| ||||
| ||||
| Здравствуйте, бьюсь уже 3-ий день с установкой Trusted TLS на сервере с RHE Делаю всё так как написано в руководстве установки и настройки Trusted TLS для apache 2.0.53 но ничего толком не получается: 1) был установлен CryptoPro 3.0; 2) Trusted TLS распакован в директорию пользователя: ~/opt/$ 3) Сгенерирован серитифкации авторизации сервера командой: /usr/CPROcsp/bin/cryptcp -creatrqst -ex -cont "\\\\.\\hdimage\\tlsserver" -dn "CN=sba,E=test1@test.ru,O=test1,C=ru" -certusage "1.3.6.1.5.5.7.3.1" ~/tlssreq1.csr 4) были введены следующие команды из под root: [root@redhat maks]# /usr/CPROcsp/bin/storeman c[r]l, [c]ert, [u]ser, [q]uitc Store:root root [l]ist, [d]el, [e]xtract, [a]dd, [b]ack, q[uit]a File name:/home/maks/certnew.p7b Key name ([s]kip):s CertStore_Add failed. certnew.p7b - был получен с сайта http://www.cryptopro.ru/certsrv/certrqxt.asp Скажите пожалуйста что было сделано не верно, и как проделать пунк №4 правильно чтобы результат не содержал ошибок? Спасибо заранее за ответ! | ||||
| Ответы: | ||||
| ||||
| Сертификат certnew.p7b - в der-кодировке или в base64? Для storeman нужно, чтобы сертификат был в der-кодировке. | ||||
| ||||
| Да скачивад сертификат по второй из ссылок (со странице которая была преведена в первом посте в пункте №4) в der кодировке. сейчас установил специально для этой цели rh9 рекомендуемый руководством и попробую проделать всё на нём. | ||||
| ||||
| Добрый день. Установили RedHat9, сгенерировали новый base64сертификат но на сайте теперь не удаётся сгенерировать сертификат в der кодировке (. Сайт выдаёт ошибку: "Ваш запрос на сертификат был отвергнут. Код запроса 14246. Сообщение о назначении "Модуль политики отверг запрос". Обратитесь к системному администратору за дальнейшими сведениями." | ||||
| ||||
| Нет, запрос на сертификат для нашего тестового ЦС должен быть в base64. Но когда сертификат выдан и Вы выбираете кодировку для сохранения сертификата - нужно выбирать der, чтобы storeman мог с этим сертификатом работать. | ||||
| ||||
| так сертификат новый сайт всётаки сгенерировал и он был скачан с в кодировке der (файл - certnew.p7b). Файл был положен в home директорию пользователя. но попытка выполнения команды: [root@localhost maks]# /usr/CPROcsp/bin/storeman из под root аккаунт завершается неудачей. Вот лог производимых действий: [root@localhost maks]# /usr/CPROcsp/bin/storeman c[r]l, [c]ert, [u]ser, [q]uitc Store:root root [l]ist, [d]el, [e]xtract, [a]dd, [b]ack, q[uit]a File name:/home/maks/tlssreq.csr Key name ([s]kip):s CertStore_Add failed. root [l]ist, [d]el, [e]xtract, [a]dd, [b]ack, q[uit]q вот строка "CertStore_Add failed." говорит об ошибке, скажиет пожалуйста что сдесь было не правильно? так же сразу попутной второй вопрос: файл certnew.cer который нужен для установки сертификата веб-серевера (в формате "Base-64") в хранилище my пользователя, от имени которого будет производится запуск сервера, где его получить? Сорри за дотошные вопросы, но к сожалению не нашёл хорошей инструкции по установки данного ПО. Спасибо заранее. | ||||
| ||||
| Прошу прощения, я может быть, что-то не поняла, но я не вижу связи между полученным Вами сертификатом certnew.p7b и файлом, который Вы указываете при установке сертификата storeman'ом - tlssreq.csr. Что касается сертификата веб-сервера - Вы его получаете с сайта, таким же образом, по запросу. | ||||
| ||||
| да я ошибся простите, но результат тот же что и раньше: [root@localhost conf]# /usr/CPROcsp/bin/storeman c[r]l, [c]ert, [u]ser, [q]uitc Store:root root [l]ist, [d]el, [e]xtract, [a]dd, [b]ack, q[uit]a File name:/home/maks/certnew.p7b Key name ([s]kip):s CertStore_Add failed. | ||||
| ||||
| Ага, вот еще одна вещь, меня поправляют - для установки storeman'ом файлы-хранилища типа p7b не подходят. Нужен обычный файл сертификата. То есть при получении сертификата с нашего тестового УЦ выбирайте "загрузить сертификат" вместо "загрузить цепочку сертификатов". Либо из имеющегося у Вас файла p7b сохранить нужный для установки сертификат в отдельный файл. | ||||
| ||||
| Еще раз, чтобы упорядочить все сказанное, выдержка из инструкции по установке сертификата для Trusted TLS: 1. Создать запрос на сертификат. Как Вы и писали, с помощью cryptcp. Передать этот запрос на УЦ, по запросу получить сертификат, сохранить его в файле в der-кодировке. 2. На машину установить сертификат Центра Сертификации с помощью storeman. Сертификат ЦС должен быть в отдельном файле, в der-кодировке. 3. Установить сертификат веб-сервера, полученный на первом шаге, с помощью cryptcp. | ||||
| ||||
| Последняя поправка: в п.1 сертификат должен быть не в der-кодировке, а в base64. der-кодировка нужна только для п.2. | ||||
Максим