Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline OlegШ  
#1 Оставлено : 24 июня 2021 г. 12:21:16(UTC)
OlegШ

Статус: Участник

Группы: Участники
Зарегистрирован: 24.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Казань

Добрый день!
Имеется linux сервер, на котром крипта пытается обновить сертификат идя напрямую в интернет. Но т.к. доступ напрямую закрыт, рассматривается вариант направлять попытки скачки через прокси. Как это можно сделать?
Online Андрей *  
#2 Оставлено : 24 июня 2021 г. 12:45:27(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,597
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1599 раз в 1230 постах
Здравствуйте.
Какие утилиты используете?
Техническую поддержку оказываем тут
Наша база знаний
Offline OlegШ  
#3 Оставлено : 24 июня 2021 г. 13:15:23(UTC)
OlegШ

Статус: Участник

Группы: Участники
Зарегистрирован: 24.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Казань

Прошу прощения, не совсем понял вопрос
Online Андрей *  
#4 Оставлено : 24 июня 2021 г. 13:27:33(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,597
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1599 раз в 1230 постах
Автор: OlegШ Перейти к цитате
Прошу прощения, не совсем понял вопрос


Цитата:

направлять попытки скачки через прокси


Как формируете запрос? Внешние приложения\внутренний код (CAPILite)?


Цитата:

пытается обновить сертификат идя напрямую в интернет


Сертификат? или CRL?
Техническую поддержку оказываем тут
Наша база знаний
Offline OlegШ  
#5 Оставлено : 24 июня 2021 г. 13:40:33(UTC)
OlegШ

Статус: Участник

Группы: Участники
Зарегистрирован: 24.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Казань

Закачивает crt.
Опишу чуть подробнее.
У нас есть веб-сервис (на tomcat), который при загрузке начинает опрашивать КриптоПро, которая, в свою очередь, инициализирует контейнеры, в связи с чем происходит пыпытка закачки свежего crt. И т.к. доступа в интернет нет, по каждому crt, крипто ожидает timeout и переходит к следующему. И так до тех пор, пока не закончится весь список. И только потом приложение стартурет.
Online Андрей *  
#6 Оставлено : 24 июня 2021 г. 14:03:23(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,597
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1599 раз в 1230 постах
Автор: OlegШ Перейти к цитате
Закачивает crt.
Опишу чуть подробнее.
У нас есть веб-сервис (на tomcat), который при загрузке начинает опрашивать КриптоПро, которая, в свою очередь, инициализирует контейнеры, в связи с чем происходит пыпытка закачки свежего crt. И т.к. доступа в интернет нет, по каждому crt, крипто ожидает timeout и переходит к следующему. И так до тех пор, пока не закончится весь список. И только потом приложение стартурет.


Может речь всё таки о CRL, а не CRT?
Техническую поддержку оказываем тут
Наша база знаний
Offline OlegШ  
#7 Оставлено : 24 июня 2021 г. 14:06:20(UTC)
OlegШ

Статус: Участник

Группы: Участники
Зарегистрирован: 24.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Казань

Нет. Речь именно о .crt
Offline OlegШ  
#8 Оставлено : 25 июня 2021 г. 10:59:21(UTC)
OlegШ

Статус: Участник

Группы: Участники
Зарегистрирован: 24.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Казань

Никто не сможет помочь? Anxious
Online Андрей *  
#9 Оставлено : 25 июня 2021 г. 11:52:12(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,597
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1599 раз в 1230 постах
Автор: OlegШ Перейти к цитате
Никто не сможет помочь? Anxious


Как воспроизвести это поведение?
Техническую поддержку оказываем тут
Наша база знаний
Offline OlegШ  
#10 Оставлено : 25 июня 2021 г. 12:12:46(UTC)
OlegШ

Статус: Участник

Группы: Участники
Зарегистрирован: 24.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Казань

Ситуация воспроизводится по истечению действия сертификата, когда криптопро пытается скачать свежий сертификат (crt), но при этом должен отсутствовать прямой доступ к ресурсу для скачки (УЦ)
Online Андрей *  
#11 Оставлено : 25 июня 2021 г. 12:45:17(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,597
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1599 раз в 1230 постах
Автор: OlegШ Перейти к цитате
Ситуация воспроизводится по истечению действия сертификата, когда криптопро пытается скачать свежий сертификат (crt), но при этом должен отсутствовать прямой доступ к ресурсу для скачки (УЦ)


Напишите этот URL с .crt
Техническую поддержку оказываем тут
Наша база знаний
Online Андрей *  
#12 Оставлено : 25 июня 2021 г. 12:45:54(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,597
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1599 раз в 1230 постах
Может в сертификате ошибка и УЦ указал неправильное расширение для CRL?
Техническую поддержку оказываем тут
Наша база знаний
Offline OlegШ  
#13 Оставлено : 25 июня 2021 г. 13:06:52(UTC)
OlegШ

Статус: Участник

Группы: Участники
Зарегистрирован: 24.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Казань

Пройдя по ссылке сертификат скачивается
http://crl.tensor.ru/tax...nsorca-2021_gost2012.crt
Online Андрей *  
#14 Оставлено : 25 июня 2021 г. 13:12:50(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,597
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1599 раз в 1230 постах
Автор: OlegШ Перейти к цитате
Пройдя по ссылке сертификат скачивается
http://crl.tensor.ru/tax...nsorca-2021_gost2012.crt


а он не установлен в хранилище mCA?
Техническую поддержку оказываем тут
Наша база знаний
Offline OlegШ  
#15 Оставлено : 25 июня 2021 г. 13:21:24(UTC)
OlegШ

Статус: Участник

Группы: Участники
Зарегистрирован: 24.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Казань

Нет
Offline OlegШ  
#16 Оставлено : 25 июня 2021 г. 15:28:21(UTC)
OlegШ

Статус: Участник

Группы: Участники
Зарегистрирован: 24.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Казань

А криптопро вообще может работать через прокси?
Online Андрей *  
#17 Оставлено : 26 июня 2021 г. 10:26:58(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,597
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1599 раз в 1230 постах
Автор: OlegШ Перейти к цитате
А криптопро вообще может работать через прокси?


Какие функции Вы вызываете и как?

Как воспроизвести?

Цитата:

Ситуация воспроизводится по истечению действия сертификата


и как часто это происходит?
если сертификаты выдаются на большой срок...
Техническую поддержку оказываем тут
Наша база знаний
Online Санчир Момолдаев  
#18 Оставлено : 26 июня 2021 г. 10:44:28(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 758
Российская Федерация

Сказал(а) «Спасибо»: 68 раз
Поблагодарили: 158 раз в 154 постах
Автор: OlegШ Перейти к цитате
Закачивает crt.
Опишу чуть подробнее.
У нас есть веб-сервис (на tomcat), который при загрузке начинает опрашивать КриптоПро, которая, в свою очередь, инициализирует контейнеры, в связи с чем происходит пыпытка закачки свежего crt. И т.к. доступа в интернет нет, по каждому crt, крипто ожидает timeout и переходит к следующему. И так до тех пор, пока не закончится весь список. И только потом приложение стартурет.


у вас томкат использует JCP/JCSP?
или же идет вызов консольных утилит?

в java прокси указываются так
System.setProperty("http.proxyHost", "10.5.45.250");
System.setPropery("http.proxyPort", "3128");

в томкате так https://tomcat.apache.or...8.5-doc/proxy-howto.html

в curl
Либо переменная окружения либо конфиг в домашней директории
Техническую поддержку оказываем тут
Наша база знаний
Offline OlegШ  
#19 Оставлено : 30 июня 2021 г. 9:54:38(UTC)
OlegШ

Статус: Участник

Группы: Участники
Зарегистрирован: 24.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Казань

Спасибо большое за ответы.
Не уверен что смогу точно ответить на вышеуказанные вопросы, поэтому сообщу текущий статус: настроил переменную окружения, что позволило закачивать сертификаты под нужным пользователем через curl, но в логах крипты по-прежнему ошибка "...capi20: CryptRetrieveObjectByUrlA () UrlRetriever failed (CURLcode: 12029 URL: http://tensor.ru/ca/tens...9_cp_gost2012.crt)"
Offline OlegШ  
#20 Оставлено : 30 июня 2021 г. 10:32:27(UTC)
OlegШ

Статус: Участник

Группы: Участники
Зарегистрирован: 24.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Казань

Цитата:

и как часто это происходит?
если сертификаты выдаются на большой срок...


На данный момент 3 сертификата просрочены. У каждого сертификата есть несколько зеркал, по которым проводятся попытки закачек и как следствие отрабатывается тайм-аут. Как результат, порядка 15-20 минут уходит на все ожидания
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.