Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Евгений Р  
#1 Оставлено : 30 марта 2017 г. 15:37:58(UTC)
Евгений Р

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.03.2017(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Добрый день!
Чтобы не плодить рекламу реальные данные скрыл звёздочками
Делаю обёртку для ЭДО.
Для отправки документа его нужно подписать закрытым ключём.
Установил ключ:
Цитата:
$ /opt/cprocsp/bin/amd64/certmgr -inst -file ООО\ «*\ *».cer Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores

Install:
=============================================================================
1-------
Issuer : OGRN=0000000000000, INN=000000000000, STREET=* *, E=ca@*.ru, C=RU, S=* * *, L=*, O=ЗАО ПФ * *, OU=Удостоверяющий центр, CN=UC Test (Qualified)
Subject : INN=009657739933, E=e.*@*.ru, C=RU, S=01 Республика Адыгея (Адыгея), L=w, O=ООО «* *», CN=ООО «* *», UnstructuredName=9657739933-667001001-011111111111, T=1, SN=*, G=* *, STREET=w, OGRN=0000000000000, SNILS=11111111111
Serial : 0x4483331400000004A4B2
SHA1 Hash : 0xad5209eb96110c6c428d82eaf095e4fe102e1407
SubjKeyID : 4fbc53ff7ff799efc9ebedc690d07a0c7d83eec5
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 27/03/2017 11:38:00 UTC
Not valid after : 27/03/2018 11:48:00 UTC
PrivateKey Link : No
RFC #822 Name : e.*@*.ru
CA cert URL : http://cdp.*.ru/certificates/uc-test-63fz.crt
CA cert URL : http://cdp2.*.ru/certificates/uc-test-63fz.crt
CDP : http://cdp.*.ru/cdp/uc-test-63fz.crl
CDP : http://cdp2.*.ru/cdp/uc-test-63fz.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
1.2.643.2.2.34.6
1.3.6.1.5.5.7.3.4
1.2.643.3.7.8.1
1.2.643.3.7.1.1.1
1.2.643.3.7.1
1.2.643.3.7.0.1.12
=============================================================================

[ErrorCode: 0x00000000]

После чего пытаюсь подписать файл в командной строке:
Цитата:
$ /opt/cprocsp/bin/amd64/cryptcp -sign -dn "CN=ООО «* *»" -thumbprint 98385D9AFFD3AA70039F1AE76721C5506A2C70F1 акт.pdf акт.pdf.sign
CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN:11111111111, 0000000000000, w, * *, *, 1, 9657739933-667001001-011111111111, ООО «* *», ООО «* *», w, 01 Республика Адыгея (Адыгея), RU, e.*@*.ru, 009657739933
Valid from 27.03.2017 11:38:00 to 27.03.2018 11:48:00

Certificate chain is not checked for this certificate:
RDN:11111111111, 0000000000000, w, * *, *, 1, 9657739933-667001001-011111111111, ООО «* *», ООО «* *», w, 01 Республика Адыгея (Адыгея), RU, e.*@*.ru, 009657739933
Valid from 27.03.2017 11:38:00 to 27.03.2018 11:48:00

The certificate or certificate chain is based on an untrusted root.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?Y

Certificate chains are checked.
Folder './':
акт.pdf... Error: Can not get certificate private key.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:208: 0x20000136
[ErrorCode: 0x20000136]

Появляется вот такая ошибка и никак не могу разобраться с чем она связана.
Подскажите, ЧЯДНТ?
Offline Андрей Емельянов  
#2 Оставлено : 31 марта 2017 г. 14:28:37(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Добрый день.
Вы установили сертификат в хранилище без привязки к закрытому ключу.
Настройте рабочее место по примеру из инструкции из базы знаний:
https://support.cryptopr...-v-srede-ubuntu-1604-lts
Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
Offline Евгений Р  
#3 Оставлено : 31 марта 2017 г. 15:47:26(UTC)
Евгений Р

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.03.2017(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Автор: eav Перейти к цитате
Добрый день.
Вы установили сертификат в хранилище без привязки к закрытому ключу.
Настройте рабочее место по примеру из инструкции из базы знаний:
https://support.cryptopr...-v-srede-ubuntu-1604-lts

Мне не нужен плагин для браузера. Всё должно происходить из консоли.
Сделал полное удаление всех контейнеров командой:
Цитата:
$ /opt/cprocsp/bin/amd64/certmgr -delete -store umy -all

После чего установил заново сертификат:
Цитата:
$ /opt/cprocsp/bin/amd64/certmgr -inst -store root -f /*/*.cer

И попробовал добавить подпись к файлу:
Цитата:
$ /opt/cprocsp/bin/amd64/cryptcp -addsign -dn "INN=009657739933" акт.pdf акт.pdf.sign

Получил такую ошибку:
Цитата:
CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.
Error: No certificate found.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:251: 0x2000012D
[ErrorCode: 0x2000012d]

Так же попробовал сделать так:
Цитата:
$ /opt/cprocsp/bin/amd64/cryptcp -sign -uroot -dn "INN=009657739933" акт.pdf акт.pdf.sign
CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN:11111111111, 0000000000000, w, * *, *, 1, 9657739933-667001001-011111111111, ООО «* *», ООО «* *», w, 01 Республика Адыгея (Адыгея), RU, e.*@*.ru, 009657739933
Valid from 27.03.2017 11:38:00 to 27.03.2018 11:48:00

Certificate chain is not checked for this certificate:
RDN:11111111111, 0000000000000, w, * *, *, 1, 9657739933-667001001-011111111111, ООО «* *», ООО «* *», w, 01 Республика Адыгея (Адыгея), RU, e.*@*.ru, 009657739933
Valid from 27.03.2017 11:38:00 to 27.03.2018 11:48:00

The certificate or certificate chain is based on an untrusted root.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?Y

Certificate chains are checked.
Folder './':
акт.pdf... Error: Can not get certificate private key.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:208: 0x20000136
[ErrorCode: 0x20000136]

И так:
Цитата:
$ /opt/cprocsp/bin/amd64/cryptcp -addsign -uroot -dn "INN=009657739933" акт.pdf акт.pdf.sign
CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN:11111111111, 0000000000000, w, * *, *, 1, 9657739933-667001001-011111111111, ООО «* *», ООО «* *», w, 01 Республика Адыгея (Адыгея), RU, e.*@*.ru, 009657739933
Valid from 27.03.2017 11:38:00 to 27.03.2018 11:48:00

Certificate chain is not checked for this certificate:
RDN:11111111111, 0000000000000, w, * *, *, 1, 9657739933-667001001-011111111111, ООО «* *», ООО «* *», w, 01 Республика Адыгея (Адыгея), RU, e.*@*.ru, 009657739933
Valid from 27.03.2017 11:38:00 to 27.03.2018 11:48:00

The certificate or certificate chain is based on an untrusted root.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?Y

Certificate chains are checked.
Folder './':
акт.pdf... Error: Can not get certificate private key.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:680: 0x20000136
Error: Cannot find the certificate and private key for decryption./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Files.cpp:247: 0x8009200B
[ErrorCode: 0x8009200b]

Отредактировано пользователем 31 марта 2017 г. 16:26:58(UTC)  | Причина: Не указана

Offline Андрей Емельянов  
#4 Оставлено : 31 марта 2017 г. 18:49:35(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Цитата:
Мне не нужен плагин для браузера. Всё должно происходить из консоли.

Про плагин не читайте, в инструкции также описана работа с закрытыми ключами и сертификатами.
В п. "Установка сертификатов" описано каким образом можно установить корневой сертификат и личный сертификат с привязкой к контейнеру.
На каком носителе Ваш ключевой контейнер? Судя по ошибке, контейнер не доступен или сертификат, который хотите использовать при подписи, был установлен без привязки к контейнеру.

Установка корневого сертификата УЦ:
Код:
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file путь_к_файлу_с_сертификатом


Перечисление доступных контейнеров:
Код:
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn


Установка личного сертификата:
Код:
/opt/cprocsp/bin/amd64/certmgr -inst -store umy -file путь_к_файлу_с_сертификатом -cont 'имя_контейнера'


Если в контейнере присутствует сертификат, то для установки личного сертификата можно использовать команды:
Код:
/opt/cprocsp/bin/amd64/certmgr -inst -cont 'имя_контейнера'


Установить все сертификаты в хранилище Личное uMy из доступных контейнеров:
Код:
/opt/cprocsp/bin/amd64/csptestf -absorb -certs


Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
Offline Евгений Р  
#5 Оставлено : 31 марта 2017 г. 18:59:17(UTC)
Евгений Р

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.03.2017(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Автор: eav Перейти к цитате
На каком носителе Ваш ключевой контейнер?

На жёстком диске. А должен быть на переносном, типа флэшки?
Какие-то правила для расположения файлов ключей есть?
Offline Андрей Емельянов  
#6 Оставлено : 3 апреля 2017 г. 13:04:37(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Цитата:
На жёстком диске. А должен быть на переносном, типа флэшки?

Не обязательно. Для хранении ключей в файловой системе ОС Linux используется раздел \\.\HDIMAGE\ , путь такой
Для контейнеров пользователя:
/var/opt/cprocsp/keys/учетная_запись/
Для контейнеров компьютера:
/var/opt/cprocsp/keys/

В необходимую директорию копируете Ваш контейнер, папку ***.000
Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
Offline Евгений Р  
#7 Оставлено : 3 апреля 2017 г. 14:56:35(UTC)
Евгений Р

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.03.2017(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Цитата:
$ /opt/cprocsp/bin/amd64/cryptcp -sign -dn "INN=009657739933" акт.pdf акт.pdf.sign
CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN:11111111111, 0000000000000, w, * *, *, 1, 9657739933-667001001-011111111111, ООО «* *», ООО «* *», w, 01 Республика Адыгея (Адыгея), RU, e.*@*.ru, 009657739933
Valid from 27.03.2017 11:38:00 to 27.03.2018 11:48:00

Certificate chain is not checked for this certificate:
RDN:11111111111, 0000000000000, w, * *, *, 1, 9657739933-667001001-011111111111, ООО «* *», ООО «* *», w, 01 Республика Адыгея (Адыгея), RU, e.*@*.ru, 009657739933
Valid from 27.03.2017 11:38:00 to 27.03.2018 11:48:00

The certificate or certificate chain is based on an untrusted root.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?Y

Certificate chains are checked.
Folder './':
акт.pdf... Signing the data...

Signed message is created.
[ReturnCode: 0]

Вроде бы сработало. А можно ли как-то убрать этот запрос "Do you want to use this certificate"?
Хочу подписывать файлы из Python-скрипта.
Offline Андрей Емельянов  
#8 Оставлено : 4 апреля 2017 г. 11:48:39(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Цитата:
А можно ли как-то убрать этот запрос "Do you want to use this certificate"?

Вы не установили необходимый корневой сертификат, цепочка не строится, поэтому у Вас сообщение
Код:
The certificate or certificate chain is based on an untrusted root.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?Y


В cryptcp есть флаги:
-nochain do not verify certificate chains
-norev do not check certificates for revocation
При желании, можно вызвать справку для команды с ключом -help
Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.