Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.11.2018(UTC) Сообщений: 33 Сказал «Спасибо»: 5 раз Поблагодарили: 4 раз в 1 постах
|
Добрый день. При установке сертификата из .pfx файла в хранилище КриптоПро под Ubuntu 18.04 с помощью команды: Код:/opt/cprocsp/bin/<архитектура процессора>/certmgr -install -pfx -file <путь к .pfx файлу> -pin <пароль к .pfx файлу>
запрашивается пароль для контейнера: Код:Crypto-Pro GOST R 34.10-2012 KC1 CSP requests new authentication properties for container
New password:
Подскажите, пожалуйста, есть ли какой-либо способ указать этот пароль непосредственно в команде установки сертификата? Или вообще не указывать его?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2016(UTC) Сообщений: 126
Сказал(а) «Спасибо»: 8 раз Поблагодарили: 35 раз в 28 постах
|
Пароль указываете параметром -pin. Подробнее о доступных опциях: /opt/cprocsp/bin/<архитектура процессора>/certmgr -install -pfx -h
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.11.2018(UTC) Сообщений: 33 Сказал «Спасибо»: 5 раз Поблагодарили: 4 раз в 1 постах
|
Автор: Aleksandr G* Пароль указываете параметром -pin. Подробнее о доступных опциях: /opt/cprocsp/bin/<архитектура процессора>/certmgr -install -pfx -h
Параметр -pin используется для указания пароля к .pfx файлу. Например: Код:/opt/cprocsp/bin/amd64/certmgr -install -pfx -file cert1.pfx -pin 1
Но после этого появляется сообщение с запросом пароля для контейнера: Код:Crypto-Pro GOST R 34.10-2012 KC1 CSP requests new authentication properties for container
New password:
И здесь уже необходимо указать пароль, который будет запрашиваться в дальнейшем при обращении к данному контейнеру. Вот его как раз хотелось бы задавать в самой команде установки. Или указать, что он не требуется.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.11.2018(UTC) Сообщений: 33 Сказал «Спасибо»: 5 раз Поблагодарили: 4 раз в 1 постах
|
Нашел решение. Необходимо использовать ключ -silent. Полностью команда будет выглядеть следующим образом: Код: /opt/cprocsp/bin/<архитектура процессора>/certmgr -install -pfx -file <путь к .pfx> -pin <пароль к .pfx> -silent
|
4 пользователей поблагодарили vitaaaly за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.11.2018(UTC) Сообщений: 44 Откуда: Рязань Сказал(а) «Спасибо»: 4 раз
|
Здравствуйте Использую следующие команды для генерации котнейнера с закрытым ключом и сертификатом, а также последующего его экспортав pfx Код:
ARGV=$@
certname='meteotravel.ru'
container='ngxtest'
certs_path_server=/etc/certs/gost/cpro/server/
provtype='81' #75, 80, 81
provnameKC1='Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP'
provnameKC2='Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP'
mkdir -p ${certs_path_server}
# Генерация тестового сертефиката сервера:
/opt/cprocsp/bin/amd64/cryptcp -creatcert -exprt -enable-install-root -provtype ${provtype} -provname "${provnameKC1}" -rdn "CN=${certname}" -cont "\\\\.\\HDIMAGE\\${container}" -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv || exit 1
# Смена KC1 на KC2 в имени провайдера, так как nginx работает с провайдером KC2:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont "\\\\.\\HDIMAGE\\${container}" -provtype ${provtype} -provname "${provnameKC2}" || exit 1
# Экспорт сертификата:
/opt/cprocsp/bin/amd64/certmgr -export -cert -dn "CN=${certname}" -dest "${certs_path_server}${certname}.cer" || exit 1
#Экспот контейнера с закрытым ключом
/opt/cprocsp/bin/amd64/certmgr -export -pfx -store uMy -container \\\\.\\HDIMAGE\\ngxtest -dest ngxtest.pfx
# результат работы команды
Exporting:
=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=meteotravel.ru
Serial : 0x1200325512A19C453336969353000000325512
SHA1 Hash : ddc7258f90526a48ed7d05ff68b16b44b15386a6
SubjKeyID : 5759748da19428ac2e2760f89c0b257d8d918c2a
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits)
Not valid before : 12/02/2019 17:17:41 UTC
Not valid after : 12/05/2019 17:27:41 UTC
PrivateKey Link : No
CA cert URL : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
=============================================================================
[ErrorCode: 0x00000000]
Далее открываю pfx в линуксе и вижу что там только сертификат. НО я же делал контейнеры как экспортируемые (-exprt) Далее в докер контейнере запускаю команду /opt/cprocsp/bin/amd64/certmgr -inst -pfx -cont "\\\\.\\HDIMAGE\\ngxtest" -provtype 81 -provname "Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP" -file /etc/certs/server/gost/cpro/ngxtest.pfx и получаю результат Код:
Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=meteotravel.ru
Serial : 0x1200325512A19C453336969353000000325512
SHA1 Hash : ddc7258f90526a48ed7d05ff68b16b44b15386a6
SubjKeyID : 5759748da19428ac2e2760f89c0b257d8d918c2a
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits)
Not valid before : 12/02/2019 17:17:41 UTC
Not valid after : 12/05/2019 17:27:41 UTC
PrivateKey Link : No
CA cert URL : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=meteotravel.ru
Serial : 0x1200325512A19C453336969353000000325512
SHA1 Hash : ddc7258f90526a48ed7d05ff68b16b44b15386a6
SubjKeyID : 5759748da19428ac2e2760f89c0b257d8d918c2a
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits)
Not valid before : 12/02/2019 17:17:41 UTC
Not valid after : 12/05/2019 17:27:41 UTC
PrivateKey Link : No
CA cert URL : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
=============================================================================
[ErrorCode: 0x00000000]
root@300716d5a5ff:/usr/app# ls -l /var/opt/cprocsp/keys/root
total 4
drwx------ 2 root root 4096 Feb 12 18:48 hsm_keys
Т е контейнерс закрытым ключом не испортировался ( должна быть папка ngxtest.000 Подскажите в чем проблема? И еще вопрос: как импортировать закрытый ключ на этапе создания контейнера? Отредактировано пользователем 12 февраля 2019 г. 22:37:05(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,271
Сказал(а) «Спасибо»: 22 раз Поблагодарили: 446 раз в 325 постах
|
При экспорте надо указывать сертификат из хранилища, а не с помощью -container. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.11.2018(UTC) Сообщений: 44 Откуда: Рязань Сказал(а) «Спасибо»: 4 раз
|
Автор: Русев Андрей При экспорте надо указывать сертификат из хранилища, а не с помощью -container. выполнил такую команду /opt/cprocsp/bin/amd64/certmgr -export -pfx -dn "CN=meteotravel.ru" -dest mtravel.pfx -provtype 81 файл проверял закрытый ключ там есть Далее в докер контейнере делаю импорт RUN /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add HDIMAGE store \ && /etc/init.d/cprocsp start \ && /opt/cprocsp/bin/amd64/certmgr -inst -pfx -file /etc/certs/server/gost/cpro/mtravel.pfx --silent \ вот кусок конфига нгинкс отвечающий за работу госта Код:
ssl_client_certificate /etc/certs/ca-bundle.pem;
#ssl_verify_client on;
#Криптопро конфиг
ssl_certificate /etc/certs/server/gost/cpro/meteotravel.ru.pem;
ssl_certificate_key engine:gostengy:meteotravel.ru;
server_name meteotravel.ru;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
ssl_prefer_server_ciphers on;
вот содержимое файла ca-bundle.pem
Код:
-----BEGIN CERTIFICATE-----
MIIDwDCCAqigAwIBAgIJAKTUyyg8icmNMA0GCSqGSIb3DQEBCwUAMHUxCzAJBgNV
BAYTAlJVMRMwEQYDVQQIDApTb21lLVN0YXRlMSEwHwYDVQQKDBhJbnRlcm5ldCBX
aWRnaXRzIFB0eSBMdGQxEDAOBgNVBAMMB2FiYy5jb20xHDAaBgkqhkiG9w0BCQEW
DWFkbWluQGFiYy5jb20wHhcNMTgxMjE3MTQyMzI5WhcNMTkxMjE3MTQyMzI5WjB1
MQswCQYDVQQGEwJSVTETMBEGA1UECAwKU29tZS1TdGF0ZTEhMB8GA1UECgwYSW50
ZXJuZXQgV2lkZ2l0cyBQdHkgTHRkMRAwDgYDVQQDDAdhYmMuY29tMRwwGgYJKoZI
hvcNAQkBFg1hZG1pbkBhYmMuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
CgKCAQEA+VbUfRM4bDfJQqQLip6cWvEXwA3oNtqvzJVWN5M1xN00+0jVyQSTyVXx
L+w+5tvkP7yz1N/4cZy1wxlQ695lF/TrONEbl/2XHlH/AmJULefHpMt9q0y8JB1a
M8YNbvCOevpX62XLmnSUQ+RgSV8bIrbSBpYKQyGHy7c7VyEaoOJrX4/ZTtyvVGsY
1gxi3v0zmS6XFWg6VtxggEkb9ZIC04JAuQo/MhgIFy0ycEWd9Izfs4p6eKqF4mAz
XZ0xY4+fZI95SwY8xvDh2+DWI9CGF1Vz74RYPa3iwH37yjo4etcnK3ENm88HHA7A
IN8qD/1VhHVJOtRMQWSSJDiJhg1D/QIDAQABo1MwUTAdBgNVHQ4EFgQUGX5hWOMV
i8dRPW5dv9Tfp9X5EggwHwYDVR0jBBgwFoAUGX5hWOMVi8dRPW5dv9Tfp9X5Eggw
DwYDVR0TAQH/BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAQEAYyAX8sJQ70k4w2A/
M5V94C0Y8LzF5kvDkapLU3XrPkKkjkhzfoORAnUlVjS1PWYZbc58P90lwWOqlH4c
Q4WDcJN1l0juycDc+rVLzYhIEiWlqVk6zZMLzFe53sfe4yQ7UNT8jqd0VA8rj9Wr
finisJnKdzqV2d/JH5nhEIdON7rZ72NvB0reinLGfH2gGkXc5pYT3mWy23/tNzSq
qseOWaZlVrxMVMsQ+W/uXKR2W7Ub1dSVcbfEKSe+JLm1xvOqvBWn+1IE96YPIJVv
NlNDWr6kXDT04qO/bCVf5XJXm7r4Qvk6BoLo/0CXq6S9H29W+mV+ilybQKsoOpK3
GtgY2A==
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Второй сертификат там гостовый для тестового уц Далее выполняю команду /opt/cprocsp/bin/amd64/curl -vvv --ciphers GOST2012-GOST8912-GOST8912 \ --url https://meteotravel.ru/получаю ошибку Код:* About to connect() to meteotravel.ru port 443 (#0)
* Trying 192.168.1.241... connected
* Connected to meteotravel.ru (192.168.1.241) port 443 (#0)
* Closing connection #0
* Problem with the local SSL certificate
curl: (58) Problem with the local SSL certificate
в логах нгинкса ошибка такая [crit] 313#313: *1 SSL_do_handshake() failed (SSL: error:14125044:SSL routines:ssl3_digest_cached_records:internal error) while SSL handshaking, если зайти в контейнер и посмотреть есть ли там ключи то они есть Код:ls -l /var/opt/cprocsp/keys/root/ngxtest.000/
total 24
-rw-r--r-- 1 root root 977 Feb 13 12:19 header.key
-rw-r--r-- 1 root root 88 Feb 13 12:40 masks.key
-rw-r--r-- 1 root root 88 Feb 13 12:19 masks2.key
-rw-r--r-- 1 root root 11 Feb 13 12:19 name.key
-rw-r--r-- 1 root root 68 Feb 13 12:40 primary.key
-rw-r--r-- 1 root root 68 Feb 13 12:19 primary2.key
openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 185515 $)
/opt/cprocsp/sbin/amd64/cpconfig -defprov -view -provtype 81
Listing Available Providers:
Provider type Provider Name
_____________ _____________________________________
81 Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP
81 Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider
81 Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP
Provider types and provider names have been listed.
вот установленные пакеты криптопро
dpkg --list|grep cprocsp ii cprocsp-cpopenssl-110-64 5.0.11319-5 amd64 OpenSSL-110. Build 11319. ii cprocsp-cpopenssl-110-base 5.0.11319-5 all Openssl-110 common Build 11319. ii cprocsp-cpopenssl-110-devel 5.0.11319-5 all Openssl-110 devel Build 11319. ii cprocsp-cpopenssl-110-gost-64 5.0.11319-5 amd64 OpenSSL-110 gostengy engine. Build 11319. ii cprocsp-curl-64 5.0.11319-5 amd64 CryptoPro Curl shared library and binaris. Build 11319. ii lsb-cprocsp-base 5.0.11319-5 all CryptoPro CSP directories and scripts. Build 11319. ii lsb-cprocsp-ca-certs 5.0.11319-5 all CA certificates. Build 11319. ii lsb-cprocsp-capilite-64 5.0.11319-5 amd64 CryptoAPI lite. Build 11319. ii lsb-cprocsp-kc1-64 5.0.11319-5 amd64 CryptoPro CSP KC1. Build 11319. ii lsb-cprocsp-kc2-64 5.0.11319-5 amd64 CryptoPro CSP KC2. Build 11319. ii lsb-cprocsp-rdr-64 5.0.11319-5 amd64 CryptoPro CSP readers. Build 11319.
вот дамп ссл трафика
sudo ssldump -i enp3s0 -n port 443 New TCP connection #1: 192.168.1.252(50810) <-> 192.168.1.241(443) 1 1 0.0068 (0.0068) C>S Handshake ClientHello Version 3.3 cipher suites TLS_ECDH_ECDSA_EXPORT_WITH_RC4_56_SHA Unknown value 0x81 TLS_DHE_DSS_WITH_AES_128_CBC_SHA TLS_DH_RSA_WITH_AES_128_CBC_SHA compression methods NULL 1 2 0.0118 (0.0049) S>C Alert level fatal value internal_error 1 0.0120 (0.0002) S>C TCP FIN 1 0.0121 (0.0000) C>S TCP FIN
Подскажите в чем проблема? Отредактировано пользователем 13 февраля 2019 г. 16:48:25(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,449 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз Поблагодарили: 416 раз в 308 постах
|
Автор: Riddick-84 Подскажите в чем проблема? Вроде бы у нас получался рабочий стенд в теме по nginx. Fixed. С установкой контейнера вам помогли. Fixed. Если у вас остались проблемы, создавайте отдельные темы по этим проблемам. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.11.2018(UTC) Сообщений: 44 Откуда: Рязань Сказал(а) «Спасибо»: 4 раз
|
Автор: Дмитрий Пичулин Автор: Riddick-84 Подскажите в чем проблема? Вроде бы у нас получался рабочий стенд в теме по nginx. Fixed. С установкой контейнера вам помогли. Fixed. Если у вас остались проблемы, создавайте отдельные темы по этим проблемам. Контейнер запустился но работу только щас его начал проверять. экспортирвоал туда pfx с закрытым ключом. Ок сейчас сделаю новую тему
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close