Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
4 Страницы<1234>
/opt/cprocsp/lib/amd64/libtm.so: невозможно открыть разделяемый объектный файл: Нет такого файла или
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline mstdoc  
#21 Оставлено : 25 ноября 2019 г. 18:03:49(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Добрый день.

Прошу помощи.
Проблема такая же.
Лишних пакетов сознательно не ставил...

Код:
./csptest -keyset -newkeyset -cont '\\.\HDIMAGE\testcont' -provtype 75

CSP (Type:75) v4.0.9017 KC2 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 22127811
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KC2 CSP
Container name: "testcont"
Signature key is not available.
Attempting to create a signature key...
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/ctkey.c:2158:GenKey()
Error number 0x80090020 (2148073504).
An internal error occurred.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.010 sec
[ErrorCode: 0x80090020]





Код:
rpm -qa | grep cprocsp

cprocsp-cpopenssl-110-base-5.0.11216-5.noarch
lsb-cprocsp-ca-certs-4.0.9944-5.noarch
lsb-cprocsp-rdr-64-4.0.9944-5.x86_64
cprocsp-curl-64-4.0.9944-5.x86_64
cprocsp-cpopenssl-110-devel-5.0.11216-5.noarch
lsb-cprocsp-kc1-64-4.0.9944-5.x86_64
lsb-cprocsp-kc2-64-4.0.9944-5.x86_64
cprocsp-cpopenssl-110-gost-64-5.0.11216-5.x86_64
lsb-cprocsp-capilite-64-4.0.9944-5.x86_64
cprocsp-stunnel-64-4.0.9944-5.x86_64
lsb-cprocsp-base-4.0.9944-5.noarch
cprocsp-cpopenssl-110-64-5.0.11216-5.x86_64



Код:
./cpconfig -hardware rndm -view | iconv -f cp1251

Nick name: CPSD
Connect name:
Rndm name: КПИМ
Rndm level: 3

Nick name: BIO_TUI
Connect name:
Rndm name: Биологический текстовый
Rndm level: 5
Вверх
Offline Санчир Момолдаев  
#22 Оставлено : 25 ноября 2019 г. 20:50:07(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,040
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 226 раз в 213 постах
Добрый день.
для генерации ключевой пары в КС2 надо либо использовать аппаратный ДСЧ, либо внешнюю гамму статья в БЗ
Техническую поддержку оказываем тут
Наша база знаний
Вверх
Offline mstdoc  
#23 Оставлено : 25 ноября 2019 г. 21:58:55(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Автор: Санчир Момолдаев Перейти к цитате
Добрый день.
для генерации ключевой пары в КС2 надо либо использовать аппаратный ДСЧ, либо внешнюю гамму статья в БЗ


Спасибо за ответ.
При выполнении команды из статьи БЗ получаю некую ошибку:


Код:
./genkpim 2 00000001 /var/opt/cprocsp/dsrf/

Generating KPIM for 2 signature keys into /var/opt/cprocsp/dsrf//
write KPIM info OK
Error SetProvParam(PP_USE_HARDWARE_RNG):
Вверх
Offline Санчир Момолдаев  
#24 Оставлено : 25 ноября 2019 г. 23:19:26(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,040
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 226 раз в 213 постах
genkpim надо выполнять там где есть ДСЧ. или аппаратный или биологический. можно или на windows или на *nix

прилагаю тестовую гамму kis_1.rar (352kb) загружен 2 раз(а). разархивируйте вложение. и скопируйте файл kis_1
в две директории
/var/opt/cprocsp/dsrf/db1/
и
/var/opt/cprocsp/dsrf/db2/

и попробуйте сгенерировать ключи
Техническую поддержку оказываем тут
Наша база знаний
Вверх
Offline mstdoc  
#25 Оставлено : 26 ноября 2019 г. 15:32:59(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Спасибо за помощь.
К сожалению, результат не поменялся...

Код:
./csptest -keyset -newkeyset -cont '\\.\HDIMAGE\testcont' -provtype 81


CSP (Type:81) v4.0.9017 KC2 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 19550547
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP
Container name: "testcont"
Signature key is not available.
Attempting to create a signature key...
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/ctkey.c:2158:GenKey()
Error number 0x80090020 (2148073504).
An internal error occurred.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.010 sec
[ErrorCode: 0x80090020]


На данном сервере работает nginx с сертификатами по ГОСТу и tomcat с подписью\проверкой.
Может что-то из этого может между собой конфликтовать?

Насколько я понимаю, биологический ДСЧ у нас есть:

Код:
./cpconfig -hardware rndm -view | iconv -f cp1251

Nick name: CPSD
Connect name:
Rndm name: КПИМ
Rndm level: 3

Nick name: BIO_TUI
Connect name:
Rndm name: Биологический текстовый
Rndm level: 5

Отредактировано пользователем 26 ноября 2019 г. 15:35:56(UTC)  | Причина: Не указана
Вверх
Offline Андрей Русев  
#26 Оставлено : 26 ноября 2019 г. 15:46:12(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,272

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 446 раз в 325 постах
Вы поставили лишний пакет lsb-cprocsp-kc2 и, скорее всего, лишние пакеты cpopenssl. Кроме того вы используете устаревшую версию КриптоПро CSP, поэтому нельзя просто удалить пакет kc2: надо удалить все и поставить заново без лишних. И надо использовать последнюю сертифицированную сборку - 2018-11-23 КриптоПро CSP 4.0.9963 Abel.
Официальная техподдержка. Официальная база знаний.
Вверх
Offline mstdoc  
#27 Оставлено : 26 ноября 2019 г. 16:25:50(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Цитата:
Вы поставили лишний пакет lsb-cprocsp-kc2 и, скорее всего, лишние пакеты cpopenssl. Кроме того вы используете устаревшую версию КриптоПро CSP, поэтому нельзя просто удалить пакет kc2: надо удалить все и поставить заново без лишних. И надо использовать последнюю сертифицированную сборку - 2018-11-23 КриптоПро CSP 4.0.9963 Abel.



Но, как написано в инструкции по сборке nginx с https по ГОСТу:

Цитата:
Требования к устанавливаемому ПО

Для корректной работы HTTPS с использованием сервера nginx необходима установка и настройка ПО в соответствии с нижеперечисленными пунктами:
LSB
curl (либо только библиотеки libcurl)
КриптоПро CSP в реализации KC2
gost_capi
OpenSSL версии не менее 1.0.1f (поддерживаем TLS только версии 1.0)
nginx версии не менее 1.7.9


взято отсюда:
https://www.cryptopro.ru....aspx?g=posts&t=8733

Правильно ли я понимаю, что для генерации ключей нужно чтобы на сервере не был установлен пакет для КС2?
Означает ли это что на linux-сервере ключи можно сгенерировать только по КС1?
Вверх
Offline Андрей Русев  
#28 Оставлено : 26 ноября 2019 г. 19:15:03(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,272

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 446 раз в 325 постах
Если уж пользуетесь инструкцией, то пользуйтесь ей целиком. Обратите внимание, что сертификаты там выпускаются провайдером KC1, совсем не так как в ваших командах:
Код:
/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 KC1 CSP" -rdn 'CN=www.aaa.ru' -cont '\\.\HDIMAGE\test_container' -certusage 1.3.6.1.5.5.7.3.1  -ku -du -ex -ca http://cryptopro.ru/certsrv

Плюс в шапке указанной вами темы есть ссылка на скрипты для автоматизации настройки (под ссылкой UPD2): https://www.cryptopro.ru...aspx?g=posts&t=12505

Отредактировано пользователем 26 ноября 2019 г. 19:17:40(UTC)  | Причина: Не указана

Официальная техподдержка. Официальная база знаний.
Вверх
Offline mstdoc  
#29 Оставлено : 26 ноября 2019 г. 19:48:22(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Про инструкцию я написал с той мыслью, что на данном сервере пакет для КС2 нужен для работы nginx.
Или после выпуска сертификатов этот пакет в nginx не используется?

Но мой вопрос не про nginx, а про генерацию ключей КС2....
Вверх
Offline Андрей Русев  
#30 Оставлено : 26 ноября 2019 г. 22:17:25(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,272

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 446 раз в 325 постах
В этой инструкции и решение: создаёте ключи с помощью БиоДСЧ и провайдера KC1, а используете в провайдере KC2. Другие варианты (годятся и для КС1, и для КС2):
* использовать аппаратные ДСЧ: Соболь, Аккорд, Максим, Криптон...
* использовать "КриптоПро Исходный Материал" (КПИМ / CPSD) - накопленные случайные числа из файлов, которые нужно где-то генерировать (либо с помощью БиоДСЧ в КС1, что утомительно, либо с помощью аппаратных ДСЧ)

Подробней про КПИМ и утомительную генерацию. Файлы можно создать прямо на той же машине:
Код:
root@test-x64-astrase:~# /opt/cprocsp/bin/amd64/genkpim 4 01d2c1c8 /var/opt/cprocsp/dsrf/
Generating KPIM for 4 signature keys into /var/opt/cprocsp/dsrf/
write KPIM info OK
Press keys...
[..........................................................................]

Press keys...
[..........................................................................]

Press keys...
[..........................................................................]

Press keys...
[..........................................................................]

Press keys...
[..........................................................................]

Press keys...
[..........................................................................]

Press keys...
[..........................................................................]

Press keys...
[..........................................................................]

root@test-x64-astrase:~# ls -las /var/opt/cprocsp/dsrf/
db1/  db2/  kpim
root@test-x64-astrase:~# ls -las /var/opt/cprocsp/dsrf/db?/kis_1
4 -rw-r--r-- 1 root root 288 нояб. 26 22:00 /var/opt/cprocsp/dsrf/db1/kis_1
4 -rw-r--r-- 1 root root 288 нояб. 26 22:00 /var/opt/cprocsp/dsrf/db2/kis_1

Теперь КПИМ будет использоваться для создания ключей (и в КС1, и в КС2), пока не израсходуется.
Но чтобы genkpim использовал БиоДСЧ, провайдером по умолчанию для 75-го типа должен быть KC1. Узнать, какой провайдер по умолчанию, можно так:
Код:
root@test-x64-astrase:~# /opt/cprocsp/bin/amd64/csptest -defprov -get_def -provtype 75
The default provider name is 'Crypto-Pro GOST R 34.10-2001 KC2 CSP'
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x00000000]

Это KC2, у вас будет так, иначе ключи бы создавались. Надо поменять на KC1 (а потом вернуть назад - это важно для ngnix, например):
Код:
root@test-x64-astrase:~# /opt/cprocsp/bin/amd64/csptest -defprov -set_def 'Crypto-Pro GOST R 34.10-2001 KC1 CSP' -provtype 75
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x00000000]
root@test-x64-astrase:~# /opt/cprocsp/bin/amd64/csptest -defprov -get_def -provtype 75
The default provider name is 'Crypto-Pro GOST R 34.10-2001 KC1 CSP'
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x00000000]
Официальная техподдержка. Официальная база знаний.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
4 Страницы<1234>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET