Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
вообще работает ли "КриптоПро ЭЦП Browser plug-in" на линуксах?
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Andrei Antonov  
#1 Оставлено : 14 июня 2016 г. 14:43:21(UTC)
Andrei Antonov

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.06.2016(UTC)
Сообщений: 6
Российская Федерация
------------------------------ история такая: ------------------------------

на виртуальную машину -- скачал и установил Fedora (сейчас актуальная версия Федора это 23).

сделал установку -- всё по умолчанию.

на неё установил пакет "lsb" (из репозитория) и Google Chrome .


далее установил "КриптоПро CSP 4.0" (sudo sh ./install.sh) и "КриптоПро ЭЦП Browser plug-in"


у меня имеется USB-флешка с ключами, ключевой носитель или как там-это-в-вашей-терминологии (ну вообщем -- уже на ней нужные сертификаты и ключи).

и вот я через командную строку намучался-перемучался [ https://www.cryptopro.ru...ix-ustanovit-sertifikaty ; https://www.cryptopro.ru...pisok-zakrytykh-klyuchei ; https://www.cryptopro.ru...er-s-zakrytymi-klyuchami ]... но в итоге -- установил ключ (как -store uMy) и соответствующий корневой сертификат (как -store uCA) на компьютер.

(а почему вообще командная строка? я же не на сервере? у меня РАБОЧАЯ СТАНЦИЯ на linux, а не сервер..... ну ладно, не важно главное что в конечном итоге ключи установились. все трудности работы с ключами -- позади)

то есть утилиты КриптоПро (/opt/blahblahblah/certmgr) в итоге показывают мне мой ключ и что он связан с ключевым носителем.

см. скриншоты -- "Screenshot from 2016-06-14 13-36-22.png" и "Screenshot from 2016-06-14 13-38-30.png".

Screenshot from 2016-06-14 13-36-22.png (446kb) загружен 41 раз(а).
Screenshot from 2016-06-14 13-38-30.png (447kb) загружен 40 раз(а).

теперь переходим к Web Плагину.

версия плагина для Firefox не заработала прям сразу.. плагин даже не высвечивается среди Add-ons. ну здесь я не удивлён -- это не разарбтало у меня и в моём обычном рабочем линуксе, а не только в "каноническом" Fedora. ладно, забудим про Firefox..

Google Chrome.

в Google Chrome -- демо-страницы показывают что плагин загружен.

НО список сертификатов -- пуст.. ПОЧЕМУ? почему он пуст? /opt/blahblahblah/certmgr же мне нормально показывает сертификат (не от root .. но на всякий случай и даже для root я тоже инсталлировал ключи).

см скриншот "Screenshot from 2016-06-14 13-34-29.png"

Screenshot from 2016-06-14 13-34-29.png (403kb) загружен 40 раз(а).

также возникает странность -- почему не появляется табличка с вопросом о том доверяю ли я сайтам.

хоть табличка с вопросом и не возникает -- всё равно ведь можно было бы упреждающе добавить сайт в "доверенные"? верно?

НО НЕТ! эта функциональность тоже не работает. см скриншот "Screenshot from 2016-06-14 13-33-32.png"

Screenshot from 2016-06-14 13-33-32.png (397kb) загружен 54 раз(а).

на последок хочу добавить что страница https://www.cryptopro.ru/certsrv/certrqma.asp тоже не работает.

а именно: загрузка так и не завершается (см скриншот "Screenshot from 2016-06-14 13-53-16.png")

Screenshot from 2016-06-14 13-53-16.png (473kb) загружен 50 раз(а).


ну и собственно вопрос: сейчас (на современных версиях браузеров и linux) вообще хоть что-то работает и того что касается Web-плагина ?

заранее спасибо за ответ!
Вверх
Offline cross  
#2 Оставлено : 14 июня 2016 г. 15:04:37(UTC)
Анатолий Беляев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
В вашем сценарии установки есть две ошибки которые приводят к тому что плагин не работает у вас в браузерах.
1) Если посмотреть инструкцию по установке плагина то в ней написано "Для работы плагина обязательна установка пакетa cprocsp-rdr-gui-gtk" из состава КриптоПро CSP. Он не ставится по умолчанию скриптом install.sh. Именно он ответственный за показ предупреждения о доступе к ключам и сертификатам.
2)
Цитата:
соответствующий корневой сертификат (как -store uCA)

Корневые сертификаты ставятся в хранилище root (как -store uRoot). В хранилище CA ставятся сертификаты промежуточных УЦ и CRL.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Вверх
Offline Andrei Antonov  
#3 Оставлено : 14 июня 2016 г. 16:41:18(UTC)
Andrei Antonov

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.06.2016(UTC)
Сообщений: 6
Российская Федерация
спасибо за ответ!

> Если посмотреть инструкцию по установке плагина то в ней написано "Для работы плагина обязательна установка пакетa cprocsp-rdr-gui-gtk" из состава КриптоПро CSP. Он не ставится по умолчанию скриптом install.sh. Именно он ответственный за показ предупреждения о доступе к ключам и сертификатам.

ясно, вероятнее всего речь идёт об этой инструкции http://cpdn.cryptopro.ru...plugin-installation.html ,

удостоверился в ответствии установленного пакета 'cprocsp-rdr-gui-64-...' , переустановил пакет 'cprocsp-rdr-gui-gtk-64-...' (был установлен ранее, возможно в моменты тшетных попыток сделать хоть что-то работающим)

переустановил пакеты плагина

> Корневые сертификаты ставятся в хранилище root (как -store uRoot).

спасибо за разъяснение. добавил корневой в -store uRoot ..


однако положительного результата пока-что нет. (ну то есть -- ни чего, из упомянуто-го в-сообщении-выше неработабщего).

так как очевидно предположить что что-то не так со взаимодействием с GUI-библиотеками (раз уж так и не появляется табличка о вопросе, доверяю ли я сайту),
то высылаю вывод утилиты ldd -- (см. скриншот "Screenshot from 2016-06-14 16-08-35.png")

Screenshot from 2016-06-14 16-08-35.png (486kb) загружен 23 раз(а).

интересно что в списке библиотек я не вижу ни чего связанного с GTK ..

(ну можно предположить что там была статическая линковка.. но тогда я бы ожидал бы увидить что-то связанное с x11 )

вы используете это через dlopen(..) прямо в рантайме?, или как так получается?

вот для сравнения ldd над /usr/bin/gedit -- скриншот "Screenshot from 2016-06-14 16-08-49.png".

Screenshot from 2016-06-14 16-08-49.png (487kb) загружен 69 раз(а).

так же думаю быть может стоит упомянуть об ошибках в консоле Google Chrome (если открыть Google Chrome через консоль) --

скр. "Screenshot from 2016-06-14 16-01-33.png" Screenshot from 2016-06-14 16-01-33.png (591kb) загружен 71 раз(а).
(на случай если это важно.)


ещё такой момент. мне совершенно не важно какой дистрибутив линукса установить в виртуальную машину.

быть может не отлажен вариант именно с Fedora и таким образом мне требуется установить другой дистрибутив?

какой посоветуете? Ubuntu? (не выбрал её изначально, так как у вас пакеты rpm, а не deb .. конвертация в deb через alien -- надёжно ли это?)
Вверх
Offline modd1e  
#4 Оставлено : 15 июня 2016 г. 11:32:50(UTC)
modd1e

Статус: Участник

Группы: Участники
Зарегистрирован: 10.05.2016(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
Возможно поможет: http://forum.rosalab.ru/...opic.php?f=53&t=7199
Сам разбирался с данной темой. Есть 2 хоста с системой ROSA fresh, но одном всё вроде работает и на демо странице (http://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html) отображается сертификат, подпись происходит, а на другом плагин не работает. Скорее всего я либо поставил там чего лишнего, либо наоборот. К сожалению сообщений об ошибках никаких нет, поэтом понять что именно не так не получается.

Ситуация у меня обратная: работает только на firefox. Для того, чтобы он там заработал нужно то ли скопировать libnpcades.so.2.0.0 в папку ~/.mozilla/plugins (если нет, создать), то ли сделать на него ссылку. К сожалению нет доступа к рабочему хосту.

Как я и писал на форуме "росы", под Debian 7.8.0 всё работало. Конвертация прошла нормально.
Вверх
Offline Andrei Antonov  
#5 Оставлено : 15 июня 2016 г. 15:07:44(UTC)
Andrei Antonov

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.06.2016(UTC)
Сообщений: 6
Российская Федерация
проверил теперь на Ubuntu (тоже чистая установка, на виртуальнйо машине)..

Ubuntu LTS (сегодняшня актуальаня версия это 16.04).

всё работает тут с КриптоПро -- как оказалось -- совсем по другому, чем выше с Fedora.

начнём с того что как выяснилось Ubuntu (актуальная версия) вообще не поддерживается.. хм.. ну ладно..

а именно: при установке постоянная ругань в консоль о том что данная система это якобы неизвестный дистрибутив, а также рекомендация установки пакетов lsb-core..

современная Убунта -- НЕ имеет в своём репозитории пакетов lsb-core .. зато есть lsb-base и lsb-release -- но это не то что нужно, это не помогает :-) ..

далее я сделал следущее, то что на боевом компьютере делать разумеется ни в коем случае нельзя (так как приведёт дистрибутив в полусломанное состояние, которое проявит себя ещё неизвестно когда и при каких обстоятельствах.. но выбора нет) -- так как у нас экспериментальная виртуальная машина -- то *в_ней* попробовать можно:

установил пакеты lsb-core (и lsb-security ) из прошлой LTS-версии дистрибутива Ubuntu (которая через 2 месяца начнёт считаться официально устаревшей.. неофициально -- что она *уже* является устаревшей. за два года слишком много что поменялось и современнм требованиям прошлая LTS-версия уже не отвечает.. но это лирика, вернёмся к КриптоПро).

после этого установка (переустановка) пакетов КриптоПро стала ругаться -- меньше.

ок.


web-плагин.

в Chromium -- работает -- показывает GUI-окна запроса доверяю ли я web-странице, а также браузер корректно выдаёт новый тестовый сертификат. (в Fedora всё это не работало! успех! ...но почти...)

далее -- я проконтролировал (и\или установил) что личные сертификаты находятся в -store uMy , а корневые установил в -store uRoot .

уточняю что в -store uRoot я установил не только тот сертификат который мне требуется по моей задачи, но и тот сертификат который от Тестового-Удостоверяющего-Центра-2 (для этого мне пришлось этот сертификат извлечь из Windows-компьютера.. в GNU/Linux -- сделать это способа не нашёл)

см. скриншот "Screenshot from 2016-06-15 14-29-39.png" -- Screenshot from 2016-06-15 14-29-39.png (618kb) загружен 57 раз(а)..

(на всякий случай вот и скриншот личных сертификатов uMy "Screenshot from 2016-06-15 14-30-22.png" -- Screenshot from 2016-06-15 14-30-22.png (635kb) загружен 57 раз(а).)

однако в коенчном итоге столкнулся-таки с проблемой что demo-страницы хоть и внешне-выглядят-будто-функционаруют-номрально -- но в итоге так и не отображают список этих моих сертификатов

см. скриншот браузера "Screenshot from 2016-06-15 14-30-58.png" -- Screenshot from 2016-06-15 14-30-58.png (547kb) загружен 57 раз(а)..


напоминаяю что страница https://www.cryptopro.ru/certsrv/certrqma.asp успешно выдаёт И_УСПЕШНО_УСТАНАВЛИВАЕТ (в /opt/blahblahblah/certmgr -list ) новый сертификат .. однако весьма странно что этот же самый браузер не показывает тот сертификат, который вот только-что получил и установил.. ну странно же!

есть идеи? спасибо!

Отредактировано пользователем 15 июня 2016 г. 15:11:07(UTC)  | Причина: Не указана
Вверх
Offline Alexander A. Nikitkov  
#6 Оставлено : 16 июня 2016 г. 10:31:28(UTC)
Alexander A. Nikitkov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 22.04.2015(UTC)
Сообщений: 324
Мужчина

Сказал «Спасибо»: 4 раз
Поблагодарили: 54 раз в 54 постах
Доброго дня

Корректно провести установку на ubuntu 16.04 пока нельзя. Причины были описаны уважаемым коллегой в соседней ветке https://www.cryptopro.ru...ts&m=68825#post68825 . В данный момент дистрибутив дорабатывается с учетом возникших обстоятельств.
Вверх
Offline cross  
#7 Оставлено : 16 июня 2016 г. 13:53:56(UTC)
Анатолий Беляев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
Цитата:
интересно что в списке библиотек я не вижу ни чего связанного с GTK ..

(ну можно предположить что там была статическая линковка.. но тогда я бы ожидал бы увидить что-то связанное с x11 )

В библиотеке libnpcades.so и не должно быть ни чего про GTK.
Попробуйте ldd -r /opt/cprocsp/sbin/amd64/xcpui_app. Скорее всего в Fedore удалили пакет который содержит libpangox-1.0.so.0.

Цитата:
уточняю что в -store uRoot я установил не только тот сертификат который мне требуется по моей задачи, но и тот сертификат который от Тестового-Удостоверяющего-Центра-2 (для этого мне пришлось этот сертификат извлечь из Windows-компьютера.. в GNU/Linux -- сделать это способа не нашёл)

см. скриншот "Screenshot from 2016-06-15 14-29-39.png" --  Screenshot from 2016-06-15 14-29-39.png (618kb) загружен 10 раз(а)..

(на всякий случай вот и скриншот личных сертификатов uMy "Screenshot from 2016-06-15 14-30-22.png" --  Screenshot from 2016-06-15 14-30-22.png (635kb) загружен 12 раз(а).)

однако в коенчном итоге столкнулся-таки с проблемой что demo-страницы хоть и внешне-выглядят-будто-функционаруют-номрально -- но в итоге так и не отображают список этих моих сертификатов

см. скриншот браузера "Screenshot from 2016-06-15 14-30-58.png" --  Screenshot from 2016-06-15 14-30-58.png (547kb) загружен 11 раз(а)..


напоминаяю что страница https://www.cryptopro.ru/certsrv/certrqma.asp успешно выдаёт И_УСПЕШНО_УСТАНАВЛИВАЕТ (в /opt/blahblahblah/certmgr -list ) новый сертификат .. однако весьма странно что этот же самый браузер не показывает тот сертификат, который вот только-что получил и установил.. ну странно же!

То что одна страница с интерфейсом УЦ выдала вам сертификат не означает что другая страница его будет принимать.
Наши демо-страницы помимо наличия сертификата в хранилище личных сертификатов требуют что бы у них была привязка к закрытому ключу(у вас выполняется), сертификат был валиден ( у вас тоже выполняется), а также для него строилась валидная цепочка + она должна проверятся на отзыв и root этой цепочки находился в хранилище root. Скорее всего последнее условие у вас не выполняется. Т.к. корневой у вас по Вашим словам стоит, то вам нужен еще CRL. Его можно поставить руками в хранилище CA, или правильно указать путь к вашей библиотеке libcurl в файле /etc/opt/cprocsp/config64.ini
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Вверх
Offline Andrei Antonov  
#8 Оставлено : 16 июня 2016 г. 17:00:53(UTC)
Andrei Antonov

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.06.2016(UTC)
Сообщений: 6
Российская Федерация
Цитата:
То что одна страница с интерфейсом УЦ выдала вам сертификат не означает что другая страница его будет принимать.
Наши демо-страницы помимо наличия сертификата в хранилище личных сертификатов требуют что бы у них была привязка к закрытому ключу(у вас выполняется), сертификат был валиден ( у вас тоже выполняется), а также для него строилась валидная цепочка + она должна проверятся на отзыв и root этой цепочки находился в хранилище root. Скорее всего последнее условие у вас не выполняется. Т.к. корневой у вас по Вашим словам стоит, то вам нужен еще CRL. Его можно поставить руками в хранилище CA, или правильно указать путь к вашей библиотеке libcurl в файле /etc/opt/cprocsp/config64.ini


спасибо за конструктивный совет.

говоря в крадце -- сработало, успешно :-) ..


подробоности:

на виртуальной машене с Ubuntu LTS (16.04).

ничего связанного с CRL так и не сделал . (ничего ни куда не добавлял).

а вот конфиг файл /etc/opt/cprocsp/config64.ini -- путь "..libcurl..." -- поправил на корректный путь. то есть вроде бы сделал только это действие.

сранно конечно что файл был в такой кодировке.. но вероятнее всего думаю что среднестатистические пользователи линукса наверно не обескуражатся.. не в первой ведь им подсовывают такое :-) ..

Код:
iconv -f WINDOWS-1251 -o config64.utf8.ini config64.ini
nano -wi config64.utf8.ini
iconv -t WINDOWS-1251 -o config64.ini config64.utf8.ini


ну вообщем, сработало, спасибо! плагин в Хромеуме кажется работает как надо!.

ИДЕЯ! а что если бы вам в будущем бы использовать бы свой собственный libcurl (собранный вами, и собранный максимально статически), аккуратно положенный в /opt/cprocsp/blahblahblah/... ?

то есть, ведь было бы здорово, если бы уже config64.ini сразу бы содержал бы внутри себя нужный путь /opt/cprocsp/blahblahblah/... (и не зависимо от того установлен ли вообще в операционной системе пакет "curl" :-))


Fedora.

подробности по Fedora напишу вероятнее всего позже..

сейчас, врадце, могу только сказать что библиотеки libpangox действительно НЕ было (ldd это показал, да! спасибо... библиотеку libpangox предоставляет пакет "pangox-compat").. но является ли это единсвтенной проблемой в случае с Fedora -- врядли.

Отредактировано пользователем 16 июня 2016 г. 17:06:46(UTC)  | Причина: смысловые опечатки
Вверх
Offline cross  
#9 Оставлено : 17 июня 2016 г. 11:06:21(UTC)
Анатолий Беляев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
Цитата:
ну вообщем, сработало, спасибо! плагин в Хромеуме кажется работает как надо!.

ИДЕЯ! а что если бы вам в будущем бы использовать бы свой собственный libcurl (собранный вами, и собранный максимально статически), аккуратно положенный в /opt/cprocsp/blahblahblah/... ?

то есть, ведь было бы здорово, если бы уже config64.ini сразу бы содержал бы внутри себя нужный путь /opt/cprocsp/blahblahblah/... (и не зависимо от того установлен ли вообще в операционной системе пакет "curl" :-))

После установки нашего пакета с curl так и должно быть.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Вверх
Offline Andrei Antonov  
#10 Оставлено : 17 июня 2016 г. 12:04:54(UTC)
Andrei Antonov

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.06.2016(UTC)
Сообщений: 6
Российская Федерация
Цитата:
После установки нашего пакета с curl так и должно быть.


ясно!

[текст ниже можно не читать, там по большей части только лирика, и ничего особо важного]

....и это вобщем-то совсем не моё дело [и если вы так и мне напишите "да, верно! это не ваше дело!" -- я не обижусь..:-)], но хочу заметить, что проблема именно в том что ОЧЕНЬ ВАЖНО не только чтобы софт (КриптоПро, и вообще к любому софту относится) работал бы, а чтобы он работал бы с наименьшим количеством телодвижений во время его установки.

в идеале -- человек должен набрать только одну команду. (но это лишь идеал, ясно что операций будет больше -- на практике).

то есть, если libcurl (и вся другая вспомогательная ерунда) если может требоваться для КриптоПро, то это должно ставиться при первом же ./install.sh . (прошу, не воспринимайте пожалуйста слово "должно" как моё требование-и-давление, это просто мой взгляд на вещи, не более того)

далее, хочу заметить, что действительно в бОльшей части линукс-дистрибутивов принято дробить программу на множество мелких пакетов.. дробление программы на пакеты -- имеет место быть -- именно внутри *репозиториев* дистрибутивов линукс. пакеты (внутри репозиториев) имеют иерархию зависимостей, и дробление позволяет добиваться более точного дерева зависимостей.

однако если мы говорим про внешние проприетарные программы, то здесь я бы сказал что техника-дробления-программы-на-мелкие-пакеты -- является весьма *спорным* решением. более успешной практикой является постановка проприетарной программы -- в одном пакете (и это даже не обязательно должен быть пакет rpm/deb , ведь всё-равно установка производится в /opt/ а не в /usr/ )

дело в том, что пакетные манагеры внутри линукс-дистрибутивов -- выполняют всю "грязную работу".. и этого достаточно для того чтобы пользователь линукс-листрибутива не заглядывал бы "под капот" (и не видил бы всё то огромное множество раздроблённых мелких пакетов). а когда речь заходит о внешней проприетарной программе -- пользователь сталкивается "лицом к лицу" с пакетами, и по этой причине важность факторов должна быть переоценена. то есть простота установки должна встать на первое место, перед весьма сомнительным выигрышем от дробления.

следущий пункт.

беглым взглядом не заметил ни чего, связанного с DKMS в наборе пакетов. вы что -- не используете DKMS для сборки модулей ядра ? (для ситуаций когда требуется чтобы работали бы дополнительные модули ядра).. в моём случае мне не понадобилось устанавливать модули ядра, а если бы пришлось бы -- интересно, возникли бы какие-то трудности (хорошо. не будем загадывать наперёд :-))..

следущий пункт. комплектация файлов.

почему только .rpm и .deb ? где обычный .tar.gz архив для других дистрибутивов линукс, которые без rpm/deb-манагеров? малоли какие могут быть самосборные дистрибутивы у различных РФ-организаций.

конечно понятно что и rpm и deb можно тоже распаковать (через cpio).. но отсутствие архива .tar.gz как-то обескураживает. в чём была проблема изготовить этот .tar.gz архив и написать внутри него README.txt-файл с коротенькой инструкций внутри.

пожалуйста, не забывайте вставлять README.txt-файл в каждый из скачиваемых с web-сайта-КриптоПро того-или-иного-компонента.

ведь очень странно что приходиться непонятно где искать инструкции (в недрах навигации web-сайта КриптоПро) , в то время как инструкция вполне могла бы лежать бы рядом с ./install.sh .

всё. спасибо!
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET