Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<4142434445>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#421 Оставлено : 14 сентября 2018 г. 15:58:57(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: colotiline Перейти к цитате
Подскажите, как в случае UNIX и gost_capi быть с CRL и OCSP?

Как вы понимаете, с помощью gost_capi (и gostengy) можно проверить подпись или что-то расшифровать. Но ENGINE ничего не знает про CRL и OCSP, этим должно заниматься приложение.

Отредактировано пользователем 14 сентября 2018 г. 15:59:27(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
colotiline оставлено 14.09.2018(UTC)
Offline colotiline  
#422 Оставлено : 14 сентября 2018 г. 17:25:01(UTC)
colotiline

Статус: Участник

Группы: Участники
Зарегистрирован: 12.09.2018(UTC)
Сообщений: 16

Сказал(а) «Спасибо»: 6 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: colotiline Перейти к цитате
Подскажите, как в случае UNIX и gost_capi быть с CRL и OCSP?

Как вы понимаете, с помощью gost_capi (и gostengy) можно проверить подпись или что-то расшифровать. Но ENGINE ничего не знает про CRL и OCSP, этим должно заниматься приложение.


В будущем планируется какой-либо продукт от КриптоПро, чтобы он сам следил на UNIX за CRL? Или может есть открытые продукты, которые можете порекомендовать?
Offline Дмитрий Пичулин  
#423 Оставлено : 14 сентября 2018 г. 17:55:36(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: colotiline Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: colotiline Перейти к цитате
Подскажите, как в случае UNIX и gost_capi быть с CRL и OCSP?

Как вы понимаете, с помощью gost_capi (и gostengy) можно проверить подпись или что-то расшифровать. Но ENGINE ничего не знает про CRL и OCSP, этим должно заниматься приложение.


В будущем планируется какой-либо продукт от КриптоПро, чтобы он сам следил на UNIX за CRL? Или может есть открытые продукты, которые можете порекомендовать?

За CRL следят функции проверки сертификатов в КриптоПро CSP, например CertGetCertificateChain() и CertVerifyCertificateChainPolicy().

Эти функции активно используются во многих проектах, в том числе с открытым исходным кодом: chromium-gost, stunnel-msspi и qtbase-msspi.

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
colotiline оставлено 17.09.2018(UTC)
Offline jjjbushjjj  
#424 Оставлено : 15 сентября 2018 г. 1:29:38(UTC)
jjjbushjjj

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.09.2018(UTC)
Сообщений: 7
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Доброго времени суток.

Не поможете с проблемкой. Пытаюсь настроить nginx+gostengy+cryptopro. В режиме сервера все замечательно работает.

Никак не получается заставить работать в режиме клиента. Подключаемся по http шифруем своим клиентским сертификатом и отправляем.
Проблему локализовал до состояния. Клиентский сертификат неправильно сгенерирован. Удаленный сервер возвращает 400 в логах пишет о том что purpose у него нифига не клиентский.

собственно openssl это тоже подтверждает.

openssl x509 -purpose -noout -in client.crt.pem
Certificate purposes:
SSL client : No
...

Сертификат делал так

1. Утилитой cryptcp делается новый контейнер, генерятся ключи, посылается запрос на сертификат в тестовый УЦ
2. Сертификат добавляется в контейнер. (добавляется с OID для клиентского сертификата. Вот тут возможно и корень зла, потому что я не знаю точно что сюда писать)
3. Експорт в DER из контейнера (вот тут openssl x509 -purpose показывает что сертификат ниразу не клиентский)
4. Конвертация в PEM
5. Использование этого PEM в nginx

Собственно вопрос, Как правильно сгенерировать сертификат средствами криптопро который можно использовать как клиентский для подключения?
Сделать желательно в линуксе без графического интерфейса. Если не сложно напишите пример команды, а то я уже сжег все остатки мозгов своих.







Offline Дмитрий Пичулин  
#425 Оставлено : 15 сентября 2018 г. 9:34:44(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: jjjbushjjj Перейти к цитате

...
SSL client : No
...
1. Утилитой cryptcp делается новый контейнер, генерятся ключи, посылается запрос на сертификат в тестовый УЦ

Для серверного: -certusage 1.3.6.1.5.5.7.3.1
Для клиентского: -certusage 1.3.6.1.5.5.7.3.2
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
jjjbushjjj оставлено 15.09.2018(UTC)
Offline jjjbushjjj  
#426 Оставлено : 15 сентября 2018 г. 9:52:44(UTC)
jjjbushjjj

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.09.2018(UTC)
Сообщений: 7
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
да все так делал и с двумя и только с клиентским.

certmngr показыает эти OID
но похоже после експорта в .cer экспортируется без этих пропертей.

Offline colotiline  
#427 Оставлено : 17 сентября 2018 г. 10:02:41(UTC)
colotiline

Статус: Участник

Группы: Участники
Зарегистрирован: 12.09.2018(UTC)
Сообщений: 16

Сказал(а) «Спасибо»: 6 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: colotiline Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: colotiline Перейти к цитате
Подскажите, как в случае UNIX и gost_capi быть с CRL и OCSP?

Как вы понимаете, с помощью gost_capi (и gostengy) можно проверить подпись или что-то расшифровать. Но ENGINE ничего не знает про CRL и OCSP, этим должно заниматься приложение.


В будущем планируется какой-либо продукт от КриптоПро, чтобы он сам следил на UNIX за CRL? Или может есть открытые продукты, которые можете порекомендовать?

За CRL следят функции проверки сертификатов в КриптоПро CSP, например CertGetCertificateChain() и CertVerifyCertificateChainPolicy().

Эти функции активно используются во многих проектах, в том числе с открытым исходным кодом: chromium-gost, stunnel-msspi и qtbase-msspi.



Я так понимаю, что это C. Можно из bash как-либо проверить?
Offline Дмитрий Пичулин  
#428 Оставлено : 17 сентября 2018 г. 10:35:25(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: colotiline Перейти к цитате
Я так понимаю, что это C. Можно из bash как-либо проверить?

Напишите тривиальную утилиту — дёргайте из bash.

Знания в базе знаний, поддержка в техподдержке
Offline colotiline  
#429 Оставлено : 17 сентября 2018 г. 10:35:33(UTC)
colotiline

Статус: Участник

Группы: Участники
Зарегистрирован: 12.09.2018(UTC)
Сообщений: 16

Сказал(а) «Спасибо»: 6 раз
Автор: colotiline Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: colotiline Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: colotiline Перейти к цитате
Подскажите, как в случае UNIX и gost_capi быть с CRL и OCSP?

Как вы понимаете, с помощью gost_capi (и gostengy) можно проверить подпись или что-то расшифровать. Но ENGINE ничего не знает про CRL и OCSP, этим должно заниматься приложение.


В будущем планируется какой-либо продукт от КриптоПро, чтобы он сам следил на UNIX за CRL? Или может есть открытые продукты, которые можете порекомендовать?

За CRL следят функции проверки сертификатов в КриптоПро CSP, например CertGetCertificateChain() и CertVerifyCertificateChainPolicy().

Эти функции активно используются во многих проектах, в том числе с открытым исходным кодом: chromium-gost, stunnel-msspi и qtbase-msspi.



Я так понимаю, что это C. Можно из bash как-либо проверить?


Как собрать вместе сертификат, цепочку и CRL и проверить всё это через openssl, разобрался. Но не хотелось бы вручную ходить на сайт УЦ и периодически выкачивать CRL.
Offline colotiline  
#430 Оставлено : 17 сентября 2018 г. 10:43:36(UTC)
colotiline

Статус: Участник

Группы: Участники
Зарегистрирован: 12.09.2018(UTC)
Сообщений: 16

Сказал(а) «Спасибо»: 6 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: colotiline Перейти к цитате
Я так понимаю, что это C. Можно из bash как-либо проверить?

Напишите тривиальную утилиту — дёргайте из bash.



Ну это, если мне ехать только надо, а мне ещё и шашечки нужны. Тогда тривиальная утилита превратится в дополнительный язык в проекте, дополнительный CI\CD, дополнительные тесты и дополнительное звено, которое может сломаться и которое нужно поддерживать. Но в целом направлении мысли понял, спасибо.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
67 Страницы«<4142434445>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.