
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 10 раз
Коллеги, подскажите ещё пожалуйста, а если всё таки из этой схемы убрать eToken, то как можно закрытый ключ (полученный и находящийся сейчас на eToken) или же контейнер с ним правильно перенести в HDIMAGE?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (4)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.