Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline michurin  
#1 Оставлено : 25 декабря 2017 г. 18:15:46(UTC)
michurin

Статус: Участник

Группы: Участники
Зарегистрирован: 23.05.2017(UTC)
Сообщений: 11

Добрый день.

Установил КриптоПро CSP 5.0 (10874 КС1)
Не могу установить сертификаты из "облачного провайдера".

Запускаю "Инструменты КриптоПро", все настройки по умолчанию.
Сервер авторизации - https://dss.cryptopro.ru/STS/oauth
Сервер DSS - https://dss.cryptopro.ru/SignServer/rest

При нажатии на "Установить сертификаты" с сервера идет ошибка 500
Offline Захар Тихонов  
#2 Оставлено : 26 декабря 2017 г. 8:58:28(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,718
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 484 раз в 461 постах
Здравствуйте.

Были технические работы. Проверьте работу сейчас.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline michurin  
#3 Оставлено : 26 декабря 2017 г. 11:21:08(UTC)
michurin

Статус: Участник

Группы: Участники
Зарегистрирован: 23.05.2017(UTC)
Сообщений: 11

Спасибо, заработало
Offline michurin  
#4 Оставлено : 26 декабря 2017 г. 12:14:50(UTC)
michurin

Статус: Участник

Группы: Участники
Зарегистрирован: 23.05.2017(UTC)
Сообщений: 11

А можно как-то сделать "облачные" контейнеры видимыми из под учетной записи "локальный компьютер"? Т.е. чтобы сертификаты этих контейнеров появились в области "локальный компьютер"?
Offline Захар Тихонов  
#5 Оставлено : 26 декабря 2017 г. 12:23:31(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,718
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 484 раз в 461 постах
Автор: michurin Перейти к цитате
А можно как-то сделать "облачные" контейнеры видимыми из под учетной записи "локальный компьютер"? Т.е. чтобы сертификаты этих контейнеров появились в области "локальный компьютер"?


Расширенные настройки -> хранилище локального компьютера.
Local.PNG (24kb) загружен 133 раз(а).
Техническую поддержку оказываем тут.
Наша база знаний.
Offline michurin  
#6 Оставлено : 26 декабря 2017 г. 12:26:22(UTC)
michurin

Статус: Участник

Группы: Участники
Зарегистрирован: 23.05.2017(UTC)
Сообщений: 11

О, точно. А ведь я видел эту галочку, но как-то не сопоставил.
Еще раз спасибо!
Offline michurin  
#7 Оставлено : 26 декабря 2017 г. 13:01:49(UTC)
michurin

Статус: Участник

Группы: Участники
Зарегистрирован: 23.05.2017(UTC)
Сообщений: 11

У нас приложение работает под IIS. Для подписания XML пытаюсь использовать облачный сертификат, получаю ошибку "Поставщику не удалось выполнить действие, так как запрошено выполнение в автоматическом контексте.".
Пароль на контейнер сохранен.
Offline Русев Андрей  
#8 Оставлено : 8 января 2018 г. 15:41:42(UTC)
Андрей Русев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 720

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 161 раз в 126 постах
Это неестественный способ использования облачного контейнера: для доступа к ключу на DSS нужна аутентификация (помимо пароля на контейнер) - в том числе с подтверждением по SMS, например. Поэтому использовать такие облачные контейнеры в автоматической работе (без взаимодействия с пользователем / с флагом CRYPT_SILENT) просто так не получится.
Официальная техподдержка. Официальная база знаний.
Offline michurin  
#9 Оставлено : 15 января 2018 г. 13:34:52(UTC)
michurin

Статус: Участник

Группы: Участники
Зарегистрирован: 23.05.2017(UTC)
Сообщений: 11

Ну дело в том, что мы этот флаг (CRYPT_SILENT) сами то не выставляем. И не имеем ничего против того чтобы пришел смс с подтверждением на использование контейнера.
Представим себе ситуацию: был сервер, закрытый ключ лежал в реестре или на флешке воткнутой в сервер. Все работало.
Теперь хотим заменить этот ключ на лежащий в облаке. И получается, что не можем.
Или есть какой-то способ?
Offline Агафьин Сергей  
#10 Оставлено : 15 января 2018 г. 14:36:32(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 616
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 115 раз в 101 постах
Автор: michurin Перейти к цитате
Ну дело в том, что мы этот флаг (CRYPT_SILENT) сами то не выставляем. И не имеем ничего против того чтобы пришел смс с подтверждением на использование контейнера.
Представим себе ситуацию: был сервер, закрытый ключ лежал в реестре или на флешке воткнутой в сервер. Все работало.
Теперь хотим заменить этот ключ на лежащий в облаке. И получается, что не можем.
Или есть какой-то способ?


Добрый день.
Флаг выставляете не вы, но с какой-то целью он выставлен. Показывать в этом контексте окна и просить взаимодействие с пользователем - прямое нарушение MSDN.
Тем не менее, в автоматическом режиме работать с облачными контейнерами можно. Вы можете "запомнить" логин/пароль для облачного сервиса в облачном контейнере, тогда они будут автоматически предъявляться при открытии контейнера. Если у вас однофакторая аутентификация на DSS без подтверждения подписи, то это идеальный вариант.

Также, конечно, мы будем рады любому конструктивному предложению по улучшению работы этого провайдера.

Отредактировано пользователем 15 января 2018 г. 14:38:10(UTC)  | Причина: Не указана

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline michurin  
#11 Оставлено : 15 января 2018 г. 15:26:49(UTC)
michurin

Статус: Участник

Группы: Участники
Зарегистрирован: 23.05.2017(UTC)
Сообщений: 11

Добрый день.

Не совсем понял, что в итоге делать. Вы предлагаете искать где и почему выставляется этот флаг? Т.е. пока он выставлен, в любом случае будет идти ошибка "Поставщику не удалось выполнить действие, так как запрошено выполнение в автоматическом контексте."?
Offline Агафьин Сергей  
#12 Оставлено : 15 января 2018 г. 15:40:39(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 616
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 115 раз в 101 постах
Автор: michurin Перейти к цитате
Добрый день.

Не совсем понял, что в итоге делать. Вы предлагаете искать где и почему выставляется этот флаг? Т.е. пока он выставлен, в любом случае будет идти ошибка "Поставщику не удалось выполнить действие, так как запрошено выполнение в автоматическом контексте."?


Если вы сами писали код, то речь о флаге, передаваемом в CryptAcquireContext. Если нет, то то приложение, которое вы вызываете (куда подгружается наш CSP), вызывает с этим флагом. Пока он установлен, действительно, будет появляться данная ошибка.

Пока что я предлагаю запомнить имя пользователя и пароль.
В текущей выложенной сборке это можно сделать только через csptest:
Код:
csptest.exe -cloud -register -auth https://dss.cryptopro.ru/STS/oauth -rest http://dss.cryptopro.ru/SignServer/rest -user myusername -pass mypassword -cert "CN=my_cn_of_cert"

Отредактировано пользователем 15 января 2018 г. 15:41:29(UTC)  | Причина: Не указана

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline michurin  
#13 Оставлено : 15 января 2018 г. 18:10:32(UTC)
michurin

Статус: Участник

Группы: Участники
Зарегистрирован: 23.05.2017(UTC)
Сообщений: 11

Мы пользуемся КриптоПро.NET
Поэтому вызов CryptAcquireContext запрятан где-то глубоко внутри. Судя по тому что мы видели, у вас там CRYPT_SILENT тоже не выставляется.
Выставляется только CRYPT_MACHINE_KEYSET.
Offline ramsez  
#14 Оставлено : 25 января 2018 г. 14:43:58(UTC)
ramsez

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.10.2013(UTC)
Сообщений: 5
Российская Федерация
Откуда: Санкт-Петербург

Добрый день!

Можно ли использовать КриптоПро CSP 5.0 с облачным сервисом DSS для установления ГОСТ-TLS соединения с целевым веб-сервером, хранящим и обрабатывающим персональные данные в ИСПДн? Каким образом в данном случае будет осуществляться шифрование канала между целевым веб-сервером и и клиентом, если сертификат на покидает облачное хранилище?
Offline Максим Коллегин  
#15 Оставлено : 25 января 2018 г. 14:52:33(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,024
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 593 раз в 533 постах
Можно.
Шифрование канала будет выполняться аналогично обычному CSP c единственной разницей в подписи сообщения certificate verify - она будет выполняться на сервере DSS и передаваться по защищенному каналу с DSS.
Знания в базе знаний, поддержка в техподдержке
Offline vdp1955  
#16 Оставлено : 14 мая 2018 г. 17:14:18(UTC)
vdp1955

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.10.2013(UTC)
Сообщений: 93
Российская Федерация
Откуда: Москва

Добрый день.

При попытке проделать то же, что и автор топика, получаю такую ошибку:

Snimok ehkrana ot 2018-05-14 16-57-57.png (17kb) загружен 25 раз(а).

На самом сервере авторизуюсь и могу подписать файл.
Offline Агафьин Сергей  
#17 Оставлено : 15 мая 2018 г. 14:50:50(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 616
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 115 раз в 101 постах
Автор: vdp1955 Перейти к цитате
Добрый день.

При попытке проделать то же, что и автор топика, получаю такую ошибку:

Snimok ehkrana ot 2018-05-14 16-57-57.png (17kb) загружен 25 раз(а).

На самом сервере авторизуюсь и могу подписать файл.


Добрый день.
У вас сборка "Бахус"?
Сервера точно такие?
https://dss.cryptopro.ru/STS/oauth / https://dss.cryptopro.ru/SignServer/rest

Ошибку получаете откуда? Из Инструментов КриптоПро?
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline vdp1955  
#18 Оставлено : 15 мая 2018 г. 15:34:56(UTC)
vdp1955

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.10.2013(UTC)
Сообщений: 93
Российская Федерация
Откуда: Москва

Ошибка вылезает из КриптоПро Tools при попытке сохранить сертификат из облачного провайдера. Адреса серверов не менял - все по умолчанию. Была установлена одна предыдущих сборок, сейчас заменил на последнюю (5.0.11057 КС1), но ничего не изменилось. Да, все это на Windows 7.
Offline Агафьин Сергей  
#19 Оставлено : 15 мая 2018 г. 17:20:30(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 616
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 115 раз в 101 постах
Автор: vdp1955 Перейти к цитате
Ошибка вылезает из КриптоПро Tools при попытке сохранить сертификат из облачного провайдера. Адреса серверов не менял - все по умолчанию. Была установлена одна предыдущих сборок, сейчас заменил на последнюю (5.0.11057 КС1), но ничего не изменилось. Да, все это на Windows 7.


Очень странно.
А попробуйте, пожалуйста, открыть в IE следующий адрес:
https://dss.cryptopro.ru...icense_permissions=65535
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline vdp1955  
#20 Оставлено : 15 мая 2018 г. 17:38:49(UTC)
vdp1955

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.10.2013(UTC)
Сообщений: 93
Российская Федерация
Откуда: Москва

В IE не открывается. В Хроме и Мозилле все нормально. Если у вас принудительно вызывается IE, то, наверное, в этом проблема.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.