Статус: Новичок
Группы: Участники
Зарегистрирован: 23.09.2016(UTC)
Сообщений: 8
Сказал(а) «Спасибо»: 1 раз
|
Добрый день! Имеется следующая ОС: Код: lsb_release -a
LSB Version: core-2.0-amd64:core-2.0-noarch:core-3.0-amd64:core-3.0-noarch:core-3.1-amd64:core-3.1-noarch:core-3.2-amd64:core-3.2-noarch:core-4.0-amd64:core-4.0-noarch:core-4.1-amd64:core-4.1-noarch:security-4.0-amd64:security-4.0-noarch:security-4.1-amd64:security-4.1-noarch
Distributor ID: Debian
Description: Debian GNU/Linux 7.11 (wheezy)
Release: 7.11
Codename: wheezy
Версия КриптоПро 4.0. Необходимо установить и настроить СКЗИ для работы с порталом Росреестра, через браузер Chromium. Загрузил необходимый дистрибутив со следующим набором пакетов: Код:ls -l /root/CryptoPro/
итого 18520
-r-xr-xr-x 1 root root 2517912 Сен 22 13:06 cprocsp-cpopenssl-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 11054 Сен 22 13:06 cprocsp-cpopenssl-base_4.0.0-4_all.deb
-r-xr-xr-x 1 root root 296034 Сен 22 13:06 cprocsp-cpopenssl-devel_4.0.0-4_all.deb
-r-xr-xr-x 1 root root 158460 Сен 22 13:06 cprocsp-cpopenssl-gost-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 451538 Сен 22 13:06 cprocsp-curl-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 349426 Сен 22 13:06 cprocsp-drv-64-dummy_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 375178 Сен 22 13:06 cprocsp-drv-devel_4.0.0-4_all.deb
-r-xr-xr-x 1 root root 807276 Сен 22 13:06 cprocsp-ipsec-devel_4.0.0-4_all.deb
-r-xr-xr-x 1 root root 39550 Сен 22 13:06 cprocsp-ipsec-esp-64-dummy_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 32094 Сен 22 13:06 cprocsp-ipsec-genpsk-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 86206 Сен 22 13:06 cprocsp-ipsec-ike-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 12986 Сен 22 13:06 cprocsp-rdr-emv-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 52482 Сен 22 13:06 cprocsp-rdr-esmart-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 24248 Сен 22 13:06 cprocsp-rdr-gui-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 39916 Сен 22 13:06 cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 29566 Сен 22 13:06 cprocsp-rdr-inpaspot-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 27500 Сен 22 13:06 cprocsp-rdr-mskey-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 10822 Сен 22 13:06 cprocsp-rdr-novacard-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 38102 Сен 22 13:06 cprocsp-rdr-pcsc-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 27160 Сен 22 13:06 cprocsp-rdr-rutoken-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 115246 Сен 22 13:06 cprocsp-rsa-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 172380 Сен 22 13:06 cprocsp-stunnel-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 47612 Сен 22 13:06 cprocsp-xer2print_4.0.0-4_all.deb
-r-xr-xr-x 1 root root 241064 Сен 22 13:06 cpverify
-r-xr-xr-x 1 root root 61006 Сен 22 13:06 ifd-rutokens_1.0.1_amd64.deb
-r-xr-xr-x 1 root root 3090 Сен 22 13:06 install.sh
-r-xr-xr-x 1 root root 4928 Сен 22 13:06 integrity.sh
-rw-r--r-- 1 root root 633960 Сен 10 18:35 libarchive.so.12.back
-r-xr-xr-x 1 root root 88 Сен 22 13:06 linux-amd64.ini
-r-xr-xr-x 1 root root 184770 Сен 22 13:06 lsb-cprocsp-base_4.0.0-4_all.deb
-r-xr-xr-x 1 root root 8740038 Сен 22 13:06 lsb-cprocsp-capilite-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 1283710 Сен 22 13:06 lsb-cprocsp-devel_4.0.0-4_all.deb
-r-xr-xr-x 1 root root 514978 Сен 22 13:06 lsb-cprocsp-kc1-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 773076 Сен 22 13:06 lsb-cprocsp-kc2-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 181364 Сен 22 13:06 lsb-cprocsp-pkcs11-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 535382 Сен 22 13:06 lsb-cprocsp-rdr-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 6914 Сен 22 13:06 lsb-cprocsp-rdr-sobol-64_4.0.0-4_amd64.deb
-r-xr-xr-x 1 root root 927 Сен 22 13:06 uninstall.sh
Начинаю устанавливать c помощью скрипта install.sh. Предварительно перед этим установив требуемые зависимости. Базовый перечень программ установился без проблем. Далее необходимо добавить считыватель для дискет: Код:./cpconfig -hardware reader -add FAT12_0
Далее смотрю, чтобы считыватель появился: Код:./cpconfig -hardware reader -view
Nick name: FLASH
Connect name:
Reader name: FLASH
Nick name: HDIMAGE
Connect name:
Reader name: ▒▒▒▒▒▒▒▒▒ ▒▒▒▒▒▒▒ ▒▒ ▒▒▒▒▒▒▒ ▒▒▒▒▒
Nick name: FAT12_0
Connect name:
Reader name: Floppy Drive
Т.к. ОС находится на виртуальной машине, управляемый средством виртуализации Hyper-V и он не поддерживает работу со съемными накопителями штатными средствами, то копирую закрытый ключ средствами КриптоПро на другой машине на дискету, далее снимаю с этой дискеты образ. Создаю с помощью средства виртуализации образ дискеты для виртуальных ОС. Загружаюсь с другой виртуальной ОС (Windows XP). Подключаю его как дискету, в системе она определяется как дискета, далее записываю снятый образ на виртуальный дискету. После чего уже тестирую на этой машине. Сертификат устанавливается, контейнер рабочий, все работает как надо. Отсоединяю виртуальную дискету. Далее подключаю уже к этой машине. Монтирую данную дискету: Код:
root@ts:/opt/cprocsp/sbin/amd64# cat /etc/fstab
# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point> <type> <options> <dump> <pass>
# / was on /dev/sda1 during installation
UUID=6f6c94b5-0bff-4cb0-9297-b66c954a6844 / ext4 errors=remount-ro 0 1
# swap was on /dev/sda5 during installation
UUID=9c363e40-2998-4d13-bb8d-178fa108c33f none swap sw 0 0
/dev/sr0 /media/cdrom0 udf,iso9660 user,noauto 0 0
/dev/fd0 /media/floppy0 vfat rw,user,iocharset=utf8,codepage=866,noauto,exec 0 0
Код:
ls -l /media/floppy0/
итого 1
drwxr-xr-x 2 root root 512 Сен 22 16:46 XXXX.000
drwxr-xr-x 2 root root 512 Сен 22 15:57 XXXXXXXX.000
Далее в документации сказано, что установить сертификат можно командой: Код:certmgr -inst -file <путь к файлу с сертификатом> -cont <имя контейнера>
И вот здесь возникают проблемы, т.к. я не совсем правильно понимаю, как правильно указать путь до требуемого контейнера Я пытаюсь сделать это следующим образом: Код:/opt/cprocsp/bin/amd64/certmgr -inst -file /root/cert/source.cer -cont '\\.\FAT12_0\floppy0\xxxxxxxx.000'
На что получаю ошибку: Код:=============================================================================
Failed to open container \\.\FAT12_0\floppy0\xxxxxxxx.000
The system cannot find the file specified.
[ErrorCode: 0x00000002]
Код:
/opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMREADERS
CSP (Type:80) v4.0.9006 KC1 Release Ver:4.0.9708 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
CryptAcquireContext succeeded.HCRYPTPROV: 13933939
GetProvParam(...PP_ENUMREADERS...) until it returns false
Len Byte NickName/Name
_____________________________
0x012a 0x58 FLASH
FLASH
0x012a 0x18 HDIMAGE
▒▒▒▒▒▒▒▒▒ ▒▒▒▒▒▒▒ ▒▒ ▒▒▒▒▒▒▒ ▒▒▒▒▒
0x012a 0x58 FAT12_0
Floppy Drive
Cycle exit when getting data. 3 items found. Level completed without problems.
Total: SYS: 0,000 sec USR: 0,040 sec UTC: 0,040 sec
[ErrorCode: 0x00000000]
/opt/cprocsp/sbin/amd64# /opt/cprocsp/bin/amd64/csptest -keyset -enum_c -verifyc -fqcn
CSP (Type:80) v4.0.9006 KC1 Release Ver:4.0.9708 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 34221427
\\.\HDIMAGE\▒▒▒▒▒▒▒▒▒
mount: can't find /var/opt/cprocsp/mnt0/ in /etc/fstab or /etc/mtab
mount: can't find /var/opt/cprocsp/mnt0/ in /etc/fstab or /etc/mtab
mount: can't find /var/opt/cprocsp/mnt0/ in /etc/fstab or /etc/mtab
mount: can't find /var/opt/cprocsp/mnt0/ in /etc/fstab or /etc/mtab
mount: can't find /var/opt/cprocsp/mnt0/ in /etc/fstab or /etc/mtab
mount: can't find /var/opt/cprocsp/mnt0/ in /etc/fstab or /etc/mtab
OK.
Total: SYS: 0,060 sec USR: 0,040 sec UTC: 0,190 sec
[ErrorCode: 0x00000000]
Тоже самое происходит, если попытаться копировать контейнер вручную в Код:cp -R /media/floppy0/xxxxxxxx.000/ /var/opt/cprocsp/keys/root/
Код:[code=bash]/opt/cprocsp/bin/amd64/certmgr -inst -file /root/cert/source.cer -cont '\\.\HDIMAGE\xxxxxxxx.000'
The system cannot find the file specified.
[ErrorCode: 0x00000002]
Код:/opt/cprocsp/bin/amd64/csptest -keyset -check -cont '\\.\HDIMAGE\xxxxxxxx.000'
CSP (Type:80) v4.0.9006 KC1 Release Ver:4.0.9708 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/ctkey.c:971:AcquireContext("\\.\HDIMAGE\xxxxxxxx.000")
Error number 0x80090019 (2148073497).
The keyset is not defined.
Total: SYS: 0,000 sec US
Скорее всего я неправильно указываю путь до контейнера, но если это так, то как правильно указать? Либо же считыватель не может увидеть данную дискету. Прошу помочь мне с решением данной проблемы... Отредактировано пользователем 23 сентября 2016 г. 15:03:10(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.09.2016(UTC) Сообщений: 9   Поблагодарили: 1 раз в 1 постах
|
Вообще говоря, когда копируете на другой машине контейнер с закрытыми ключами, то сами указываете имя контейнера. Вот оно самое и есть. Нолики в конце, в виде расширения имени каталога - это не в счёт. Если даёте длинное имя контейнеру при его переносе (копировании), то имя усекается.
А вы попробуйте подать:
/opt/cprocsp/bin/amd64/certmgr -inst -file /root/cert/source.cer -ask-cont
Получится интерактивный режим с перечислением контейнеров по номерам. Нажмёте там 1,2,3,... подходящий номер контейнера, заодно и увидите как этот контейнер вы назвали при копировании.
первоисточник: man 8 certmgr
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.09.2016(UTC)
Сообщений: 8
Сказал(а) «Спасибо»: 1 раз
|
Автор: ipba  Вообще говоря, когда копируете на другой машине контейнер с закрытыми ключами, то сами указываете имя контейнера. Вот оно самое и есть. Нолики в конце, в виде расширения имени каталога - это не в счёт. Если даёте длинное имя контейнеру при его переносе (копировании), то имя усекается.
А вы попробуйте подать:
/opt/cprocsp/bin/amd64/certmgr -inst -file /root/cert/source.cer -ask-cont
Получится интерактивный режим с перечислением контейнеров по номерам. Нажмёте там 1,2,3,... подходящий номер контейнера, заодно и увидите как этот контейнер вы назвали при копировании.
первоисточник: man 8 certmgr
Ситуация немного изменилась, то теперь получаю следующую ошибку: Код:Can not install certificate
Public keys in certificate and container are not identical
The requested certificate does not exist.
[ErrorCode: 0x8010002c]
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.09.2016(UTC) Сообщений: 9 Поблагодарили: 1 раз в 1 постах
|
А вы вот этот файл: /root/cert/source.cer
Каким образом создали?
То, что вы перенесли контейнер на образ дискеты - это ладно. А сертификат как сделали? Я немного не понял из вашего пояснения.
Вопрос задаю потому, что у вас очевидное несовпадение сертификата и того, что в контейнере. Будто этот source.cer вообще откуда-то не оттуда.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.09.2016(UTC)
Сообщений: 8
Сказал(а) «Спасибо»: 1 раз
|
Автор: ipba А вы вот этот файл: /root/cert/source.cer
Каким образом создали?
То, что вы перенесли контейнер на образ дискеты - это ладно. А сертификат как сделали? Я немного не понял из вашего пояснения.
Вопрос задаю потому, что у вас очевидное несовпадение сертификата и того, что в контейнере. Будто этот source.cer вообще откуда-то не оттуда. Сертификат я получил от ЦС, в Windows он устанавливается в личное хранилище сертификатов. Контейнер - его закрытый ключ...
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.09.2016(UTC) Сообщений: 9 Поблагодарили: 1 раз в 1 постах
|
Это хороший ответ, но вы проверили?
keytool --printcert -file /root/cert/source.cer
Вывод, конечно, это только для вас. Лишь бы убедились.
Кроме того, вот этот вывод:
ls -l /media/floppy0/
итого 1
drwxr-xr-x 2 root root 512 Сен 22 16:46 XXXX.000
drwxr-xr-x 2 root root 512 Сен 22 15:57 XXXXXXXX.000
говорит мне о том, что на флопике у вас как бы два контейнера. А второй чей? Вопрос риторический, но всё же. Я же не знаю, а вы не рассказываете.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.09.2016(UTC)
Сообщений: 8
Сказал(а) «Спасибо»: 1 раз
|
Автор: kaig73 Автор: ipba А вы вот этот файл: /root/cert/source.cer
Каким образом создали?
То, что вы перенесли контейнер на образ дискеты - это ладно. А сертификат как сделали? Я немного не понял из вашего пояснения.
Вопрос задаю потому, что у вас очевидное несовпадение сертификата и того, что в контейнере. Будто этот source.cer вообще откуда-то не оттуда. Сертификат я получил от ЦС, в Windows он устанавливается в личное хранилище сертификатов. Контейнер - его закрытый ключ... Вы правы. ЦС просто совсем недавно выдал неправильный сертификат, вот я его и не мог установить. Теперь, вроде бы, все нормально. Код:/opt/cprocsp/bin/amd64/csptest -keyset -enum_c -verifyc -fqcn
CSP (Type:80) v4.0.9006 KC1 Release Ver:4.0.9708 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 33623411
\\.\HDIMAGE\rosreestr
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.09.2016(UTC)
Сообщений: 8
Сказал(а) «Спасибо»: 1 раз
|
Автор: ipba Это хороший ответ, но вы проверили?
keytool --printcert -file /root/cert/source.cer
Вывод, конечно, это только для вас. Лишь бы убедились.
Кроме того, вот этот вывод:
ls -l /media/floppy0/
итого 1
drwxr-xr-x 2 root root 512 Сен 22 16:46 XXXX.000
drwxr-xr-x 2 root root 512 Сен 22 15:57 XXXXXXXX.000
говорит мне о том, что на флопике у вас как бы два контейнера. А второй чей? Вопрос риторический, но всё же. Я же не знаю, а вы не рассказываете.
Там просто были доп.скопированные тестовые контейнеры. Код:
ls -l /media/floppy0/
ls -l /media/floppy0/
итого 4
drwxr-xr-x 2 root root 512 Сен 23 2016 rosreest.000
-rwxr-xr-x 1 root root 2982 Сен 23 2016 rosreestr.cer
Код:
keytool --printcert -file /media/floppy0/rosreestr.cer
HEX-таблица, не думаю, что нужно ее показывать, конец вывода таков
#9: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
DigitalSignature
Non_repudiation
Key_Encipherment
Data_Encipherment
]
#10: ObjectId: 2.5.29.16 Criticality=false
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
#11: ObjectId: 2.5.29.14 Criticality=false
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Отредактировано пользователем 26 сентября 2016 г. 12:09:08(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.09.2016(UTC) Сообщений: 9 Поблагодарили: 1 раз в 1 постах
|
Цитата:
Вы правы. ЦС просто совсем недавно выдал неправильный сертификат, вот я его и не мог установить. Теперь, вроде бы, все нормально.
Видите, как здорово иметь под боком свой центр сертификации. Пара минут и новый сертификат тут как тут. Очень рад за вас. Для общности. На debian 8.6 : Отредактировано пользователем 25 сентября 2016 г. 1:29:16(UTC)
| Причина: логи с debian 8.6
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.09.2016(UTC) Сообщений: 9 Поблагодарили: 1 раз в 1 постах
|
Добавил флешку с ключами в каталоге с нулями и сертификатом в корне. Взял у бухов, от "Контура".
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
