Статус: Новичок
Группы: Участники
Зарегистрирован: 15.09.2018(UTC) Сообщений: 7  Откуда: Moscow Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: Mikhail0101  Автор: jjjbushjjj
Михаил, не могли бы вы показать как вы сгенерили клиентский сертификат? Если вы это делали (То что закоментировано).
Я никак не могу сделать сертификат который бы принимали удаленные сервера. Конфиг у меня +- такойже.
Клиентский сертификат для тестовых нужд генерил через тестовый УЦ КриптоПро по второй ссылке на странице https://www.cryptopro.ru/solutions/test-caНужно также убедиться, что сертификат имеет кодировку PEM, как указано здесь https://www.cryptopro.ru...ts&m=83282#post83282 Ну у меня проблема в том что мне надо сгенерить его в линуксе без графического интерфейса и браузера. В скриптах этих есть пример как это делается для серверного сертификата для nginx. Я немного поменял там (добавил OID в поле --certusage чтобы был клиентский сертификат). Все красиво сгенерилось, но после конвертации в .cer Сертификат получается без поля Client проверить можно так openssl x509 -purpose -noout -in client.crt.pem Certificate purposes: SSL client : No ... собственно из за этого удаленные сервера не хотят его принимать (Возвращают 400 Bad certificate purpose).
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.09.2018(UTC) Сообщений: 7 Откуда: Moscow Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: jjjbushjjj Автор: Mikhail0101 Автор: jjjbushjjj
Михаил, не могли бы вы показать как вы сгенерили клиентский сертификат? Если вы это делали (То что закоментировано).
Я никак не могу сделать сертификат который бы принимали удаленные сервера. Конфиг у меня +- такойже.
Клиентский сертификат для тестовых нужд генерил через тестовый УЦ КриптоПро по второй ссылке на странице https://www.cryptopro.ru/solutions/test-caНужно также убедиться, что сертификат имеет кодировку PEM, как указано здесь https://www.cryptopro.ru...ts&m=83282#post83282 Ну у меня проблема в том что мне надо сгенерить его в линуксе без графического интерфейса и браузера. В скриптах этих есть пример как это делается для серверного сертификата для nginx. Я немного поменял там (добавил OID в поле --certusage чтобы был клиентский сертификат). Все красиво сгенерилось, но после конвертации в .cer Сертификат получается без поля Client проверить можно так openssl x509 -purpose -noout -in client.crt.pem Certificate purposes: SSL client : No ... собственно из за этого удаленные сервера не хотят его принимать (Возвращают 400 Bad certificate purpose). Ок. разобрался. Оставлю тут может пригодится кому. 1. Делаем контейнер и генерим приватные ключи 2. Делаем запрос на сертификат cryptcp -creatrqst -dn "cn=TestUser,e=test_client@example.ru" -provtype 81 -nokeygen -cont '\\.\HDIMAGE\test_client' -certusage "1.3.6.1.5.5.7.3.4,1.3.6.1.5.5.7.3.2" test_user.req Эти красненькие цифирьки это как раз те самые certificate purpose (1.3.6.1.5.5.7.3.2 - client certificate) 3. Лезем на http://www.cryptopro.ru/certsrv и пихаем туда содержимое test_user.req 4. Скачиваем подписаный сертификат и пихаем его в контейнер certmgr -inst -file certnew.cer -store uMy -cont '\\.\HDIMAGE\test_client' --inst_to_cont 5. конвертим в PEM то что они нам прислали и пихаем в nginx (Вот тут то самое интересное, нам не надо делать экспорт из криптопрошного хранилища так как сертификат у нас и так есть в нормальном формате) openssl x509 -inform DER -in certnew.cer -out certnew.pem вот с этим все заработало. вот неплохая шпаргалка как эти манипуляции делать https://www.altlinux.org...%D0%BE%D0%9F%D1%80%D0%BEЕсть подозрение, что експорт из криптопрошного хранилища в .cer херит эти самые purpose.
|
 1 пользователь поблагодарил jjjbushjjj за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Коллеги, когда примерно можно будет использовать CryptoPro с nginx (Linux) с ГОСТ 2012 года из коробки? Спасибо Отредактировано пользователем 17 сентября 2018 г. 14:21:09(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Автор: chemtech Коллеги, когда примерно можно будет использовать CryptoPro с nginx (Linux) с ГОСТ 2012 года из коробки?
Спасибо Если речь про ошибку в прошлой версии OpenSSL 1.1.0, которая не позволяла работать ГОСТу, то эта ошибка исправлена в текущей версии OpenSSL. Если речь про что-то другое, то скорее всего без дополнительных манипуляций из коробки ГОСТ 2012 никогда не заработает. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: Дмитрий Пичулин Автор: chemtech Коллеги, когда примерно можно будет использовать CryptoPro с nginx (Linux) с ГОСТ 2012 года из коробки?
Спасибо Если речь про ошибку в прошлой версии OpenSSL 1.1.0, которая не позволяла работать ГОСТу, то эта ошибка исправлена в текущей версии OpenSSL. Если речь про что-то другое, то скорее всего без дополнительных манипуляций из коробки ГОСТ 2012 никогда не заработает. Речь не о ванильном OpenSSL Перефразирую вопрос: Коллеги, когда примерно можно будет установить пакеты CryptoPro (cprocsp-compat-debian, cprocsp-cpopenssl-110-64, cprocsp-cpopenssl-110-base, cprocsp-cpopenssl-110-devel, cprocsp-cpopenssl-110-gost-64, cprocsp-curl-64, lsb-cprocsp-base, lsb-cprocsp-capilite-64, lsb-cprocsp-kc1-64, lsb-cprocsp-kc2-64, lsb-cprocsp-rdr-64) на Linux чтобы из коробки заработал HTTPS ГОСТ 2012 года?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Автор: chemtech Перефразирую вопрос:
Коллеги, когда примерно можно будет установить пакеты CryptoPro (cprocsp-compat-debian, cprocsp-cpopenssl-110-64, cprocsp-cpopenssl-110-base, cprocsp-cpopenssl-110-devel, cprocsp-cpopenssl-110-gost-64, cprocsp-curl-64, lsb-cprocsp-base, lsb-cprocsp-capilite-64, lsb-cprocsp-kc1-64, lsb-cprocsp-kc2-64, lsb-cprocsp-rdr-64) на Linux чтобы из коробки заработал HTTPS ГОСТ 2012 года?
Как только nginx начнёт использовать из коробки в вашем Linux версию OpenSSL >= 1.1.0 так сразу. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Т.е. если я установлю nginx + cryptopro на этих системах, то HTTPS ГОСТ 2018 будет работать Fedora 28 1.1.0h-3.fc28 Fedora 27 1.1.0h-3.fc27 Ubuntu bionic (18.04LTS) 1.1.0g-2ubuntu4.1 ? Надо попробовать Скрипт ругается на Fedora 28 :( Код:Not supported system (supported: Ubuntu, Debian, CentOS, Red Hat).
Отредактировано пользователем 19 сентября 2018 г. 18:13:02(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Автор: chemtech Т.е. если я установлю nginx + cryptopro на этих системах, то HTTPS ГОСТ 2018 будет работать Fedora 28 1.1.0h-3.fc28 Fedora 27 1.1.0h-3.fc27 Ubuntu bionic (18.04LTS) 1.1.0g-2ubuntu4.1 ? Надо попробовать Скрипт ругается на Fedora 28 :( Код:Not supported system (supported: Ubuntu, Debian, CentOS, Red Hat).
А при чём тут скрипт? Устанавливайте пакеты. Работайте из коробки. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Для быстрого развертывания и тестирования nginx c OpenSSL 1.1.0 с КриптоПро сделал Dockerfile: https://github.com/patse...u/blob/master/DockerfileИнструкция как запустить находится на главной странице репозитория https://github.com/patsevanton/GOST-2012-ubuntuСейчас при установке сертификатов появляется вот такая ошибка: Код:
Step 8/10 : RUN ./install-certs.sh
---> Running in 7a9ca206fa13
+ ARGV=
+ certname=srvtest
+ container=ngxtest
+ provtype=81
+ provnameKC1='Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP'
+ provnameKC2='Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP'
+ grep CN=srvtest
+ /opt/cprocsp/bin/amd64/certmgr -list
Failed to open store
The requested address is not valid in its context.
+ '[' 1 -eq 0 ']'
+ /opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMCONTAINERS
+ grep ngxtest
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/support/getcspparam.c:28:Can not get CSP param: AcquireContext failed.
Error number 0x2741 (10049).
The requested address is not valid in its context.
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/enum.c:399:Error during CryptAcquireContext.
Error number 0x2741 (10049).
The requested address is not valid in its context.
Program is terminating.
+ '[' 1 -eq 0 ']'
+ /opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn CN=srvtest -cont '\\.\HDIMAGE\ngxtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv
CryptCP 4.0 (c) "Crypto-Pro", 2002-2017.
Command prompt Utility for file signature and encryption.
Creating request...
Press keys...
[]Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:441: 0x8010006E
Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1003: 0x8010006E
[ErrorCode: 0x8010006e]
+ exit 1
ERROR: Service 'gost-2012' failed to build: The command '/bin/sh -c ./install-certs.sh' returned a non-zero code: 1
В чем может быть ошибка? Можно ли запустить debug? Надо сюда глянуть https://github.com/taigasys/CryptoProCSPОтредактировано пользователем 19 сентября 2018 г. 19:46:02(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,506
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Автор: chemtech + /opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn CN=srvtest -cont '\\.\HDIMAGE\ngxtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrvCryptCP 4.0 (c) "Crypto-Pro", 2002-2017. Command prompt Utility for file signature and encryption. Creating request... Press keys... []Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:441: 0x8010006E Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1003: 0x8010006E [ErrorCode: 0x8010006e] + exit 1 Генерация ключей с помощью биологического датчика случайных чисел возможна только в живой консоли. При работе в рамках контейнеров, лучший вариант -- использовать заранее подготовленный pfx в качестве контейнера с сертификатом. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
