Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
Шаг 2 - Создадим ключ и соответствующий ему корневой сертификат (-root) с нужным именем (-dn)
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.08.2020(UTC) Сообщений: 7
|
На Шаге 1 я создал контейнер \\.\HDIMAGE\minica_gost_root Теперь действую по инструкции https://support.cryptopr...omoshhju-csptest--minica и там первой из команд указана /opt/cprocsp/bin/amd64/csptest -minica -root -dn "CN=MiniCA GOST root cert" -provtype 80 -provider "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -container "minica_gost_root" -password "1" -store mRoot -fcert /tmp/gost_root.cer. Я её модифицировал под свои нужды, но получил ошибку " Error 0x80070005: Access is denied". Цитата:u1@p1:~$ sudo -u www-data /opt/cprocsp/bin/amd64/csptest -minica -root -dn "CN=MiniCA GOST root cert" -container "minica_gost_root" -store mRoot -fcert /tmp/gost_root.cer Requested container has been opened
Press keys... [..........................................................................]
Crypto-Pro GOST R 34.10-2012 KC1 CSP requests new container password New password: Confirm password: Output file (/tmp/gost_root.cer) has been saved ../../../../CSPbuild/CSP/samples/csptest/minica.c:228:CertAddEncodedCertificateToStore Error 0x80070005: Access is denied. Total: SYS: 0,020 sec USR: 0,070 sec UTC: 15,050 sec [ErrorCode: 0x80070005] u1@p1:~$ sudo -u www-data /opt/cprocsp/bin/amd64/csptest -minica -root -dn "CN=MiniCA GOST root cert" -container "minica_gost_root" -store mRoot -fcert /tmp/gost_root.cer Insert empty carrier to create container minica_gost_root Press 'c' to cancel: Press 'c' to cancel: c ../../../../CSPbuild/CSP/samples/csptest/minica.c:533:CryptAcquireContextW Error 0x8010006e: The action was cancelled by the user. Total: SYS: 0,000 sec USR: 0,050 sec UTC: 16,990 sec [ErrorCode: 0x8010006e]
---
u1@p1:~$ sudo -u www-data /opt/cprocsp/bin/amd64/csptest -minica -root -dn "CN=MiniCA GOST root cert" -container "minica_gost_root1" -store mRoot -fcert /tmp/gost_root.cer Requested container has been opened
Press keys... [..........................................................................]
Crypto-Pro GOST R 34.10-2012 KC1 CSP requests new container password New password: Confirm password: Output file (/tmp/gost_root.cer) has been saved ../../../../CSPbuild/CSP/samples/csptest/minica.c:228:CertAddEncodedCertificateToStore Error 0x80070005: Access is denied. Total: SYS: 0,040 sec USR: 0,070 sec UTC: 24,250 sec [ErrorCode: 0x80070005] u1@p1:~$ /opt/cprocsp/bin/amd64/csptest -minica -root -dn "CN=MiniCA GOST root cert" -container "minica_gost_root1" -store mRoot -fcert /tmp/gost_root.cer ../../../../CSPbuild/CSP/samples/csptest/minica.c:533:CryptAcquireContextW Error 0x8009001a: Keyset as registered is invalid. Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,010 sec [ErrorCode: 0x8009001a] u1@p1:~$ /opt/cprocsp/bin/amd64/csptest -minica -root -dn "CN=MiniCA GOST root cert" -container "minica_gost_root2" -store mRoot -fcert /tmp/gost_root.cer Requested container has been opened
../../../../CSPbuild/CSP/samples/csptest/minica.c:555:CryptGenKey Error 0x80090020: An internal error occurred. Total: SYS: 0,000 sec USR: 0,060 sec UTC: 1,080 sec [ErrorCode: 0x80090020] u1@p1:~$ /opt/cprocsp/bin/amd64/csptest -minica -root -dn "CN=MiniCA GOST root cert" -container "minica_gost_root3" -store mRoot -fcert /tmp/gost_root.cer Requested container has been opened
../../../../CSPbuild/CSP/samples/csptest/minica.c:555:CryptGenKey Error 0x80090020: An internal error occurred. Total: SYS: 0,000 sec USR: 0,060 sec UTC: 1,070 sec [ErrorCode: 0x80090020] u1@p1:~$ /opt/cprocsp/bin/amd64/csptest -minica -root -dn "CN=MiniCA GOST root cert" -container "minica_gost_root7342895734295" -store mRoot -fcert /tmp/gost_root.cer Requested container has been opened
../../../../CSPbuild/CSP/samples/csptest/minica.c:555:CryptGenKey Error 0x80090020: An internal error occurred. Total: SYS: 0,000 sec USR: 0,060 sec UTC: 1,060 sec [ErrorCode: 0x80090020]
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,272
Сказал(а) «Спасибо»: 22 раз Поблагодарили: 446 раз в 325 постах
|
Добавил в статью примечание про запуск под root. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.08.2020(UTC) Сообщений: 7
|
Автор: Андрей Русев Добавил в статью примечание про запуск под root. Спасибо, под рутом ошибок нет, создал от имени рута контейнер и потом также под рутом использовал minica. Меня смущает PrivateKey Link: No при выполнении команды sudo /opt/cprocsp/bin/amd64/certmgr -list, при этом команда sudo /opt/cprocsp/bin/amd64/cryptcp -sign -cert -detached -nochain -thumbprint выдаёт ошибку "Can not get certificate private key". Цитата:sudo /opt/cprocsp/bin/amd64/cryptcp -sign -cert -detached -nochain -thumbprint add05cfc8cac17da0b0df09e289e1a7688fc0e66 /var/www/html/document /var/www/html/document_signature CryptCP 5.0 (c) "Crypto-Pro", 2002-2020. Command prompt Utility for file signature and encryption.
The following certificate will be used: RDN:MiniCA GOST leaf cert Valid from 19.02.2021 10:01:18 to 13.08.2022 10:11:18
Folder '/var/www/html/': /var/www/html/document... Error: Can not get certificate private key. ../../../../CSPbuild/CSP/samples/CPCrypt/DSign.cpp:487: 0x20000136
Лог minica: Цитата: u1@p1:~$ sudo /opt/cprocsp/bin/amd64/csptest -keyset -newkeyset -cont '\\.\HDIMAGE\minica_gost_root2' [sudo] password for u1: CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.11998 OS:Linux CPU:AMD64 FastCode:READY:AVX. AcquireContext: OK. HCRYPTPROV: 32734979 GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP Container name: "minica_gost_root2" Signature key is not available. Attempting to create a signature key... Press keys... [..............................................................................] Crypto-Pro GOST R 34.10-2012 KC1 CSP requests new container password New password: Confirm password: a signature key created. Exchange key is not available. Attempting to create an exchange key... Press keys... [..........................................................................]
an exchange key created. Keys in container: signature key exchange key Extensions: OID: 1.2.643.2.2.37.3.9 PrivKey: Not specified - 19.05.2022 10:08:13 (UTC)
OID: 1.2.643.2.2.37.3.10 PrivKey: Not specified - 19.05.2022 10:08:23 (UTC) Total: SYS: 0,040 sec USR: 0,030 sec UTC: 36,730 sec [ErrorCode: 0x00000000] u1@p1:~$ sudo /opt/cprocsp/bin/amd64/csptest -minica -root -dn "CN=MiniCA GOST root cert" -container "minica_gost_root2" -store mRoot -fcert /tmp/gost_root.cer Requested container has been opened
Press keys... [..........................................................................]
Crypto-Pro GOST R 34.10-2012 KC1 CSP requests new container password New password: Confirm password: First input and confirmation are not the same. New password: Confirm password: Output file (/tmp/gost_root.cer) has been saved
Following certificate has been installed in "Root" store: Subject: CN=MiniCA GOST root cert Valid : 19.02.2021 09:58:52 - 13.08.2022 10:08:52 (UTC) Issuer : CN=MiniCA GOST root cert
Total: SYS: 0,000 sec USR: 0,090 sec UTC: 14,760 sec [ErrorCode: 0x00000000] u1@p1:~$ sudo /opt/cprocsp/bin/amd64/csptest -minica -leaf -dn "CN=MiniCA GOST leaf cert" -container "minica_gost_leaf2" -password "" -store mMy -fcert /tmp/gost_leaf.cer -issuer "CN=MiniCA GOST root cert" -ipassword "" -istore mRoot Issuer certificate: #0: Subject: CN=MiniCA GOST root cert Valid : 19.02.2021 09:58:52 - 13.08.2022 10:08:52 (UTC) Issuer : CN=MiniCA GOST root cert
Requested container has been opened
Press keys... [..........................................................................]
oOutput file (/tmp/gost_leaf.cer) has been saved
Following certificate has been installed in "My" store: Subject: CN=MiniCA GOST leaf cert Valid : 19.02.2021 10:01:18 - 13.08.2022 10:11:18 (UTC) Issuer : CN=MiniCA GOST root cert
Total: SYS: 0,010 sec USR: 0,090 sec UTC: 20,810 sec [ErrorCode: 0x00000000] u1@p1:~$ sudo /opt/cprocsp/bin/amd64/csptest -minica -crl -store mCa -fcrl /tmp/gost.crl -issuer "CN=MiniCA GOST root cert" -ipassword "" -istore mRoot Issuer certificate: #0: Subject: CN=MiniCA GOST root cert Valid : 19.02.2021 09:58:52 - 13.08.2022 10:08:52 (UTC) Issuer : CN=MiniCA GOST root cert
Output file (/tmp/gost.crl) has been saved
CRL has been installed in "Ca" store
Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,010 sec [ErrorCode: 0x00000000] u1@p1:~$ sudo /opt/cprocsp/bin/amd64/cryptcp -copycert -errchain -f /tmp/gost_leaf.cer CryptCP 5.0 (c) "Crypto-Pro", 2002-2020. Command prompt Utility for file signature and encryption.
The following certificate will be used: RDN:MiniCA GOST leaf cert Valid from 19.02.2021 10:01:18 to 13.08.2022 10:11:18
Certificate chains are checked. Certificate's been copied. [ErrorCode: 0x00000000] u1@p1:~$
---
u1@p1:~$ sudo /opt/cprocsp/bin/amd64/certmgr -list Certmgr 1.1 (c) "Crypto-Pro", 2007-2020. Program for managing certificates, CRLs and stores. ============================================================================= 1------- Issuer : CN=MiniCA GOST root cert Subject : CN=MiniCA GOST leaf cert Serial : 0x563858E58EE0B5C6 SHA1 Hash : add05cfc8cac17da0b0df09e289e1a7688fc0e66 SubjKeyID : 88b4db486bd7faf51a00dc9720b69d2df8183bd4 Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits) Not valid before : 19/02/2021 10:01:18 UTC Not valid after : 13/08/2022 10:11:18 UTC PrivateKey Link : No =============================================================================
[ErrorCode: 0x00000000]
Отредактировано пользователем 19 февраля 2021 г. 14:12:53(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 02.11.2017(UTC) Сообщений: 44 Сказал «Спасибо»: 7 раз Поблагодарили: 19 раз в 17 постах
|
При создании вы поместили сертификат в хранилище mMy, т.е. в хранилище в Local Machine. Затем вы копировали сертификат из файла в uMy, т.е. в хранилище в User. Копировать туда -- поведение cryptcp -copycert по умолчанию. Копирование из файла произошло без привязки к закрытому ключу. Команда certmgr -list по умолчанию показывает содержимое хранилища uMy, где был сертификат-копия без привязки к закрытому ключу. В mMy по-прежнему лежит правильный сертификат-оригинал с привязкой к закрытому ключу. Убедиться в этом можно командой /opt/cprocsp/bin/amd64/certmgr -list -store mMy. Аналогично решается и проблема с подписью: необходимо указать cryptcp, что сертификат следует искать в хранилище mMy, а не в uMy, где cryptcp ищет его по умолчанию. Чтобы было меньше путаницы, поправили инструкцию, чтобы команды cryptcp -copycert в ней производили копирование из одного файла в другой, а не в хранилище. Спасибо, что сообщили! Отредактировано пользователем 24 февраля 2021 г. 15:09:57(UTC)
| Причина: Добавил про ошибку при подписи. |
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
Шаг 2 - Создадим ключ и соответствующий ему корневой сертификат (-root) с нужным именем (-dn)
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close