Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Взаимодействие с удаленным УЦ из командной строки
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127 Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Архитектура информационной системы такова, что прикладное ПО и УЦ требуется разнести по разными физическим серверам. Примерно так: Вопрос, существует ли возможность в таком случае использовать утилиту Certutil2 для обработки запросов на сертификаты и проверки подписей? Cкопировал каталог Certutil2 на удаленную машину ( там установлен КрптоПро CSP 4.0.9842) при выполнении проверки связи с сервером УЦ вижу вот такое: Код:D:\App\Certutil2>Certutil2.exe -ping -config "myTestCAserver\Пробный Корневой УЦ"
Подключение к myTestCAserver\Пробный Корневой УЦ ...
Certutil2: -ping команда НЕ ВЫПОЛНЕНА: 0x80070514 (WIN32: -2146233087)
Certutil2: Не удалось получить фабрику класса COM для удаленного компонента с CLSID {D99E6E74-FC88-11D0-B498-00A0C90312F
3} с компьютера myTestCAserver из-за следующей ошибки: 800706ba rs52uc.ютера mytestcaserver из-за следующей ошибки: 800706ba mytestcaserver.
Если выполнить из-под администратора, то получаю сообщение " Невозможно запустить это приложение на вашем ПК. Обратитесь к издателю". ОС: Windows 8.1 x64 Выполняю туже операцию локально на машине, где установлен УЦ: Код:C:\Program Files\Crypto Pro\CC2\Certutil2>Certutil2.exe -ping -config "localhost\Пробный Корневой УЦ"
Подключение к localhost\Пробный Корневой УЦ ...
Интерфейс ICertRequestD2 сервера localhost действует
Certutil2: -ping - команда успешно выполнена.
Сервис корректно настроен и функционирует. Куда копать? Что нужно доустанавливать на клиентской машине, и возможно ли такое использование в принципе? Какое решение в таком случае вы посоветовали бы? Отредактировано пользователем 20 июня 2017 г. 19:06:45(UTC)
| Причина: Уточнил вопрос
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,176 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
С помощью cryptcp можно отправлять запросы на сертификат. А также создание/проверка подписи, шифрование/расшифрование. certutil2 этим не занимается (отправке и запросов на сертификат) Рекомендую ознакомиться со следующей документацией: ЖТЯИ.00078 01 90 05 ПАК КриптоПро УЦ 2.0. Руководство программиста Отредактировано пользователем 21 июня 2017 г. 9:11:42(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127 Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: tikhonov С помощью cryptcp можно отправлять запросы на сертификат. Я ознакомился с документом ЖТЯИ.00067-01 90 20. Судя по нему, данная утилита работает только в пределах той машины, в которой установлен сам УЦ. Собственно, в этом загвоздка - существующее на данный момент наше ПО так и работает через утилиту командной строки (только майкрософтовскую), весь комплекс (служба сертификации и наше прикладное ПО) установлены на одном сервере; но клиент переходит на КриптоПро УЦ 2.0, который будет установлен на отдельном выделенном сервере. Уточняю свой вопрос - существует ли возможность при помощи утилит командной строки (cryptcp, Certutil2 или еще каких-либо) выполнять операции с сертификатами в пределах ЛВС - когда утилита и УЦ расположены физически на разных компьютерах. Отредактировано пользователем 21 июня 2017 г. 9:55:25(UTC)
| Причина: Правка орфографии
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,176 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Можно с помощью cryptcp отправлять запросы на сертификат с любого ПК (у которого есть доступ к ЦР). Для ваших целей, скорее всего, подойдет использовании методов ИВП описанных тут: ЖТЯИ.00078 01 90 05 ПАК КриптоПро УЦ 2.0. Руководство программиста
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127 Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: tikhonov Можно с помощью cryptcp отправлять запросы на сертификат с любого ПК (у которого есть доступ к ЦР). Подскажите пожалуйста пример какой-нибудь команды, в которой указывается имя удаленного сервера ЦР? В документации не нашел (( Цитата:Для ваших целей, скорее всего, подойдет использовании методов ИВП описанных тут: ЖТЯИ.00078 01 90 05 ПАК КриптоПро УЦ 2.0. Руководство программиста Я вижу примеры работы с API на VB.NET - это понятно. Тогда надо писать собственный сервис-шлюз, такой путь ясен. Хочу удостоверится, что иного варианта автоматизации - использовать уже существующие утилиты командной строки - нет. Отредактировано пользователем 21 июня 2017 г. 11:39:20(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,176 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Автор: vadjunik Автор: tikhonov Можно с помощью cryptcp отправлять запросы на сертификат с любого ПК (у которого есть доступ к ЦР). Подскажите пожалуйста пример какой-нибудь команды, в которой указывается имя удаленного сервера ЦР? В документации не нашел (( На УЦ 1.5 также можно было делать, только команда чуть другая. Цитата:cryptcp.exe -creatcert -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider" -silent -rdn "CN=user_21062017" -cont "\\.\REGISTRY\user_21062017" -cpca20 'https://dnsnamera/ui' -token "логин пользователя" -tpassword "пароль пользователя" -tmpl User(это короткое имя шаблона) |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127 Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Ааа... вот в чем дело, я смотрел доку ЖТЯИ.00067-01 90 20 - "КриптоПро УЦ. Утилита автономного формирования и использования ключей Пользователя УЦ", там тож речь о cryptcp.exe. А нужно было ЖТЯИ.00087-01 93 01. "КриптоПро CSP. Приложение командной строки". Я правильно понимаю, что речь идет о физически одном и том же приложении? Просто с разными контекстами (параметрами и целью) использования?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,176 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
|
|
1 пользователь поблагодарил Захар Тихонов за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127 Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Приветствую! Вот только дошли руки до реализации. Задача отослать файл с запросом на сертификат УЦ 2.0 и получить у него ответ (сам сертификат). Пока есть проблема со связью с сервером УЦ, может что-то там не так настроено? Согласно доке ЖТЯИ.00087-01 93 01 "Приложение командной строки для подписи и шифрования файлов": Извлечение информации о настройках параметров учетных записей пользователя на УЦ -listDN [{-CA <адрес ЦС>}|{-CPCA <адрес ЦС>} |{-CPCA20 <адрес ЦС>}] -CPCA адрес УЦ -CPCA20 адрес УЦ folder указать адрес веб интерфейса КриптоПро УЦ; вида \"http://xxx.yyy/zzz\" или \"https://xxx.yyy/zzz\"; указать адрес веб интерфейса КриптоПро УЦ версии 2.0; вида \"https://xxx.yyy/zzz/{folder}\"; обозначает GUID папки УЦ или путь папки в иерархии папок УЦ, при этом разделителем имен папок в пути является символ ‘|’ пытаюсь, для начала, проверить наличие корректной связи клиентской машины с севером. Вот такой командой: Код:cryptcp.x64.exe -listDN -cpca20 "https://myCAserver/ca"
Получаю следующее: Код:CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2017.
Утилита командной строки для подписи и шифрования файлов.
Retrieve url error.
Address:https://myCAserver/api/ca/userattr
HttpStatus:0
Data:
Неизвестная ошибка.
Users.cpp:288: 0x2F8F
[ErrorCode: 0x00002f8f]
URL стал другим, ну и в принципе, явно что-то пошло не так. Все службы на сервере запущены, может что-то там не настроено? Вопрос - что и куда копать? Обновил утилиту, у вас на сайте указано, что она 5.0.10804, однако в свойствах приложения попрежнему указано 5.0.10802.0, ну и она байт в байт та же что у меня и была, только время создания разное. Изменений в работе нет.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,176 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Автор: vadjunik Приветствую! Вот только дошли руки до реализации. Задача отослать файл с запросом на сертификат УЦ 2.0 и получить у него ответ (сам сертификат). Пока есть проблема со связью с сервером УЦ, может что-то там не так настроено? Согласно доке ЖТЯИ.00087-01 93 01 "Приложение командной строки для подписи и шифрования файлов": Извлечение информации о настройках параметров учетных записей пользователя на УЦ -listDN [{-CA <адрес ЦС>}|{-CPCA <адрес ЦС>} |{-CPCA20 <адрес ЦС>}] -CPCA адрес УЦ -CPCA20 адрес УЦ folder указать адрес веб интерфейса КриптоПро УЦ; вида \"http://xxx.yyy/zzz\" или \"https://xxx.yyy/zzz\"; указать адрес веб интерфейса КриптоПро УЦ версии 2.0; вида \"https://xxx.yyy/zzz/{folder}\"; обозначает GUID папки УЦ или путь папки в иерархии папок УЦ, при этом разделителем имен папок в пути является символ ‘|’ пытаюсь, для начала, проверить наличие корректной связи клиентской машины с севером. Вот такой командой: Код:cryptcp.x64.exe -listDN -cpca20 "https://myCAserver/ca"
Получаю следующее: Код:CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2017.
Утилита командной строки для подписи и шифрования файлов.
Retrieve url error.
Address:https://myCAserver/api/ca/userattr
HttpStatus:0
Data:
Неизвестная ошибка.
Users.cpp:288: 0x2F8F
[ErrorCode: 0x00002f8f]
URL стал другим, ну и в принципе, явно что-то пошло не так. Все службы на сервере запущены, может что-то там не настроено? Вопрос - что и куда копать? Обновил утилиту, у вас на сайте указано, что она 5.0.10804, однако в свойствах приложения попрежнему указано 5.0.10802.0, ну и она байт в байт та же что у меня и была, только время создания разное. Изменений в работе нет. Здравствуйте. 1. Вы не установили корневой сертификат. Эта ошибка нам об этом говорит. 2. Указывая -СА попадем на тестовый УЦ 1.5 (изменения войдут в следующей сборке cryptcp) Пример: Цитата:cryptcp.x64.exe -listDN -CA "https://cryptopro.ru/ca"
Если будете указывать адрес ЦР, то требуется указать адрес УЦ вида \"https://xxx.yyy/zzz/{folder}\"; folder обозначает GUID папки УЦ или путь папки в иерархии папок УЦ, при этом разделителем имен папок в пути является символ ‘|’ Пример: Цитата:cryptcp.x64.exe -listDN -CPCA20 "https://testca2.cryptopro.ru/ui/8eb5f2fb-b5d3-e411-80bb-00155d454d12" Отредактировано пользователем 15 августа 2017 г. 9:01:54(UTC)
| Причина: Изменение работы команды -СА |
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Взаимодействие с удаленным УЦ из командной строки
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close