logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Находится на странице регистрации.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline andragen  
#1 Оставлено : 21 марта 2018 г. 9:51:01(UTC)
andragen

Статус: Участник

Группы: Участники
Зарегистрирован: 21.03.2018(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Есть ли инструменты которые бы позволили скриптом пройтись по папкам с файлами (header.key masks2.key masks.key name.key primary2.key primary.key) и узнать срок окончания сертификата?
Offline Андрей Писарев  
#2 Оставлено : 21 марта 2018 г. 10:02:51(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,643
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 980 раз в 792 постах
Здравствуйте.

Сертификат может отсутствовать в контейнере.

Попробуйте такие варианты:
Linux
Цитата:
/opt/cprocsp/bin/amd64/certmgr -list -store uMy

Пример вывода:
Цитата:
4-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=zzz
Serial : 0x1200248E0CB45DB1D000CF3CB0000000248E0C
SHA1 Hash : 0xe5de79c20710edee5bfe71938fde14d2e7f2bfad
SubjKeyID : 9a228fda58f5032f2918d4221921de0741dd4be3
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 09/01/2018 10:50:32 UTC
Not valid after : 09/04/2018 11:00:32 UTC
PrivateKey Link : Yes
Container : FLASH\\le-b5336.000\A1CB


Windows:
Цитата:

"C:\Program Files (x86)\Crypto Pro\CSP\certmgr.exe" -list -store uMy



Offline andragen  
#3 Оставлено : 21 марта 2018 г. 11:52:01(UTC)
andragen

Статус: Участник

Группы: Участники
Зарегистрирован: 21.03.2018(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Цитата:
certutil -store -user my

дал мне список сертификатов с флешки, и вреди информации есть строка с NotAfter: (в нем срок действия сертификата)


Вопрос
Есть ли подход при котором не нужно было держать папку с ключами (header.key masks2.key masks.key name.key primary2.key primary.key) на флешке а можно было держать их в любой папке на сервере и обращаться к ним чтоб проверить срок действия.
Offline Андрей Писарев  
#4 Оставлено : 21 марта 2018 г. 11:55:31(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,643
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 980 раз в 792 постах
Автор: andragen Перейти к цитате
Цитата:
certutil -store -user my

дал мне список сертификатов с флешки, и вреди информации есть строка с NotAfter: (в нем срок действия сертификата)


Вопрос
Есть ли подход при котором не нужно было держать папку с ключами (header.key masks2.key masks.key name.key primary2.key primary.key) на флешке а можно было держать их в любой папке на сервере и обращаться к ним чтоб проверить срок действия.


Папки с ключами не нужны.
certutil выводит список установленных сертификатов.

Опишите более детально, что требуется реализовать?
Можно через ActiveX (из своей утилиты\скрипта) подключаться к CAPICOM\CADESCOM - и получать эту же информацию из Личного хранилища.
Offline andragen  
#5 Оставлено : 21 марта 2018 г. 12:19:40(UTC)
andragen

Статус: Участник

Группы: Участники
Зарегистрирован: 21.03.2018(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Задача на сервере линукс будет папка внутри нее много папок вида
username.000 (в нем файлы header.key masks2.key masks.key name.key primary2.key primary.key)
Нужно раз в сутки проверять не закончился ли у кого срок действия сертификата.
Offline Андрей Писарев  
#6 Оставлено : 21 марта 2018 г. 12:26:01(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,643
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 980 раз в 792 постах
Автор: andragen Перейти к цитате
Задача на сервере линукс будет папка внутри нее много папок вида
username.000 (в нем файлы header.key masks2.key masks.key name.key primary2.key primary.key)
Нужно раз в сутки проверять не закончился ли у кого срок действия сертификата.


Каждая папка - это контейнер (состоит из файлов *.key).

Перечисление доступных контейнеров:
Код:

 /opt/cprocsp/bin/amd64/csptestf -keys -enum -verifyc -fqcn



Из этих контейнеров - необходимо установить сертификаты:
Код:

 /opt/cprocsp/bin/amd64/csptestf -absorb -certs


Посмотреть на список установленных сертификатов:
Код:

 /opt/cprocsp/bin/amd64/certmgr -list -store uMy 

Offline andragen  
#7 Оставлено : 21 марта 2018 г. 12:30:54(UTC)
andragen

Статус: Участник

Группы: Участники
Зарегистрирован: 21.03.2018(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
1) Можно ли без установки сертификатов узнать дату окончания действия?
2) Если линукс нету никаких носителей можно ли с папки (например /home/user1/) установить сертификаты? (если нельзя без установки)

Отредактировано пользователем 21 марта 2018 г. 12:35:46(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#8 Оставлено : 21 марта 2018 г. 12:55:37(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,643
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 980 раз в 792 постах
Такой вариант:

Перечислить контейнеры:
Код:

/opt/cprocsp/bin/amd64/csptestf -keys -enum -verifyc -fqcn


По каждому контейнеру:
Код:

/opt/cprocsp/bin/amd64/csptestf -keyset -cont '\\.\HDIMAGE\0c1ba64b-17fd-c61e-f92f-e8de15d8e53d'


CSP (Type:80) v4.0.9014 KC1 Release Ver:4.0.9842 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 28198643
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "0c1ba64b-17fd-c61e-f92f-e8de15d8e53d"
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x1b107d3
uec key is not available.
Keys in container:
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 20.06.2019 05:51:33 (UTC)
Total: SYS: 0,000 sec USR: 0,030 sec UTC: 0,040 sec
[ErrorCode: 0x00000000]

thanks 1 пользователь поблагодарил Андрей Писарев за этот пост.
andragen оставлено 22.03.2018(UTC)
Offline Андрей Писарев  
#9 Оставлено : 21 марта 2018 г. 12:59:40(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,643
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 980 раз в 792 постах
Автор: andragen Перейти к цитате

Нужно раз в сутки проверять не закончился ли у кого срок действия сертификата.


а) При добавлении на сервер нового контейнера с сертификатом - запомнить срок его действия в своей ИС (соответственно, там и мониторить периоды\рассылать уведомления и т.п.).
б) Либо перечислять каждый раз из хранилища или из контейнеров, анализировать вывод утилит...

Далее, что предполагается делать при выявлении истекающих\просроченных?

Offline Андрей Писарев  
#10 Оставлено : 21 марта 2018 г. 13:02:45(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,643
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 980 раз в 792 постах
Автор: andragen Перейти к цитате

2) Если линукс нету никаких носителей можно ли с папки (например /home/user1/) установить сертификаты? (если нельзя без установки)


Папки с ключами должны быть в:
Цитата:
/var/opt/cprocsp/keys/пользователь/


Offline andragen  
#11 Оставлено : 21 марта 2018 г. 14:55:05(UTC)
andragen

Статус: Участник

Группы: Участники
Зарегистрирован: 21.03.2018(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
значение в OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 20.12.2018 19:42:15 (UTC)
можно его считать датой окончания?
Прост в Windows я вижу дату окончания сертификата немного другую.

Отредактировано пользователем 22 марта 2018 г. 8:53:53(UTC)  | Причина: Не указана

Offline andragen  
#12 Оставлено : 26 марта 2018 г. 11:38:51(UTC)
andragen

Статус: Участник

Группы: Участники
Зарегистрирован: 21.03.2018(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
UP
Offline Андрей Писарев  
#13 Оставлено : 26 марта 2018 г. 13:40:29(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,643
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 980 раз в 792 постах
Автор: andragen Перейти к цитате
значение в OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 20.12.2018 19:42:15 (UTC)
можно его считать датой окончания?
Прост в Windows я вижу дату окончания сертификата немного другую.


Сертификат может быть:
а) в хранилище
б) в контейнере
в) а) + б)

Был предложен способ получения информации по варианту а).
Если сертификата нет в контейнере - то можно посмотреть на срок действия закрытого ключа.

Пробовали тестировать сертификат средствами КриптоПРО CSP\Сервис\Протестировать\По сертификату?
Что отображается там по этим датам?
Offline andragen  
#14 Оставлено : 26 марта 2018 г. 13:47:58(UTC)
andragen

Статус: Участник

Группы: Участники
Зарегистрирован: 21.03.2018(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Вариант а) Не очень удачный потому что открытый ключ редко совпадает с датой закрытого ключа. А получить дату окончания открытого ключа можно только после установки его что нам не очень подходить (нам хочется на сервере где установлен только крипто про линукс, дать на проперку папку с файлами)
Offline Андрей Писарев  
#15 Оставлено : 26 марта 2018 г. 13:52:32(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,643
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 980 раз в 792 постах
Не рассматривали вариант написания скрипта для чтения сертификатов?
Offline andragen  
#16 Оставлено : 26 марта 2018 г. 13:53:36(UTC)
andragen

Статус: Участник

Группы: Участники
Зарегистрирован: 21.03.2018(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Что будет делать скрипт? Установить сертификат прочитать и удалить?
Offline Андрей Писарев  
#17 Оставлено : 26 марта 2018 г. 14:28:39(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,643
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 980 раз в 792 постах
Автор: andragen Перейти к цитате
Вариант а) Не очень удачный потому что открытый ключ редко совпадает с датой закрытого ключа. А получить дату окончания открытого ключа можно только после установки его что нам не очень подходить (нам хочется на сервере где установлен только крипто про линукс, дать на проперку папку с файлами)


OpenSSL умеет также выводить информацию о сроке действия.

Код:

openssl  x509 -inform der -in /media/andrey/Acer/tmp/1.cer -text



Snimok ehkrana ot 2018-03-26 18-27-27.png (198kb) загружен 23 раз(а).


Offline andragen  
#18 Оставлено : 26 марта 2018 г. 14:30:56(UTC)
andragen

Статус: Участник

Группы: Участники
Зарегистрирован: 21.03.2018(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Вариант кстати.
Но сперва нужно получить *.cer c (header.key masks2.key masks.key name.key primary2.key primary.key)
Offline Андрей Писарев  
#19 Оставлено : 26 марта 2018 г. 14:33:31(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,643
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 980 раз в 792 постах
Автор: andragen Перейти к цитате
Вариант кстати.
Но сперва нужно получить *.cer c (header.key masks2.key masks.key name.key primary2.key primary.key)


т.е. сертификатов отдельно нет, они в контейнерах?
Offline Андрей Писарев  
#20 Оставлено : 26 марта 2018 г. 14:37:51(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,643
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 980 раз в 792 постах
Если есть только контейнеры (как написано изначально) - то остается читать из них, как сообщал ранее
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.