Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<4546474849>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#461 Оставлено : 4 декабря 2018 г. 18:30:22(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: dmitry lavrov Перейти к цитате
Уже был установлен параметр ssl_session_timeout 5m;
Добавил ssl_session_cache off;

Будем мониторить, если ошибка повторится - обязательно сообщу.
Спасибо!


Автор: Дмитрий Пичулин Перейти к цитате
UPD: Нет, ошибка всё таки у нас, не предусмотрели смену ключа при переносе ключей между провайдерами, хватало на ~60 тысяч ключей... Исправляем.

Исправили: https://update.cryptopro...t/nginx-gost/bin/185515/
Знания в базе знаний, поддержка в техподдержке
Offline dmitry lavrov  
#462 Оставлено : 5 декабря 2018 г. 13:32:59(UTC)
dmitry lavrov

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.12.2018(UTC)
Сообщений: 3
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Ну вы оперативные ! :)

Спасибо, будем обновлять наш прод!


Автор: Дмитрий Пичулин Перейти к цитате
UPD: Нет, ошибка всё таки у нас, не предусмотрели смену ключа при переносе ключей между провайдерами, хватало на ~60 тысяч ключей... Исправляем.

Исправили: https://update.cryptopro...t/nginx-gost/bin/185515/


Offline buytoor  
#463 Оставлено : 12 декабря 2018 г. 15:47:48(UTC)
buytoor

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.12.2018(UTC)
Сообщений: 5
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 5 раз
Добрый день!Извините меня за мое ламерство и руки из задницы. Уже не знаю,у кого и как спрашивать.Осталось спросить только у данного сообщества и именно в этой ветке,так моя тема вскользь касается данного раздела. Мне поставлена задача,имея на руках сертификат КриптоПРО (ГОСТ-2012): сформировать *.pem-файл.

Отредактировано модератором 12 декабря 2018 г. 16:47:23(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#464 Оставлено : 12 декабря 2018 г. 17:00:51(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: buytoor Перейти к цитате
Добрый день!Извините меня за мое ламерство и руки из задницы. Уже не знаю,у кого и как спрашивать.Осталось спросить только у данного сообщества и именно в этой ветке,так моя тема вскользь касается данного раздела. Мне поставлена задача,имея на руках сертификат КриптоПРО (ГОСТ-2012): сформировать *.pem-файл.

Здесь всё просто, не существует штатных средств для подобной процедуры.

Да, включение gostengy позволяет использовать алгоритмы и ключи ГОСТ в OpenSSL, но исключительно в рамках функционала КриптоПро CSP.

А в сертифицированных средствах защиты, как мы все уже хорошо знаем, экспорта "голых" ключей не бывает.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
buytoor оставлено 12.12.2018(UTC)
Offline two_oceans  
#465 Оставлено : 12 декабря 2018 г. 17:04:12(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Итак, по порядку.
Автор: buytoor Перейти к цитате
Добрый день!Извините меня за мое ламерство и руки из задницы. Уже не знаю,у кого и как спрашивать.Осталось спросить только у данного сообщества и именно в этой ветке,так моя тема вскользь касается данного раздела. Мне поставлена задача,имея на руках сертификат КриптоПРО (ГОСТ-2012): сформировать *.pem-файл.
Ответ: вместо нескольких форумов прочитайте второе сообщение в этой теме и поймете, что с gostengy Вам принципиально не нужно получать ключ в *.pem, просто указываете -keyform ENGINE вместо имени pem файла указываете -key c:имя_контейнера и движок gostengy сделает вид, что дал openSSL ключ, а на самом деле идентификатор. Потом Openssl при какой-либо операции передает идентификатор движку обратно и движок использует ключ из контейнера. В общих чертах так.
К слову, столкнулся с неким багом в OpenSSL 1.1.0j обычно все нормально, но если попытаться определить файл конфигурации параметром -config то эта версия выполняет как файл указанный в переменной среды, так и тот что в параметре командной строки. Версии 1.0.2 игнорировали переменную среды если указан параметр командной строки. Казалось бы ничего страшного? Как бы ни так - если в обоих файлах прописаны движки, то всё выпадает в осадок. Понятно - если в одном файле gost_capi в другом gostengy, то они выдадут несовместимость версии. Если в обоих файлах gostengy то конфликтует идентификатор движка. Поэтому пришлось полностью отказаться от параметра -config и править переменную среды в конкретной консоли.

Отредактировано пользователем 12 декабря 2018 г. 17:23:18(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
buytoor оставлено 12.12.2018(UTC)
Offline buytoor  
#466 Оставлено : 12 декабря 2018 г. 17:49:16(UTC)
buytoor

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.12.2018(UTC)
Сообщений: 5
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 5 раз
two_oceans, спасибо за совет. Да, действительно изначально была задача подписать файл и отправить его на сайт (название пока нет у меня). Потом все изучение по форумам привело меня к *.pem-файлу. До этого у меня была в загашнике была некая команда, которая использует -keyform ENGINE и "загугленная" на одном из форумов,но как я писал,я извиняюсь за свою кривожопость в таких делах, но опять я что-то ни так делаю и не могу понять как все это работает.Привожу использованную мною команду

c:\Program Files\OpenSSL\bin>openssl cms -sign -engine gostengy -keyform ENGINE
-inkey E:\TEST.000 -in "doc.txt" -out "doc.signed.txt" -outform PEM -CAfile C:\P
rogram Files\OpenSSL\bin\123.cer -nodetach -signer C:\Program Files\OpenSSL\bin\
123.cer
engine "gostengy" set.
Illegal -inkey without -signer
cms: Use -help for summary.
Offline Дмитрий Пичулин  
#467 Оставлено : 12 декабря 2018 г. 17:58:03(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: buytoor Перейти к цитате
Мне поставлена задача,имея на руках сертификат КриптоПРО (ГОСТ-2012): сформировать *.pem-файл.

Автор: buytoor Перейти к цитате
Да, действительно изначально была задача подписать файл


Правильно формулируйте задачу, вот ответ на задачу о подписи файла: https://www.cryptopro.ru...ts&m=95461#post95461

Знания в базе знаний, поддержка в техподдержке
Offline buytoor  
#468 Оставлено : 13 декабря 2018 г. 11:32:47(UTC)
buytoor

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.12.2018(UTC)
Сообщений: 5
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 5 раз
Дмитрий,извините за сумбур моих мыслей. Спасибо за ссылку,единственный момент,не знаю пока,как это все работает - я новичок в данной области.Поэтому простите,но работаю топорно,читая форумы (в том числе и на сайте КриптоПРО). Все эти манипуляции,как я писал первый раз я делаю в Windows 7x64 SP1. Читая присланную Вами ссылку на статью в форуме https://www.cryptopro.ru...s&m=95461#post95461:
1. автор статьи генерирует контейнер с использованием тестового УЦ КриптоПРО /opt/cprocsp/bin/amd64/certmgr -export -dn CN=t2012 -dest ./t2012.der ,я пропускаю этот раздел,так как у меня уже есть готовый контейнер и я пробую на нём;

2. далее происходит экспорт сертификата /opt/cprocsp/bin/amd64/certmgr -export -dn CN=t2012 -dest ./t2012.der, и на сколько я понял что,эта операция,аналогична выгрузки открытой части сертификата в файл штатными средствами КриптоПРО, то есть я установил корневой и промежуточный сертификаты для открытой части сертификата,затем выгрузил открытую часть сертификата Панель управления-КриптоПРО CSP-Сервис-Просмотреть сертификаты в контейнере-Обзор-выбираю закрытый контейнер-Свойства-Состав-Копировать в файл-Далее-Нет,не экспортировать закрытый ключ-Далее-выбираю Файлы X.509 (.CER) в кодировке DER-выбираю куда выгружать файл (например,выгружаю в bin -C:\Program Files\OpenSSL\bin\) и получаю файл 123.cer

3. далее в статье происходит конвертация сертификата в формат PEM(base64):
/opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl x509 -in ./t2012.der -inform DER -out ./t2012.pem -outform PEM,

делаю аналогично у себя

openssl x509 -inform der -in 123.cer -out certificate.pem

получаю файл со следующими внутренностями:
-----BEGIN CERTIFICATE-----
MIIIPTCCB+qgAwIBAgIQKaS2AJipgJhBhX0PUUSsHDAKBggqhQMHAQEDAjCCAVsx
IDAeBgkqhkiG9w0BCQEWEWluZm9AY3J5cHRvcHJvLnJ1MRgwFgYFKoUDZAESDTEw
Mzc3MDAwODU0NDQxGjAYBggqhQMDgQMBARIMMDA3NzE3MTA3OTkxMQswCQYDVQQG
EwJSVTEYMBYGA1UECAwPNzcg0JzQvtGB0LrQstCwMRUwEwYDVQQHDAzQnNC+0YHQ
utCy0LAxLzAtBgNVBAkMJtGD0LsuINCh0YPRidGR0LLRgdC60LjQuSDQstCw0Lsg
-----END CERTIFICATE-----
4. далее в статье идёт подпись файла
/opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl cms -sign -engine gostengy -keyform ENGINE -inkey c:t2012cont -in for_sign.txt -binary -out content.sign -outform DER -signer ./t2012.pem

делаю аналогично у себя

c:\Program Files\OpenSSL\bin>openssl rsautl -sign -in doc.txt -inkey certificate.pem -out sig

получаю ошибку:
unable to load Private Key
4768:error:0909006C:PEM routines:get_name:no start line:crypto\pem\pem_lib.c:745
:Expecting: ANY PRIVATE KEY


То есть,я как бы резюмирую свои изыскания: если я пытаюсь сделать файл для подписи (*.pem) из файла *.pfx (содержащий закрытый контейнер), полученного с помощью КриптоПРО, то при конвертации в PEM получается ошибка:
C:\Program Files\OpenSSL\bin>openssl.exe pkcs12 -in 123.pfx -nocerts -out key.pem
Enter Import Password:
Error outputting keys and certificates
6920:error:06074079:digital envelope routines:EVP_PBE_CipherInit:unknown pbe alg
orithm:crypto\evp\evp_pbe.c:95:TYPE=1.2.840.113549.1.12.1.80
6920:error:23077073:PKCS12 routines:PKCS12_pbe_crypt:pkcs12 algor cipherinit err
or:crypto\pkcs12\p12_decr.c:41:
6920:error:2306A075:PKCS12 routines:PKCS12_item_decrypt_d2i:pkcs12 pbe crypt err
or:crypto\pkcs12\p12_decr.c:94:


А при подписи нет возможности загрузить приватный ключ и на сколько я понял,что это это и есть закрытый контейнер,который как-то должен быть выгружен в файл PEM с кодировкой BASE64, а при выгрузке сертификата в CER закрытый контейнер не выгружается. Как выйти из этой ситуации?
Offline Дмитрий Пичулин  
#469 Оставлено : 13 декабря 2018 г. 12:00:09(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Всё шло хорошо до шага 4:

Автор: buytoor Перейти к цитате

/opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl cms -sign -engine gostengy -keyform ENGINE -inkey c:t2012cont -in for_sign.txt -binary -out content.sign -outform DER -signer ./t2012.pem

делаю аналогично у себя

c:\Program Files\OpenSSL\bin>openssl rsautl -sign -in doc.txt -inkey certificate.pem -out sig

получаю ошибку:
unable to load Private Key
4768:error:0909006C:PEM routines:get_name:no start line:crypto\pem\pem_lib.c:745
:Expecting: ANY PRIVATE KEY

Это совсем не аналогично и непонятно чем вы руководствуетесь.

Знания в базе знаний, поддержка в техподдержке
Offline buytoor  
#470 Оставлено : 13 декабря 2018 г. 13:38:52(UTC)
buytoor

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.12.2018(UTC)
Сообщений: 5
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 5 раз
Дмитрий,не ругайте строго.Брал отсюда команду отсюда https://www.ssl.ua/news/...ommon-openssl-commands/. Насколько я понял теперь мне нужна команда подписи с использованием связки закрытого и открытого контейнеров.Перерабатываю команду

/opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl cms -sign -engine gostengy -keyform ENGINE -inkey c:t2012cont -in for_sign.txt -binary -out content.sign -outform DER -signer./t2012.pem

под Windows и получаю следущее:

c:\Program Files\OpenSSL\bin>openssl cms -sign -engine gostengy -keyform ENGINE -inkey E:\TEST1811.000 -in C:\doc.txt -out C:\doc.signed.txt -outform DER -signer C:\certificate.pem
engine "gostengy" set.
cannot load signing key file from engine
676:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:crypto\engine\eng_pkey.c:78:
unable to load signing key file


Что я делаю не так как нужно опять,извините за мое ламерство?

Отредактировано пользователем 13 декабря 2018 г. 13:39:26(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (7)
67 Страницы«<4546474849>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.