logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

7 Страницы«<567
Опции
К последнему сообщению К первому непрочитанному
Offline jjjbushjjj  
#121 Оставлено : 19 сентября 2018 г. 21:06:12(UTC)
jjjbushjjj

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.09.2018(UTC)
Сообщений: 7
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Автор: chemtech Перейти к цитате
Для быстрого развертывания и тестирования nginx c OpenSSL 1.1.0 с КриптоПро сделал Dockerfile:

https://github.com/patse...u/blob/master/Dockerfile

Инструкция как запустить находится на главной странице репозитория

https://github.com/patsevanton/GOST-2012-ubuntu

Сейчас при установке сертификатов появляется вот такая ошибка:

Код:

Step 8/10 : RUN ./install-certs.sh
 ---> Running in 7a9ca206fa13
+ ARGV=
+ certname=srvtest
+ container=ngxtest
+ provtype=81
+ provnameKC1='Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP'
+ provnameKC2='Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP'
+ grep CN=srvtest
+ /opt/cprocsp/bin/amd64/certmgr -list
Failed to open store
The requested address is not valid in its context.
+ '[' 1 -eq 0 ']'
+ /opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMCONTAINERS
+ grep ngxtest
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/support/getcspparam.c:28:Can not get CSP param: AcquireContext failed.
Error number 0x2741 (10049).
The requested address is not valid in its context.
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/enum.c:399:Error during CryptAcquireContext.

Error number 0x2741 (10049).
The requested address is not valid in its context.
Program is terminating.
+ '[' 1 -eq 0 ']'
+ /opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn CN=srvtest -cont '\\.\HDIMAGE\ngxtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv
CryptCP 4.0 (c) "Crypto-Pro", 2002-2017.
Command prompt Utility for file signature and encryption.
Creating request...
Press keys...
[]Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:441: 0x8010006E
Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1003: 0x8010006E
[ErrorCode: 0x8010006e]
+ exit 1
ERROR: Service 'gost-2012' failed to build: The command '/bin/sh -c ./install-certs.sh' returned a non-zero code: 1


В чем может быть ошибка?
Можно ли запустить debug?
Надо сюда глянуть https://github.com/taigasys/CryptoProCSP



Вот за это спасибо! Я застрял на моменте когда в контейнере надо запустить криптопрошный демон. Он у меня отказывался стартовать из за того что не мог чтото там смонтировать. Подозреваю что в priveleged режиме он бы заработал, но так запускать его желания небыло.

Еще не понятно где сборка nginx с openssl от криптопро? это то что в скрипте install-nginx.sh. Или теперь его патчить не надо чтобы он работал с openssl который gost умеет?

Отредактировано пользователем 19 сентября 2018 г. 21:34:04(UTC)  | Причина: й

Offline jjjbushjjj  
#122 Оставлено : 19 сентября 2018 г. 21:12:20(UTC)
jjjbushjjj

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.09.2018(UTC)
Сообщений: 7
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: chemtech Перейти к цитате
+ /opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn CN=srvtest -cont '\\.\HDIMAGE\ngxtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv
CryptCP 4.0 (c) "Crypto-Pro", 2002-2017.
Command prompt Utility for file signature and encryption.
Creating request...
Press keys...
[]Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:441: 0x8010006E
Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1003: 0x8010006E
[ErrorCode: 0x8010006e]
+ exit 1

Генерация ключей с помощью биологического датчика случайных чисел возможна только в живой консоли.

При работе в рамках контейнеров, лучший вариант -- использовать заранее подготовленный pfx в качестве контейнера с сертификатом.



Ну это добавит других проблем с безопасностью. Вся идея в том чтобы приватные ключи никуда с сервера где они были сгенерированы не уезжали.
А тут надо гдето хранить эти pfx так чтобы до них никто постороний не добрался. Можно правда docker secret использовать для этого. Но там места не так чтобы много.
Offline Дмитрий Пичулин  
#123 Оставлено : 20 сентября 2018 г. 5:35:12(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 661
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 16 раз
Поблагодарили: 96 раз в 81 постах
Автор: jjjbushjjj Перейти к цитате
Ну это добавит других проблем с безопасностью. Вся идея в том чтобы приватные ключи никуда с сервера где они были сгенерированы не уезжали.
А тут надо гдето хранить эти pfx так чтобы до них никто постороний не добрался. Можно правда docker secret использовать для этого. Но там места не так чтобы много.

Работа в контейнере и безопасность рядом не стоят, так что пропускаем тему безопасности полностью.

Речь про удобство и типичную практику работы с контейнерами, которые получают всю частную информацию извне.

Знания в базе знаний, поддержка в техподдержке
Offline chemtech  
#124 Оставлено : 20 сентября 2018 г. 5:37:50(UTC)
chemtech

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 166

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
Для тестовых целей хотелось бы генерить сертификаты и ключи прямо в докере
Прочитал про выработку внешней гаммы
https://www.cryptopro.ru...ts&m=17079#post17079

Если запускать с добавленными ДСЧ КПИМ::
https://github.com/patse...ob/master/Dockerfile#L25

Код:

Step 11/15 : RUN mkdir -p /tmp/db1/kis_1 && cp /tmp/db1/kis_1 /var/opt/cprocsp/dsrf/db1/kis_1
 ---> Running in 1ecf6fb4e6fb
cp: -r not specified; omitting directory '/tmp/db1/kis_1'
ERROR: Service 'gost-2012' failed to build: The command '/bin/sh -c mkdir -p /tmp/db1/kis_1 && cp /tmp/db1/kis_1 /var/opt/cprocsp/dsrf/db1/kis_1' returned a non-zero code: 1

Вполне возможно нужно запускать генерацию не в стадии build, а в стадии запуска....


Дмитрий Пичулин
Правильно ли я понимаю что мне сначала нужно на Windows сгенерировать ключ и сертификат
например тестовый https://www.cryptopro.ru/certsrv/
экспортировать его в PFX
а затем согласно статье
https://support.cryptopr...bot-s-pfx-v-nix-sistemkh
импортировать его в криптопрошный контейнер внутри docker?
Offline Дмитрий Пичулин  
#125 Оставлено : 20 сентября 2018 г. 5:41:02(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 661
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 16 раз
Поблагодарили: 96 раз в 81 постах
Автор: chemtech Перейти к цитате
Правильно ли я понимаю что мне сначала нужно на Windows сгенерировать ключ и сертификат
например тестовый https://www.cryptopro.ru/certsrv/
экспортировать его в PFX
а затем согласно статье
https://support.cryptopr...bot-s-pfx-v-nix-sistemkh
импортировать его в криптопрошный контейнер внутри docker?

Ходим по кругу? Вот же ваша тема: https://www.cryptopro.ru...aspx?g=posts&t=13354

Знания в базе знаний, поддержка в техподдержке
Offline chemtech  
#126 Оставлено : 20 сентября 2018 г. 5:54:16(UTC)
chemtech

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 166

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
Дмитрий Пичулин

Код:
Step 10/16 : RUN /opt/cprocsp/sbin/amd64/cpconfig -hardware rndm -configure cpsd -add string /db1/kis_1 /var/opt/cprocsp/dsrf/db1/kis_1
 ---> Using cache
 ---> 4f5db342f207
Step 11/16 : RUN /opt/cprocsp/sbin/amd64/cpconfig -hardware rndm -configure cpsd -add string /db2/kis_1 /var/opt/cprocsp/dsrf/db2/kis_1
 ---> Using cache
 ---> 14ebfa55c7be
Step 12/16 : RUN ls /tmp/db1/kis_1
 ---> Running in 52ea3c426da7
ls: cannot access '/tmp/db1/kis_1': No such file or directory


Подскажите пожалуйста по поводу гаммы.
Делаю согласно комментарию.
cpconfig не создает директорию /tmp/db1/kis_1 ?
нужно ли сначала создать /tmp/db1/kis_1, а затем запускать cpconfig -hardware rndm -configure cpsd -add string /db2/kis_1 /var/opt/cprocsp/dsrf/db2/kis_1 ?


Сделал создание директорий
https://github.com/patse...ob/master/Dockerfile#L17

Код:

Step 20/22 : RUN ./install-certs.sh
 ---> Running in 7fa591b32fe0
+ ARGV=
+ certname=srvtest
+ container=ngxtest
+ provtype=81
+ provnameKC1='Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP'
+ provnameKC2='Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP'
+ /opt/cprocsp/bin/amd64/certmgr -list
+ grep CN=srvtest
Failed to open store
The system cannot find the file specified.
+ '[' 1 -eq 0 ']'
+ /opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMCONTAINERS
+ grep ngxtest
+ '[' 1 -eq 0 ']'
+ /opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn CN=srvtest -cont '\\.\HDIMAGE\ngxtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv
CryptCP 4.0 (c) "Crypto-Pro", 2002-2017.
Command prompt Utility for file signature and encryption.
Creating request...
Press keys...
[]Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:441: 0x8010006E
Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1003: 0x8010006E
[ErrorCode: 0x8010006e]
+ exit 1
ERROR: Service 'gost-2012' failed to build: The command '/bin/sh -c ./install-certs.sh' returned a non-zero code: 1

Отредактировано пользователем 20 сентября 2018 г. 6:00:56(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#127 Оставлено : 20 сентября 2018 г. 6:05:12(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 661
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 16 раз
Поблагодарили: 96 раз в 81 постах
Автор: chemtech Перейти к цитате
Подскажите пожалуйста по поводу гаммы.

Мы не поддерживаем использование граблей.

Можно лишь повторить и зафиксировать: генерация ключей внутри контейнера бессмысленна и противоречит концепции контейнеров, используйте pfx.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
7 Страницы«<567
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.