Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline ysk  
#1 Оставлено : 25 июля 2017 г. 15:15:58(UTC)
ysk

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.07.2017(UTC)
Сообщений: 4

Добрый день!

Есть Крипто Про 3.9 для Linux


Больше года работало все нормально, а в последние пару недель начал чудить. Время от времени (чаще всего после перезагрузки) перестает работать, в логах ошибки:

cpcsp: verify_folder rdr_folder_open('xxxx.000') fail
cpcsp: read_keyset code==RDR_ERR_FILE_NOT_FOUND fail
cpcsp: OpenContainer OpenContainer key_carrier_open fail (0x80090019)


При этом ключи всегда лежали в /var/opt/cprocsp/keys/xxxx.skc
Переименование папки в xxxx.000 помогает, но через некоторое время можно словить ту же ошибку, только

cpcsp: verify_folder rdr_folder_open('xxxx.skc') fail


и надо папку обратно переименовывать...
И это не на одном АРМ, а на многих сразу. Повторюсь- больше года все работало с контейнерами в xxxx.skc и только сейчас начало сбоить. АРМы без доступа к интернету, ничего не обновлялось/не устанавливалось/не удалялось (кроме сертификатов). Из всех изменений- подключили АРМы к syslog серверу
Вопрос: где определяется путь к контейнеру и отчего зависит выбор между *.skc и *.000 ? Почему он, вдруг, начал меняться?
Offline Агафьин Сергей  
#2 Оставлено : 26 июля 2017 г. 14:05:59(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: ysk Перейти к цитате
Добрый день!

Есть Крипто Про 3.9 для Linux


Больше года работало все нормально, а в последние пару недель начал чудить. Время от времени (чаще всего после перезагрузки) перестает работать, в логах ошибки:

cpcsp: verify_folder rdr_folder_open('xxxx.000') fail
cpcsp: read_keyset code==RDR_ERR_FILE_NOT_FOUND fail
cpcsp: OpenContainer OpenContainer key_carrier_open fail (0x80090019)


При этом ключи всегда лежали в /var/opt/cprocsp/keys/xxxx.skc
Переименование папки в xxxx.000 помогает, но через некоторое время можно словить ту же ошибку, только

cpcsp: verify_folder rdr_folder_open('xxxx.skc') fail


и надо папку обратно переименовывать...
И это не на одном АРМ, а на многих сразу. Повторюсь- больше года все работало с контейнерами в xxxx.skc и только сейчас начало сбоить. АРМы без доступа к интернету, ничего не обновлялось/не устанавливалось/не удалялось (кроме сертификатов). Из всех изменений- подключили АРМы к syslog серверу
Вопрос: где определяется путь к контейнеру и отчего зависит выбор между *.skc и *.000 ? Почему он, вдруг, начал меняться?


Добрый день.
Подскажите, пожалуйста, есть ли в папке с ключом файл name.key? И если есть, пришлите, пожалуйста, его содержимое (оно не секретное).
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline ysk  
#3 Оставлено : 26 июля 2017 г. 16:04:38(UTC)
ysk

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.07.2017(UTC)
Сообщений: 4

Там что-то не читабельное, вот HEX
name.key
Цитата:
30 06 16 04 32 38 38 38


Я так понимаю, что последние 4 символа это имя контейнера 2888, а лежит оно в папке /var/opt/cprocsp/keys/2888.skc/ (или 2888.000)

Да, посмотрел в других контейнерах, первые 4 символа не меняются, последние 4- имя контейнера, без расширения

Отредактировано пользователем 26 июля 2017 г. 16:08:09(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#4 Оставлено : 27 июля 2017 г. 9:34:32(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: ysk Перейти к цитате
Там что-то не читабельное, вот HEX
name.key
Цитата:
30 06 16 04 32 38 38 38


Я так понимаю, что последние 4 символа это имя контейнера 2888, а лежит оно в папке /var/opt/cprocsp/keys/2888.skc/ (или 2888.000)

Да, посмотрел в других контейнерах, первые 4 символа не меняются, последние 4- имя контейнера, без расширения


Спасибо. Имя корректное. Первые четыре символа - это ASN1-префикс.
Это очень странно. У контейнеров в HDIMAGE имена папок всегда формата name.xxx, где name - усеченное имя контейнера, а xxx 0 - хекс-номер папки (контейнеры аааааа и ааааааb хранятся в папках aaaa.000 и aaaa.001 соответственно).
Насколько мне известно, ни один провайдер, начиная с CSP 2.0, не использовал суффикс .skc.
Пришлите, пожалуйста, на sagafyin@cryptopro.ru, если есть возможность, файл /etc/opt/cprocsp/config64.ini
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline ysk  
#5 Оставлено : 27 июля 2017 г. 11:51:58(UTC)
ysk

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.07.2017(UTC)
Сообщений: 4

Система 32 битная, поэтому отправил /etc/opt/cprocsp/config.ini
Offline Агафьин Сергей  
#6 Оставлено : 27 июля 2017 г. 16:23:13(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Проблему решили.
Для истории. Дело было в ярлыках. После переименования контейнера руками ссылка из ярлыка ломалась и требовала другую папку.
Простое решение: запрет ярлыков.
Для этого в config.ini в секции [Parameters] под TesterPeriod и PKZI_Build нужно добавить:
DisableShortcuts=true
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline ysk  
#7 Оставлено : 27 июля 2017 г. 16:23:59(UTC)
ysk

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.07.2017(UTC)
Сообщений: 4

Проблема решена, спасибо Сергею!


если в /etc/opt/cprocsp/config.ini в секции [Parameters] под TesterPeriod и PKZI_Build добавить:
DisableShortcuts=true
то все начинает работать с любым именем папки контейнера, и с *.000 и *.skc
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.