Статус: Новичок
Группы: Участники
Зарегистрирован: 06.10.2010(UTC)
Сообщений: 7
Откуда: Саранск
|
Добрый день.
Имеется следующая конфигурация:
- Solaris 10 x86-64
- Sun Java System Web Server 7.0U8
- CryptoPro CSP v3.6.5359 KC1 Release Ver:3.6.6497 OS:Solaris CPU:AMD64
- Установленный (в хранилище mMy) сертификат для веб сервера, который привязан к контейнеру на диске(HDIMAGE)
При установке данного сертификата через мастер установки сертификатов (в консоли управления веб сервером) на заключительном этапе появляется ошибка ADMIN4112: No Private key found
Возможно ли в данной конфигурации использование указанного выше сертификата для проверки подлинности веб сервера?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
Здравствуйте. Эта конфигурация не заработает. Дело в том, что наш продукт представляет собой криптографическую библиотеку, которая предоставляет API для работы с ней. В windows предусмотрен интерфейс для встраивания криптопровайдеров, в который мы добавляемся, поэтому приложения, работающие с криптографией через стандартный виндовый CryptoAPI, "видят" нашу библиотеку. В юниксах нормального стандартного интерфейса для встраивания криптографии нет. Там наш CSP предоставляет интерфейс, аналогичный CryptoAPI, но местные приложения не приучены через него работать -- прозрачного встраивания не получается. Если Ваш сервер позволяет подключать внешние криптографичекие модули через pkcs#11 или nss -- скажите, я напишу как можно попробовать настроить работу таким образом. Если сам сервер написан на java, обратите внимание на наш продукт: http://www.cryptopro.ru/products/csp/jcp -- это криптографическая библиотека, которая встраивается в jav'овсий интерфейс для встраивания криптографии. Например, с apache tomcat наш jcp работает "из коробки": http://www.cryptopro.ru/...t.aspx?g=posts&t=877 |
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.10.2010(UTC)
Сообщений: 7
Откуда: Саранск
|
Спасибо за ответ. Судя по выдержке с официального сайта(http://www.sun.com/bigadmin/features/articles/web_server_t1.jsp) Цитата:NSS is an open source project that provides a library implementing support for a variety of security protocols and formats. The Sun Java System Web Server uses NSS as its implementation of the SSL and Transport Level Security (TLS) protocols.
To make use of SSL/TLS, NSS needs access to a number of cryptographic algorithm implementations. Providers that implement the PKCS#11 Cryptographic Token Interface can be plugged into NSS to provide access to these concrete algorithm implementations. NSS includes a built-in "soft token" library that implements all the necessary algorithms in the software. This is the default provider used by NSS and is the one most commonly used in deployments of Sun Java System Web Server.
It is also possible to plug external PKCS#11 libraries into NSS in order to use alternate algorithm implementations. The most common use of this is to delegate computationally expensive crypto operations to a hardware accelerator such as the Sun Cryptographic Accelerators. While this has been the most common use case, it is also possible to plug in software-only PKCS#11 libraries. данный веб сервер поддерживает подключение криптографических библиотек через NSS. Не могли бы Вы описать процесс подключения КриптоПро CSP через NSS?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
В документации сказано, что можно подключать внешние модули pkcs#11. Такой модуль у нас есть (пакет cprocsp-pkcs11). Необходимо установить пакет и указать в качестве пути к библиотеке путь к /opt/cprocsp/lib/<архитектура>/libpkcs11.so . Но есть проблема в самом nss, которая обычно мешает прозрачному встраиванию сторонних криптопровайдеров. В nss нет возможности запросить список доступных криптоалгоритмов, поэтому большинство продуктов, работающих через nss, имеют прошитый в код список доступных алгоритмов, в котором нет нашего ГОСТа. Именно поэтому нам пришлось править и пересобирать firefox и thunderbird, чтобы они заработали с нашим CSP -- там точно такой же механизм подключения pkcs#11 через nss. Сейчас наши разработчики работают над модифицированной версией nss, которая позволит обойти проблему, но если нужно, чтобы всё заработало уже сегодня, проще будет выбрать другое решение. Например, можно взять модифицированный apache от наших партнеров: http://www.trusted.ru/products/trusted-tls/ . Отредактировано пользователем 27 января 2011 г. 15:13:02(UTC)
| Причина: Не указана |
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
