Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline khalitovsv  
#1 Оставлено : 19 февраля 2020 г. 17:07:11(UTC)
khalitovsv

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2020(UTC)
Сообщений: 3

Здравствуйте, помогите пожалуйста разобраться...

ЗАДАЧА:

Выгрузки в тестовый сервис кредитного бюро банка "Русский стандарт" из под ОС Debian 8.11

ЧТО СДЕЛАНО:

1. Скачан и установлен КриптоПро CSP 5.0 КС2 для Linux (x64, deb)

Цитата:
install.sh kc2


2. Скопирован контейнер из Windows 10 в Debian 8.11

Цитата:
/opt/cprocsp/bin/amd64/csptest -keys -enum -verifyc -fqcn -un

CSP (Type:80) v5.0.10003 KC2 Release Ver:5.0.11455 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 34066595
\\.\HDIMAGE\▒▒▒▒▒▒▒ ▒▒▒▒▒▒ ▒▒▒▒▒▒▒▒▒ (19 ▒▒▒▒▒▒▒ 2020 ▒. 9:11:46)|\\.\HDIMAGE\HDIMAGE\\lwheokyg.000\9B38
OK.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.020 sec
[ErrorCode: 0x00000000]


3. Установлен личный сертификат в данный контейнер

Цитата:
/opt/cprocsp/bin/amd64/certmgr -inst -file cert.cer -cont '\\.\HDIMAGE\HDIMAGE\\lwheokyg.000\9B38'

Certmgr 1.1 (c) "Crypto-Pro", 2007-2019.
program for managing certificates, CRLs and stores

Installing:
=============================================================================
1-------
Issuer : CN=УЦ ТЕСТ «Кредитное бюро Русский Стандарт»
Subject : C=RU, L=Москва, O=***, CN=***, E=***
Serial : 0x1A000000687D59F316F4B6E252000000000068
SHA1 Hash : 0dcabe5e734413a755950877d37d70891cabbc8a
SubjKeyID : b8bcc12d131564179841d9121b903e8cf1fe26d9
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 19/02/2020 07:50:59 UTC
Not valid after : 19/02/2021 08:00:59 UTC
PrivateKey Link : No
CA cert URL : file:////SRVCATEST/CertEnroll/SRVCATEST_!0423!0426%20!0422!0415!0421!0422%20!00ab!041a!0440!0435!0434!0438!0442!043d!043e!0435%20!0431!044e!0440!043e%20!0420!0443!0441!0441!043a!0438!0439%20!0421!0442!0430!043d!0434!0430!0440!0442!00bb.crt
CDP : file:////SRVCATEST/CertEnroll/!0423!0426%20!0422!0415!0421!0422%20!00ab!041a!0440!0435!0434!0438!0442!043d!043e!0435%20!0431!044e!0440!043e%20!0420!0443!0441!0441!043a!0438!0439%20!0421!0442!0430!043d!0434!0430!0440!0442!00bb.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
=============================================================================

[ErrorCode: 0x00000000]


Цитата:
/opt/cprocsp/bin/amd64/certmgr -list

Certmgr 1.1 (c) "Crypto-Pro", 2007-2019.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer : CN=УЦ ТЕСТ «Кредитное бюро Русский Стандарт»
Subject : C=RU, L=Москва, O=***, CN=***, E=***
Serial : 0x1A000000687D59F316F4B6E252000000000068
SHA1 Hash : 0dcabe5e734413a755950877d37d70891cabbc8a
SubjKeyID : b8bcc12d131564179841d9121b903e8cf1fe26d9
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 19/02/2020 07:50:59 UTC
Not valid after : 19/02/2021 08:00:59 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\lwheokyg.000\9B38
Provider Name : Crypto-Pro GOST R 34.10-2012 KC2 CSP
Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0
CA cert URL : file:////SRVCATEST/CertEnroll/SRVCATEST_!0423!0426%20!0422!0415!0421!0422%20!00ab!041a!0440!0435!0434!0438!0442!043d!043e!0435%20!0431!044e!0440!043e%20!0420!0443!0441!0441!043a!0438!0439%20!0421!0442!0430!043d!0434!0430!0440!0442!00bb.crt
CDP : file:////SRVCATEST/CertEnroll/!0423!0426%20!0422!0415!0421!0422%20!00ab!041a!0440!0435!0434!0438!0442!043d!043e!0435%20!0431!044e!0440!043e%20!0420!0443!0441!0441!043a!0438!0439%20!0421!0442!0430!043d!0434!0430!0440!0442!00bb.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
=============================================================================

[ErrorCode: 0x00000000]


4. Установлен центральный сертификат тестового сервиса

Цитата:
/opt/cprocsp/bin/amd64/certmgr -inst -store root -file CA.cer

Certmgr 1.1 (c) "Crypto-Pro", 2007-2019.
program for managing certificates, CRLs and stores

WARNING: Legacy parameter: "-store root"
Installing:
=============================================================================
1-------
Issuer : CN=УЦ ТЕСТ «Кредитное бюро Русский Стандарт»
Subject : CN=УЦ ТЕСТ «Кредитное бюро Русский Стандарт»
Serial : 0x6BEE22418D2493AF46B539F31B3E8357
SHA1 Hash : 405c24c74d06d562860e11e82a0ebb29b79eaccf
SubjKeyID : 3a245ec4f4bde6096295b6b9a14aff8f82662eb9
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 29/10/2018 10:58:00 UTC
Not valid after : 29/10/2038 11:07:35 UTC
PrivateKey Link : No
=============================================================================
CPCSP: Warning: installing a root certificate with an unconfirmed thumbprint is a security risk. Do you want to install this certificate?
Subject: УЦ ТЕСТ «Кредитное бюро Русский Стандарт»
Thumbprint (sha1): 405C24C74D06D562860E11E82A0EBB29B79EACCF
(o)OK, (c)Cancel
o

[ErrorCode: 0x00000000]


Цитата:
/opt/cprocsp/bin/amd64/certmgr -list -store root

Certmgr 1.1 (c) "Crypto-Pro", 2007-2019.
program for managing certificates, CRLs and stores

WARNING: Legacy parameter: "-store root"
=============================================================================
1-------
Issuer : CN=УЦ ТЕСТ «Кредитное бюро Русский Стандарт»
Subject : CN=УЦ ТЕСТ «Кредитное бюро Русский Стандарт»
Serial : 0x6BEE22418D2493AF46B539F31B3E8357
SHA1 Hash : 405c24c74d06d562860e11e82a0ebb29b79eaccf
SubjKeyID : 3a245ec4f4bde6096295b6b9a14aff8f82662eb9
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 29/10/2018 10:58:00 UTC
Not valid after : 29/10/2038 11:07:35 UTC
PrivateKey Link : No
2-------
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Subject : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Serial : 0x34681E40CB41EF33A9A0B7C876929A29
SHA1 Hash : 8cae88bbfd404a7a53630864f9033606e1dc45e2
SubjKeyID : 8b983b891851e8ef9c0278b8eac8d420b255c95d
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 20/07/2012 12:31:14 UTC
Not valid after : 17/07/2027 12:31:14 UTC
PrivateKey Link : No
3-------
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Subject : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Serial : 0x4E6D478B26F27D657F768E025CE3D393
SHA1 Hash : 4bc6dc14d97010c41a26e058ad851f81c842415a
SubjKeyID : c254f1b46bd44cb7e06d36b42390f1fec33c9b06
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 06/07/2018 12:18:06 UTC
Not valid after : 01/07/2036 12:18:06 UTC
PrivateKey Link : No
4-------
Issuer : OGRN=1037700085444, INN=007717107991, C=RU, S=Moscow, L=Moscow, O="LLC ""Crypto-Pro""", CN=CryptoPro GOST Root CA
Subject : OGRN=1037700085444, INN=007717107991, C=RU, S=Moscow, L=Moscow, O="LLC ""Crypto-Pro""", CN=CryptoPro GOST Root CA
Serial : 0x4056ED0099A9D6AF49C9FF98B9C70E70
SHA1 Hash : 34e21fc04d3576b0ada81fd081955e2778291cc5
SubjKeyID : c2364dcc24260a439625305b67579b2ac9439cd5
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 15/11/2018 14:14:09 UTC
Not valid after : 15/11/2033 14:14:09 UTC
PrivateKey Link : No
=============================================================================

[ErrorCode: 0x00000000]


5. Попытка обращения к тестовому серверу с помощью curl из пакета КриптоПро

Цитата:
/opt/cprocsp/bin/amd64/curl --verbose --cert 0dcabe5e734413a755950877d37d70891cabbc8a --url https://crs12-test.rs-cb.ru/A2A/upload.ashx

* About to connect() to crs12-test.rs-cb.ru port 443 (#0)
* Trying 195.19.81.134... connected
* Connected to crs12-test.rs-cb.ru (195.19.81.134) port 443 (#0)
* Closing connection #0
* Problem with the local SSL certificate
curl: (58) Problem with the local SSL certificate


ВОПРОС:

Что делать дальше?

Отредактировано пользователем 20 февраля 2020 г. 6:37:25(UTC)  | Причина: Не указана

Offline two_oceans  
#2 Оставлено : 20 февраля 2020 г. 7:42:33(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Добрый день. Первые шаги на мой взгляд нормально прошли. Надеюсь пользователь под которым ставили сертификаты и под которым запускаете curl совпадают? Вопросы по 2 местам:
1) странные "CA cert URL :" "CDP :" с кодированной кириллицей в сертификате - клиент скорее всего не сможет их разрешить (тут еще стоит отметить что протокол file:// реализован везде по-разному), хотя сервис возможно сможет;
2) КС2 под никс (при первом старте под пользователем и время от времени после) требует наработки случайных данных, то есть установки аппаратного датчика случайных чисел (дсч) или загрузки гаммы (биологический дсч запрещен в КС2). Аппаратный дсч у Вас установлен? Попробуйте протестировать контейнер - вероятно выйдет запрос на наработку случайных данных.

Если по итогу тестов планируете аттестоваться на КС2 (или использовать ключ без участия пользователя), то аппаратный дсч обязательно нужен. Можно обойтись гаммой, но это нетривиально и все равно требует дсч где-либо. Если не планируете аттестацию на КС2 и всегда можете ввести данные - проще перейти на КС1 и биологический дсч (это когда нажимаете клавиши или водите мышью при необходимости).

Отредактировано пользователем 20 февраля 2020 г. 7:53:05(UTC)  | Причина: Не указана

Offline khalitovsv  
#3 Оставлено : 20 февраля 2020 г. 8:07:52(UTC)
khalitovsv

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2020(UTC)
Сообщений: 3

Автор: two_oceans Перейти к цитате
Добрый день


Спасибо за участие... для меня это первый опыт работы с криптографическими ключами, но постораюсь ответить на ваши вопросы...

Цитата:
Надеюсь пользователь под которым ставили сертификаты и под которым запускаете curl совпадают?


Да, на тесте все из под рута...

Цитата:
Аппаратный дсч у Вас установлен?


Нет...

Цитата:
Попробуйте протестировать контейнер - вероятно выйдет запрос на наработку случайных данных.


/opt/cprocsp/bin/amd64/csptest -keyset -container '\\.\HDIMAGE\HDIMAGE\\lwheokyg.000\9B38' -check

CSP (Type:80) v5.0.10003 KC2 Release Ver:5.0.11455 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 31351123
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC2 CSP
Container name: "▒▒▒▒▒▒▒ ▒▒▒▒▒▒ ▒▒▒▒▒▒▒▒▒ (19 ▒▒▒▒▒▒▒ 2020 ▒. 9:11:46)"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x1de8253
Symmetric key is not available.
UEC key is not available.
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Check import passed.
Keys in container:
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 19.05.2021 04:12:12 (UTC)
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.010 sec
[ErrorCode: 0x00000000]

Цитата:
Если по итогу тестов планируете аттестоваться на КС2 (или использовать ключ без участия пользователя), то аппаратный дсч обязательно нужен. Можно обойтись гаммой, но это нетривиально и все равно требует дсч где-либо. Если не планируете аттестацию на КС2 и всегда можете ввести данные - проще перейти на КС1 и биологический дсч (это когда нажимаете клавиши или водите мышью при необходимости).


У бюро минимальные требования КриптоПро 3.6 КС2... При создании запроса на сертификат водил мышкой и нажимал на клавиши...

Под Windows 10 у меня вообще установлен КриптоПро 5.0 КС3...

Думаете стоит попробовать установить КриптоПро 5.0 КС1 и получить новый личный сертификат?

Отредактировано пользователем 20 февраля 2020 г. 8:28:51(UTC)  | Причина: Не указана

Offline khalitovsv  
#4 Оставлено : 20 февраля 2020 г. 11:28:58(UTC)
khalitovsv

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2020(UTC)
Сообщений: 3

Автор: khalitovsv Перейти к цитате
Думаете стоит попробовать установить КриптоПро 5.0 КС1 и получить новый личный сертификат?


Сделал так, ничего не изменилось...
Offline Андрей Русев  
#5 Оставлено : 14 марта 2020 г. 23:52:04(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,261

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 444 раз в 323 постах
Вероятнее всего, проблема с сертификатом из-за недоступности CRL. В CDP указано file:////SRVCATEST, что не будет успешно обработано.
Убедиться в этом можно, скопировав сертификат с помощью cryptcp (приложение по умолчанию проверяет цепочки). Если при этом задать переменную окружения CP_PRINT_CHAIN_DETAIL=1, то будет подробная диагностика проверки цепочки:
Код:
CP_PRINT_CHAIN_DETAIL=1 /opt/cprocsp/bin/amd64/cryptcp -copycert -thumbprint 0dcabe5e734413a755950877d37d70891cabbc8a -df /tmp/t.cer
Официальная техподдержка. Официальная база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.