Статус: Новичок
Группы: Участники
Зарегистрирован: 31.05.2018(UTC)
Сообщений: 4
Сказал(а) «Спасибо»: 1 раз
|
Добрый день!
Люди добрые, помогите, пожалуйста, разобраться в ситуации.
Исходные данные:
Astra Linux SE 1.7.5.16
КриптоПро CSP x64 5.0.12001
Возникла проблема, что ряд ресурсов для которых доступ возможен только по ЭП, перестали открываться (на конкретной машине).
По наблюдениям, проблема - в том что не выстраиваются цепочки корневых сертификатов.
Решили удалить их и переустановить.
Но какой бы сертификат не возьмемся удалять - отказано в доступе.
Удалили КриптоПро (с помощью установщика).
Вручную были удалены каталоги:
/opt/cprocsp
/var/opt/cprocsp/
/etc/opt/cprocsp/
Потом с помощью установщика заново поставили КриптоПро CSP.
Сертификаты как были так и остались и так же не получается их удалить.
При выполнении команды:
/opt/cprocsp/bin/amd64/certmgr -del -all
Пишет (красным текстом), что нет сертификата который необходимо удалять.
Помогите, пожалуйста, разобраться как вычистить все корневые сертификаты из и вообще полностью удалить криптопро с Астра линукс?
Спасибо.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,426
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 571 раз в 398 постах
|
Автор: salder  Возникла проблема, что ряд ресурсов для которых доступ возможен только по ЭП, перестали открываться (на конкретной машине).
По наблюдениям, проблема - в том что не выстраиваются цепочки корневых сертификатов.
Решили удалить их и переустановить. Здравствуйте. Удаление корневых не поможет решить проблему с цепочками. К какому ресурсу не удаётся получить доступ? Что при этом в системном журнале? Как вы поняли, что проблема с цепочками? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.05.2018(UTC)
Сообщений: 4
Сказал(а) «Спасибо»: 1 раз
|
Добрый день!
Минфиновский ресурс.
На самом деле не предполагалось, что удаление корневых сертификатов приведет к самостоятельной проблеме.
Как одна из версий, на которую указывают:
1) На других АРМ все работает (с той же самой ЭП).
2) На проблемном все работало, пока в качестве корневых сертификатов было установлено корневых сертификатов казначейства.
Корневой Минцифры (с Госуслуг) и корневой Минфина.
Потом доставили корневые ФК и доступ пропал.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,345
Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
|
Автор: salder 2) На проблемном все работало, пока в качестве корневых сертификатов было установлено корневых сертификатов казначейства.
Корневой Минцифры (с Госуслуг) и корневой Минфина.
Потом доставили корневые ФК и доступ пропал. О каких корневых сертификатах идёт речь? Возможно Вы путаете с промежуточными? Вы можете показать проблему скрином ошибки, выводом консоли? Пока не совсем понятно, о чём Вы ведёте речь.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.05.2018(UTC)
Сообщений: 4
Сказал(а) «Спасибо»: 1 раз
|
Добрый день! К сожалению сейчас доступа к данном компу нет, поэтому пока опишу на словах. Сайт Электронного бюджета, точнее вход в личный кабинет. http://ssl.budgetplan.minfin.ru/Все работало - проблем не было. Точнее пользователь вполне себе заходил в личный кабинет и работал. Только при каждом входе постоянно приходилось преодолевать страницу с предупреждением о небезопасности сайта. Решили попробовать поправить этот момент. Выяснилось, что из корневых сертификатов был установлен (в криптопро) сертификат Russian Trusted Root CA.cer в доверенные центры сертификации и сертификат менфина - в промежуточные. Не было казначейских. Скачали последний казначейский сертификат с их сайта (за 2023 год). Установили в промежуточные. Ничего не изменилось. Тогда скачали с их сайта два сертификата - минцифры и казначействий (за 2022 год). Установили - один в доверенные, а другой в промежуточные. И доступ к личному кабинету пропал. То есть крипто про дает выбрать подпись, а потом на этапе авторизации - страница недоступка. Решили удалить два последний установленных корневых сертификата (за 2022 год). И не тут-то было. Отказано в доступе. Решили все удалить: Russian Trusted Root CA и минфиновский. Минфиновский удалился, а Russian Trusted Root CA - тоже с отказом в доступе идет. Удалили Крипто про с помощью утилиты из установщика. Вручную были удалены каталоги: /opt/cprocsp /var/opt/cprocsp/ /etc/opt/cprocsp/ Перезагрузили машину. Устанавливаем КпритоПро - а сертификаты как там были так и остались и также не удаляются. И сайт также не доступен.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,345
Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
|
Автор: salder Перезагрузили машину.
Устанавливаем КпритоПро - а сертификаты как там были так и остались и также не удаляются. Возможно, что на этапе установки Вы импортируете системные сертифкаты:  Автор: salder И сайт также не доступен. C этим, конечно, надо разбираться. Возможно цепочки для сайта не строятся или что-то с сертификатом/ ключом ЭП.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,324   Сказал «Спасибо»: 549 раз
Поблагодарили: 2208 раз в 1723 постах
|
Автор: salder Добрый день!
К сожалению сейчас доступа к данном компу нет, поэтому пока опишу на словах.
Сайт Электронного бюджета, точнее вход в личный кабинет.
http://ssl.budgetplan.minfin.ru/
Все работало - проблем не было.
Точнее пользователь вполне себе заходил в личный кабинет и работал.
Только при каждом входе постоянно приходилось преодолевать страницу с предупреждением о небезопасности сайта.
Здравствуйте. А почему по http сначала открываете? Может из-за этого всё? Сообщение было о небезопасности в адресной строке или всё таки реально про tls и отсутствии доверия к корневому сертификату? если по http://  Snimok ehkrana ot 2024-05-14 11-17-18.png (5kb) загружен 2 раз(а).На linux: Snimok ehkrana ot 2024-05-14 11-06-09.png (83kb) загружен 5 раз(а). И по ссылке не корневой сертификат Минцифры России (что по идее должно быть), а промежуточный сертификат от ИИТ (от 2020) и с цепочкой до старого сертификата Минкомсвязи. http://ssl.budgetplan.minfin.ru/CAMinfin.cer Snimok ehkrana ot 2024-05-14 11-13-48.png (16kb) загружен 6 раз(а). |
|
 1 пользователь поблагодарил Андрей * за этот пост.
|
nickm оставлено 14.05.2024(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,345
Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
|
Автор: nickm Автор: salder И сайт также не доступен. C этим, конечно, надо разбираться. Возможно цепочки для сайта не строятся или что-то с сертификатом/ ключом ЭП. Возможно, что: - пользовательский сертификат не связан с ключом;
- не строится доверенная цепочка пользовательского сертификата;
- отсутствует доступ к ключу
, т.к. после выбора сертификата: Автор: salder То есть крипто про дает выбрать подпись, а потом на этапе авторизации - страница недоступна. происходит обращение к ключу. Отредактировано пользователем 14 мая 2024 г. 12:12:11(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
