Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Tarasus  
#1 Оставлено : 30 сентября 2021 г. 18:31:41(UTC)
Tarasus

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8
Российская Федерация
Откуда: NN

Сказал(а) «Спасибо»: 5 раз
Доброго дня.
Имеется AstraLinux SE 1.6.
Установлен КриптоПро 4.0R4, дополнительно установлены драйверы для Rutoken S.
Проблема в чём. Производились настройки АРМ для обеспечения возможности подачи заявления на изготовление сертификата ЭП в УФК. Тернистый путь установки программного обеспечения и достижения состояния, когда проверки правильности настройки АРМ показывают все зелёные галочки описывать не буду, лишь только скажу, что, похоже, имея Rutoken S, я не придал значения тому, что перед созданием контейнера на носителе не выскочил диалог выбора оного, как это было с Rutoken ECP. В итоге получилось, что контейнер, в который нужно записывать созданный в УФК ключ, записан в хранилище \\HDIMAGE.Изначально драйвера для Rutoken S не стояло.
Понимаю, что, наверное, проще пройти снова весь путь "получение доверенности от юрлица - создание заявки на сертификат - поход в УФК для подачи бумажных документов - поход в УФК для приёма бумажного сертификата", однако хотелось бы всё-таки попытаться решить вопрос программно.
Так вот, позвольте спросить, есть ли какая-то возможность переписать пустой контейнер из хранилища \\HDIMAGE в хранилище на токене, а потом ещё в это хранилище прописать и полученный ключ?

Прежде, чем регистрироваться и писать вопрос, пытался найти решение традиционными способами, однако информации мало и именно такую проблему встретить не удалось, как и не удалось отыскать сколь-нибудь внятное описание функции бинарников, входящих в состав пакета.

Спасибо и надеюсь на помощь.
Offline nickm  
#2 Оставлено : 30 сентября 2021 г. 22:01:10(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 1,792

Сказал(а) «Спасибо»: 442 раз
Поблагодарили: 301 раз в 285 постах
Автор: Tarasus Перейти к цитате
есть ли какая-то возможность переписать пустой контейнер из хранилища


Почему пустой?

Автор: Tarasus Перейти к цитате
есть ли какая-то возможность


Есть возможность скопировать.

Например, если Вы работаете в консоли, то команды могли бы выглядеть так (в версии 5 всё эти действия можно произвести в утилите cptools):

Цитата:
Получить уникальное имя:

Код:
<путь к Крипто Про>/bin/csptestf -keys -enum -verifyc -fqcn -unique


Цитата:
Получить уникальное имя контейнеров:

Код:
<путь к Крипто Про>/bin/csptestf -keyset -enum_containers -verifycontext -fqcn 



Цитата:
далее скопировать (приведён пример копирования ключа с контейнера в контейнер)

Код:
<путь к Крипто Про>/bin/csptestf -keycopy -contsrc '\\.\HDIMAGE\HDIMAGE\\***\***' -contdest '\\.\FLASH\***' 

Отредактировано пользователем 30 сентября 2021 г. 22:08:26(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил nickm за этот пост.
Tarasus оставлено 01.10.2021(UTC)
Offline two_oceans  
#3 Оставлено : 1 октября 2021 г. 5:23:20(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Цитата:
есть ли какая-то возможность переписать пустой контейнер из хранилища \\HDIMAGE в хранилище на токене, а потом ещё в это хранилище прописать и полученный ключ?
Автор: nickm Перейти к цитате
Почему пустой?
Так понимаю, что надо читать так: есть ли какая-то возможность переписать контейнер без сертификата из считывателя Директория на токен, а потом ещё в этот контейнер установить и полученный сертификат?
Цитата:
пытался найти решение традиционными способами... информации мало
Для csptest конечно справки нет (кроме встроенной), но вообще УФК также выдает комплект документации на криптопровайдер. Если официально запрашивать, то потом еще и составляется акт, что документацию напечатали и положили в сейф. Также комплект доступен на сайте КриптоПро. В комплекте должно быть и руководство для Linux. Разве это не традиционный способ? Для особо критичных моментов есть еще и статьи в базе знаний.
thanks 1 пользователь поблагодарил two_oceans за этот пост.
Tarasus оставлено 01.10.2021(UTC)
Offline Tarasus  
#4 Оставлено : 1 октября 2021 г. 7:56:02(UTC)
Tarasus

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8
Российская Федерация
Откуда: NN

Сказал(а) «Спасибо»: 5 раз
Автор: nickm Перейти к цитате
Почему пустой?


Видимо, я неверно выразился. Конечно же, как верно заметил коллега, я имел в виду контейнер без ключа.
Прошу прощения за некое косноязичие, ибо в теме шифрования только начинаю и с терминологией слабовато.

Автор: Tarasus Перейти к цитате
есть ли какая-то возможность


Автор: nickm Перейти к цитате
Есть возможность скопировать.

Например, если Вы работаете в консоли, то команды могли бы выглядеть так (в версии 5 всё эти действия можно произвести в утилите cptools):

Цитата:
Получить уникальное имя:

Код:
<путь к Крипто Про>/bin/csptestf -keys -enum -verifyc -fqcn -unique


Цитата:
Получить уникальное имя контейнеров:

Код:
<путь к Крипто Про>/bin/csptestf -keyset -enum_containers -verifycontext -fqcn 



Цитата:
далее скопировать (приведён пример копирования ключа с контейнера в контейнер)

Код:
<путь к Крипто Про>/bin/csptestf -keycopy -contsrc '\\.\HDIMAGE\HDIMAGE\\***\***' -contdest '\\.\FLASH\***' 



Спасибо за совет, приблизительно так и сделал. Только в процессе вылезла одна тонкость: если указывать одно и то же имя контейнера на источнике и на приёмнике - программа ругается, что "already exists". А если переименовать - то всё проходит. Я правильно понимаю, что как таковое имя контейнера в принципе глобального значения не имеет?
Спасибо ещё раз.
Offline Tarasus  
#5 Оставлено : 1 октября 2021 г. 8:00:01(UTC)
Tarasus

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8
Российская Федерация
Откуда: NN

Сказал(а) «Спасибо»: 5 раз
Автор: two_oceans Перейти к цитате
Так понимаю, что надо читать так: есть ли какая-то возможность переписать контейнер без сертификата из считывателя Директория на токен, а потом ещё в этот контейнер установить и полученный сертификат?

Цитата:
пытался найти решение традиционными способами... информации мало
Для csptest конечно справки нет (кроме встроенной), но вообще УФК также выдает комплект документации на криптопровайдер. Если официально запрашивать, то потом еще и составляется акт, что документацию напечатали и положили в сейф. Также комплект доступен на сайте КриптоПро. В комплекте должно быть и руководство для Linux. Разве это не традиционный способ? Для особо критичных моментов есть еще и статьи в базе знаний.


Традиционным способом я осмелился назвать поиск информации в интернете :)
В комплекте с дистрибутивом криптопро что-то я руководства не увидел, а на сайте, согласен, надо поискать. Может, там и есть что-то интересное. Спасибо за наводку.

И всё-таки в итоге сам ключ в контейнер пришлось писать виндою. А хотелось бы добить "полный цикл" на Астре.

Спасибо большое за помощь!
Online Александр Лавник  
#6 Оставлено : 1 октября 2021 г. 12:17:57(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: Tarasus Перейти к цитате
Автор: two_oceans Перейти к цитате
Так понимаю, что надо читать так: есть ли какая-то возможность переписать контейнер без сертификата из считывателя Директория на токен, а потом ещё в этот контейнер установить и полученный сертификат?

Цитата:
пытался найти решение традиционными способами... информации мало
Для csptest конечно справки нет (кроме встроенной), но вообще УФК также выдает комплект документации на криптопровайдер. Если официально запрашивать, то потом еще и составляется акт, что документацию напечатали и положили в сейф. Также комплект доступен на сайте КриптоПро. В комплекте должно быть и руководство для Linux. Разве это не традиционный способ? Для особо критичных моментов есть еще и статьи в базе знаний.


Традиционным способом я осмелился назвать поиск информации в интернете :)
В комплекте с дистрибутивом криптопро что-то я руководства не увидел, а на сайте, согласен, надо поискать. Может, там и есть что-то интересное. Спасибо за наводку.

И всё-таки в итоге сам ключ в контейнер пришлось писать виндою. А хотелось бы добить "полный цикл" на Астре.

Спасибо большое за помощь!
Здравствуйте.

Немного добавлю.

В КриптоПро CSP 4.0 есть проблема на *nix операционных системах - нет возможности выбрать ключевой носитель при создании ключа, если не указать явно ключевой носитель как часть имени ключевого контейнера.

Насколько я знаю, в форме при создании запроса на сертификат в УФК нет такой возможности.

Подобной проблемы нет в КриптоПро CSP 5.0 - там есть графическое окно для выбора ключевого контейнера.

На будущее можно порекомендовать перейти на КриптоПро CSP 5.0.11455 - в этой сборке можно использовать лицензию КриптоПро CSP 4.0, если используется версия 4.0 из-за наличия лицензии только к этой версии.

Кроме того, как написали ранее, в CSP 5.0 есть графическая панель cptools (Инструменты КриптоПро), в которой гораздо проще скопировать ключевой контейнер, чем через терминал.

К сожалению, на текущий момент нет возможности установить сертификат внутрь ключевого контейнера через графическую панель даже в последней сборке CSP 5.0.

Для этого (если все таки возникнет такая необходимость) можно использовать утилиту cryptcp.

Для вывода справки по нужной команде:

Код:
/opt/cprocsp/bin/amd64/cryptcp -instcert -help
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
Tarasus оставлено 01.10.2021(UTC)
Offline Tarasus  
#7 Оставлено : 1 октября 2021 г. 12:46:28(UTC)
Tarasus

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8
Российская Федерация
Откуда: NN

Сказал(а) «Спасибо»: 5 раз
Автор: Александр Лавник Перейти к цитате

Здравствуйте.

Немного добавлю.

В КриптоПро CSP 4.0 есть проблема на *nix операционных системах - нет возможности выбрать ключевой носитель при создании ключа, если не указать явно ключевой носитель как часть имени ключевого контейнера.

Насколько я знаю, в форме при создании запроса на сертификат в УФК нет такой возможности.


Доброго дня и спасибо за полезную информацию.
Когда у меня в USB-порту торчал "православный" Рутокен ЭЦП (красный) и я пытался сформировать заявление - диалог выбора носителя появлялся. Или это я путаю с разделом на сайте криптопро, где можно проверить работоспособность ЭП. Ну, это я уточню: в любом случае, мне тех заявок формировать предстоит ещё около сотни.
Но меня просто не насторожил факт, что когда в порту торчал Рутокен S, диалога выбора не было.

Автор: Александр Лавник Перейти к цитате
Подобной проблемы нет в КриптоПро CSP 5.0 - там есть графическое окно для выбора ключевого контейнера.

На будущее можно порекомендовать перейти на КриптоПро CSP 5.0.11455 - в этой сборке можно использовать лицензию КриптоПро CSP 4.0, если используется версия 4.0 из-за наличия лицензии только к этой версии.


Спасибо, пока воздержусь, ибо нет полной уверенности в своих силах по переходу с 4.0 на 5.0 на Астре: как бы не "упало" всё :) Но за информацию, повторюсь, спасибо. Когда буду делать новую "голую" систему - обязательно попробую испытать пятую версию

Автор: Александр Лавник Перейти к цитате
Кроме того, как написали ранее, в CSP 5.0 есть графическая панель cptools (Инструменты КриптоПро), в которой гораздо проще скопировать ключевой контейнер, чем через терминал.

К сожалению, на текущий момент нет возможности установить сертификат внутрь ключевого контейнера через графическую панель даже в последней сборке CSP 5.0.

Для этого (если все таки возникнет такая необходимость) можно использовать утилиту cryptcp.

Для вывода справки по нужной команде:

Код:
/opt/cprocsp/bin/amd64/cryptcp -instcert -help


Вот за это отдельное спасибо!
Почитаю параметры утилитки, попробую. Может быть, на перспективу, и скрипт нарисовать получится, дабы не выполнять одни и те же действия по нескольку раз.

Offline Tarasus  
#8 Оставлено : 1 октября 2021 г. 14:33:22(UTC)
Tarasus

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8
Российская Федерация
Откуда: NN

Сказал(а) «Спасибо»: 5 раз
Не удержался, проверил на своих "тестовых" токенах.
Из токена в токен (Rutoken S mini vs RUtoken ECP) используя промежуточное хранилище "HDIMAGE" - переносится нормально, на других машинах воспринимается. КриптоПро 4 под винду - "видит".

Очистил токен. Скопировал на него "пустой" (прошу прощения - контейнер без ключа).

csptest с ключами показывает, что контейнер на токене есть.

Почитал синтаксис cryptcp. Вроде, всё просто.
Даю простор "интерактиву":
Код:
cryptcp -instcert -askpin ./certname.cer

Запрашивается выбор контейнера, куда писать ключ, выбираю, запрашивается пин - ввожу:

Код:
Номер:1
Введите пароль для контейнера 1035205388349 928170744: 
Сертификат был успешно установлен.
[ErrorCode: 0x00000000]


То есть программа сообщает, что всё успешно записалось.

Бегу к винде. Запускаю криптопро-сервис-посмотреть сертификаты в контейнере. Контейнер выбираю, в ответ: "контейнер не содержит сертификатов".

Возвращаюсь к Астре.

Код:
sysadm@IC-Astra-Inet:~/Dist/roskazna$ certmgr -list -container '\\.\Aktiv Co. Rutoken S 00 00\1035205388349 928170744'
Certmgr 1.1 (c) "Crypto-Pro",  2007-2018.
program for managing certificates, CRLs and stores

GetKeyParam error

The requested certificate does not exist.
[ErrorCode: 0x8010002c]


Нет, говорит, ключа.
Пытаюсь поверить, что ключа нет и поставить его ещё раз.
Даю командочку cryptcp -instcert -askpin ./12345678.cer

Код:
Номер:1
Введите пароль для контейнера 1035205388349 928170744: 
Ошибка: ������ ��� �������� �� �������./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:783: 0x80092004
[ErrorCode: 0x80092004]


Текст ошибки нечитаем (возможно, кодировка).

Вот такая загогулька.

Но я же не могу оставить "недосказанность".
Пошёл на винду. Запускаю КриптоПро CSP, сервис, установить личный сертификат. Выбираю файл, ставлю чекбокс "автоматически выбрать контейнер", контейнер обнаруживается, программа просит ввести пин и... сообщает, что сертификат уже присутствует! И спрашивает, всё-таки заменить его, проставив ссылку на закрытый ключ?". Я соглашаюсь. Сертификат спокойно записывается, криптопро-сервис-посмотреть сертификаты в контейнере - показывает всё правильно.

Вот такое завершение квеста на сегодня. Спасибо за внимание.

Online Александр Лавник  
#9 Оставлено : 1 октября 2021 г. 23:44:26(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Попробуйте использовать более универсальную команду вида:

Код:
/opt/cprocsp/bin/amd64/certmgr -inst -inst_to_cont -cont '\\.\Aktiv Co. Rutoken S 00 00\1035205388349 928170744' -file ./certname.cer

При использовании рекомендованной ранее команды вида:

Код:
/opt/cprocsp/bin/amd64/cryptcp -instcert ...

идет поиск по сохраненным запросам на сертификат в соответствующем хранилище текущего пользователя, и если соответствующего запроса там нет (например, запрос создавался на другом компьютере/под другим пользователем) выполнение команды заканчивается подобной ошибкой.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
Tarasus оставлено 04.10.2021(UTC)
Offline Tarasus  
#10 Оставлено : 14 октября 2021 г. 19:03:36(UTC)
Tarasus

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8
Российская Федерация
Откуда: NN

Сказал(а) «Спасибо»: 5 раз
А вот ещё вопрос по этой же теме.
Непонятно пока почему, но при подаче заявки на выпуск сертификата в УФК, момент запуска диалога выбора носителя и окошка с рандомайзером почему-то стал "пролетать" и процедура подачи заявки уходит сразу на следующий шаг.
Можно ли где-то (в логе) посмотреть, что происходит в этот момент? Никак не пойму, что же внезапно сломалось... Даже оставил заявку в саппорте казначейства, но навряд ли что-то сломалось там: скорее "астра" что-то брыкается.
Спасибо.

ЗЫ: грешил, может быть, яндекс браузер обновился: специально скачал и настроил хромиум.гост: абсолютно одинаковое поведение.
Для чистоты эксперимента не только очищал в яндексе кэш, так ещё и вовсе грохнул дефолтовый профиль с переустановкой расширения и внесением настроек.
На сайте криптопро в разделе проверки работоспособности плагина - всё работает, подписывается.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.