Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline vadjunik  
#1 Оставлено : 20 июня 2017 г. 12:45:17(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Архитектура информационной системы такова, что прикладное ПО и УЦ требуется разнести по разными физическим серверам. Примерно так:
http://images.vfl.ru/ii/1497974131/5bd6f2c5/17646439.png


Вопрос, существует ли возможность в таком случае использовать утилиту Certutil2 для обработки запросов на сертификаты и проверки подписей?
Cкопировал каталог Certutil2 на удаленную машину (там установлен КрптоПро CSP 4.0.9842) при выполнении проверки связи с сервером УЦ вижу вот такое:

Код:
D:\App\Certutil2>Certutil2.exe -ping -config "myTestCAserver\Пробный Корневой УЦ"
Подключение к myTestCAserver\Пробный Корневой УЦ ...
Certutil2: -ping команда НЕ ВЫПОЛНЕНА: 0x80070514 (WIN32: -2146233087)
Certutil2: Не удалось получить фабрику класса COM для удаленного компонента с CLSID {D99E6E74-FC88-11D0-B498-00A0C90312F
3} с компьютера myTestCAserver из-за следующей ошибки: 800706ba rs52uc.ютера mytestcaserver из-за следующей ошибки: 800706ba mytestcaserver.


Если выполнить из-под администратора, то получаю сообщение "Невозможно запустить это приложение на вашем ПК. Обратитесь к издателю".
ОС: Windows 8.1 x64

Выполняю туже операцию локально на машине, где установлен УЦ:

Код:
C:\Program Files\Crypto Pro\CC2\Certutil2>Certutil2.exe -ping -config "localhost\Пробный Корневой УЦ"
Подключение к localhost\Пробный Корневой УЦ ...
Интерфейс ICertRequestD2 сервера localhost действует
Certutil2: -ping - команда успешно выполнена.


Сервис корректно настроен и функционирует. Куда копать? Что нужно доустанавливать на клиентской машине, и возможно ли такое использование в принципе?

Какое решение в таком случае вы посоветовали бы?

Отредактировано пользователем 20 июня 2017 г. 19:06:45(UTC)  | Причина: Уточнил вопрос

Offline Захар Тихонов  
#2 Оставлено : 21 июня 2017 г. 9:02:15(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,176
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
С помощью cryptcp можно отправлять запросы на сертификат. А также создание/проверка подписи, шифрование/расшифрование.
certutil2 этим не занимается (отправке и запросов на сертификат)

Рекомендую ознакомиться со следующей документацией: ЖТЯИ.00078 01 90 05 ПАК КриптоПро УЦ 2.0. Руководство программиста

Отредактировано пользователем 21 июня 2017 г. 9:11:42(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#3 Оставлено : 21 июня 2017 г. 9:54:15(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: tikhonov Перейти к цитате
С помощью cryptcp можно отправлять запросы на сертификат.
Я ознакомился с документом ЖТЯИ.00067-01 90 20. Судя по нему, данная утилита работает только в пределах той машины, в которой установлен сам УЦ. Собственно, в этом загвоздка - существующее на данный момент наше ПО так и работает через утилиту командной строки (только майкрософтовскую), весь комплекс (служба сертификации и наше прикладное ПО) установлены на одном сервере; но клиент переходит на КриптоПро УЦ 2.0, который будет установлен на отдельном выделенном сервере.
Уточняю свой вопрос - существует ли возможность при помощи утилит командной строки (cryptcp, Certutil2 или еще каких-либо) выполнять операции с сертификатами в пределах ЛВС - когда утилита и УЦ расположены физически на разных компьютерах.

Отредактировано пользователем 21 июня 2017 г. 9:55:25(UTC)  | Причина: Правка орфографии

Offline Захар Тихонов  
#4 Оставлено : 21 июня 2017 г. 10:35:08(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,176
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Можно с помощью cryptcp отправлять запросы на сертификат с любого ПК (у которого есть доступ к ЦР).
Для ваших целей, скорее всего, подойдет использовании методов ИВП описанных тут: ЖТЯИ.00078 01 90 05 ПАК КриптоПро УЦ 2.0. Руководство программиста

Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#5 Оставлено : 21 июня 2017 г. 11:38:06(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: tikhonov Перейти к цитате
Можно с помощью cryptcp отправлять запросы на сертификат с любого ПК (у которого есть доступ к ЦР).

Подскажите пожалуйста пример какой-нибудь команды, в которой указывается имя удаленного сервера ЦР? В документации не нашел ((

Цитата:
Для ваших целей, скорее всего, подойдет использовании методов ИВП описанных тут: ЖТЯИ.00078 01 90 05 ПАК КриптоПро УЦ 2.0. Руководство программиста
Я вижу примеры работы с API на VB.NET - это понятно. Тогда надо писать собственный сервис-шлюз, такой путь ясен. Хочу удостоверится, что иного варианта автоматизации - использовать уже существующие утилиты командной строки - нет.

Отредактировано пользователем 21 июня 2017 г. 11:39:20(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#6 Оставлено : 21 июня 2017 г. 11:47:00(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,176
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: vadjunik Перейти к цитате
Автор: tikhonov Перейти к цитате
Можно с помощью cryptcp отправлять запросы на сертификат с любого ПК (у которого есть доступ к ЦР).

Подскажите пожалуйста пример какой-нибудь команды, в которой указывается имя удаленного сервера ЦР? В документации не нашел ((


На УЦ 1.5 также можно было делать, только команда чуть другая.
Цитата:
cryptcp.exe -creatcert -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider" -silent -rdn "CN=user_21062017" -cont "\\.\REGISTRY\user_21062017" -cpca20 'https://dnsnamera/ui' -token "логин пользователя" -tpassword "пароль пользователя" -tmpl User(это короткое имя шаблона)

Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#7 Оставлено : 21 июня 2017 г. 13:07:40(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Ааа... вот в чем дело, я смотрел доку ЖТЯИ.00067-01 90 20 - "КриптоПро УЦ. Утилита автономного формирования и использования ключей
Пользователя УЦ", там тож речь о cryptcp.exe. А нужно было ЖТЯИ.00087-01 93 01. "КриптоПро CSP. Приложение командной строки".

Я правильно понимаю, что речь идет о физически одном и том же приложении? Просто с разными контекстами (параметрами и целью) использования?

Offline Захар Тихонов  
#8 Оставлено : 21 июня 2017 г. 13:12:50(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,176
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Да, верно.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
vadjunik оставлено 21.06.2017(UTC)
Offline vadjunik  
#9 Оставлено : 9 августа 2017 г. 15:21:19(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Приветствую!

Вот только дошли руки до реализации. Задача отослать файл с запросом на сертификат УЦ 2.0 и получить у него ответ (сам сертификат). Пока есть проблема со связью с сервером УЦ, может что-то там не так настроено?
Согласно доке ЖТЯИ.00087-01 93 01 "Приложение командной строки для подписи и шифрования файлов":

Извлечение информации о настройках параметров учетных записей пользователя на УЦ
-listDN [{-CA <адрес ЦС>}|{-CPCA <адрес ЦС>} |{-CPCA20 <адрес ЦС>}]
-CPCA адрес УЦ -CPCA20 адрес УЦ folder
указать адрес веб интерфейса КриптоПро УЦ;
вида \"http://xxx.yyy/zzz\" или \"https://xxx.yyy/zzz\";
указать адрес веб интерфейса КриптоПро УЦ версии 2.0;
вида \"https://xxx.yyy/zzz/{folder}\";
обозначает GUID папки УЦ или путь папки в иерархии папок УЦ, при этом разделителем имен папок в пути является символ ‘|’


пытаюсь, для начала, проверить наличие корректной связи клиентской машины с севером. Вот такой командой:

Код:
cryptcp.x64.exe -listDN -cpca20 "https://myCAserver/ca"


Получаю следующее:

Код:
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2017.
Утилита командной строки для подписи и шифрования файлов.
Retrieve url error.
Address:https://myCAserver/api/ca/userattr
HttpStatus:0
Data:
Неизвестная ошибка.
Users.cpp:288: 0x2F8F
[ErrorCode: 0x00002f8f]


URL стал другим, ну и в принципе, явно что-то пошло не так.
Все службы на сервере запущены, может что-то там не настроено? Вопрос - что и куда копать?

Обновил утилиту, у вас на сайте указано, что она 5.0.10804, однако в свойствах приложения попрежнему указано 5.0.10802.0, ну и она байт в байт та же что у меня и была, только время создания разное. Изменений в работе нет.
Offline Захар Тихонов  
#10 Оставлено : 10 августа 2017 г. 15:31:10(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,176
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: vadjunik Перейти к цитате
Приветствую!

Вот только дошли руки до реализации. Задача отослать файл с запросом на сертификат УЦ 2.0 и получить у него ответ (сам сертификат). Пока есть проблема со связью с сервером УЦ, может что-то там не так настроено?
Согласно доке ЖТЯИ.00087-01 93 01 "Приложение командной строки для подписи и шифрования файлов":

Извлечение информации о настройках параметров учетных записей пользователя на УЦ
-listDN [{-CA <адрес ЦС>}|{-CPCA <адрес ЦС>} |{-CPCA20 <адрес ЦС>}]
-CPCA адрес УЦ -CPCA20 адрес УЦ folder
указать адрес веб интерфейса КриптоПро УЦ;
вида \"http://xxx.yyy/zzz\" или \"https://xxx.yyy/zzz\";
указать адрес веб интерфейса КриптоПро УЦ версии 2.0;
вида \"https://xxx.yyy/zzz/{folder}\";
обозначает GUID папки УЦ или путь папки в иерархии папок УЦ, при этом разделителем имен папок в пути является символ ‘|’


пытаюсь, для начала, проверить наличие корректной связи клиентской машины с севером. Вот такой командой:

Код:
cryptcp.x64.exe -listDN -cpca20 "https://myCAserver/ca"


Получаю следующее:

Код:
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2017.
Утилита командной строки для подписи и шифрования файлов.
Retrieve url error.
Address:https://myCAserver/api/ca/userattr
HttpStatus:0
Data:
Неизвестная ошибка.
Users.cpp:288: 0x2F8F
[ErrorCode: 0x00002f8f]


URL стал другим, ну и в принципе, явно что-то пошло не так.
Все службы на сервере запущены, может что-то там не настроено? Вопрос - что и куда копать?

Обновил утилиту, у вас на сайте указано, что она 5.0.10804, однако в свойствах приложения попрежнему указано 5.0.10802.0, ну и она байт в байт та же что у меня и была, только время создания разное. Изменений в работе нет.

Здравствуйте.

1. Вы не установили корневой сертификат. Эта ошибка нам об этом говорит.
2. Указывая -СА попадем на тестовый УЦ 1.5 (изменения войдут в следующей сборке cryptcp)
Пример:
Цитата:
cryptcp.x64.exe -listDN -CA "https://cryptopro.ru/ca"

Если будете указывать адрес ЦР, то требуется указать адрес УЦ вида \"https://xxx.yyy/zzz/{folder}\"; folder обозначает GUID папки УЦ или путь папки в иерархии папок УЦ, при этом разделителем имен папок в пути является символ ‘|’
Пример:
Цитата:
cryptcp.x64.exe -listDN -CPCA20 "https://testca2.cryptopro.ru/ui/8eb5f2fb-b5d3-e411-80bb-00155d454d12"

Отредактировано пользователем 15 августа 2017 г. 9:01:54(UTC)  | Причина: Изменение работы команды -СА

Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.