Форум КриптоПро
»
Средства криптографической защиты информации
»
Linux, Solaris etc.
»
/opt/cprocsp/lib/amd64/libtm.so: невозможно открыть разделяемый объектный файл: Нет такого файла или
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC) Сообщений: 48
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Добрый день. Прошу помощи. Проблема такая же. Лишних пакетов сознательно не ставил... Код:./csptest -keyset -newkeyset -cont '\\.\HDIMAGE\testcont' -provtype 75
CSP (Type:75) v4.0.9017 KC2 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 22127811
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KC2 CSP
Container name: "testcont"
Signature key is not available.
Attempting to create a signature key...
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/ctkey.c:2158:GenKey()
Error number 0x80090020 (2148073504).
An internal error occurred.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.010 sec
[ErrorCode: 0x80090020]
Код:rpm -qa | grep cprocsp
cprocsp-cpopenssl-110-base-5.0.11216-5.noarch
lsb-cprocsp-ca-certs-4.0.9944-5.noarch
lsb-cprocsp-rdr-64-4.0.9944-5.x86_64
cprocsp-curl-64-4.0.9944-5.x86_64
cprocsp-cpopenssl-110-devel-5.0.11216-5.noarch
lsb-cprocsp-kc1-64-4.0.9944-5.x86_64
lsb-cprocsp-kc2-64-4.0.9944-5.x86_64
cprocsp-cpopenssl-110-gost-64-5.0.11216-5.x86_64
lsb-cprocsp-capilite-64-4.0.9944-5.x86_64
cprocsp-stunnel-64-4.0.9944-5.x86_64
lsb-cprocsp-base-4.0.9944-5.noarch
cprocsp-cpopenssl-110-64-5.0.11216-5.x86_64
Код:./cpconfig -hardware rndm -view | iconv -f cp1251
Nick name: CPSD
Connect name:
Rndm name: КПИМ
Rndm level: 3
Nick name: BIO_TUI
Connect name:
Rndm name: Биологический текстовый
Rndm level: 5
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,040 Сказал(а) «Спасибо»: 88 раз Поблагодарили: 226 раз в 213 постах
|
Добрый день. для генерации ключевой пары в КС2 надо либо использовать аппаратный ДСЧ, либо внешнюю гамму статья в БЗ |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC) Сообщений: 48
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Автор: Санчир Момолдаев Добрый день. для генерации ключевой пары в КС2 надо либо использовать аппаратный ДСЧ, либо внешнюю гамму статья в БЗ Спасибо за ответ. При выполнении команды из статьи БЗ получаю некую ошибку: Код:./genkpim 2 00000001 /var/opt/cprocsp/dsrf/
Generating KPIM for 2 signature keys into /var/opt/cprocsp/dsrf//
write KPIM info OK
Error SetProvParam(PP_USE_HARDWARE_RNG):
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,040 Сказал(а) «Спасибо»: 88 раз Поблагодарили: 226 раз в 213 постах
|
genkpim надо выполнять там где есть ДСЧ. или аппаратный или биологический. можно или на windows или на *nix прилагаю тестовую гамму kis_1.rar (352kb) загружен 2 раз(а). разархивируйте вложение. и скопируйте файл kis_1 в две директории /var/opt/cprocsp/dsrf/db1/ и /var/opt/cprocsp/dsrf/db2/ и попробуйте сгенерировать ключи |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC) Сообщений: 48
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Спасибо за помощь. К сожалению, результат не поменялся... Код:./csptest -keyset -newkeyset -cont '\\.\HDIMAGE\testcont' -provtype 81
CSP (Type:81) v4.0.9017 KC2 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 19550547
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP
Container name: "testcont"
Signature key is not available.
Attempting to create a signature key...
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/ctkey.c:2158:GenKey()
Error number 0x80090020 (2148073504).
An internal error occurred.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.010 sec
[ErrorCode: 0x80090020]
На данном сервере работает nginx с сертификатами по ГОСТу и tomcat с подписью\проверкой. Может что-то из этого может между собой конфликтовать? Насколько я понимаю, биологический ДСЧ у нас есть: Код:./cpconfig -hardware rndm -view | iconv -f cp1251
Nick name: CPSD
Connect name:
Rndm name: КПИМ
Rndm level: 3
Nick name: BIO_TUI
Connect name:
Rndm name: Биологический текстовый
Rndm level: 5
Отредактировано пользователем 26 ноября 2019 г. 15:35:56(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,272
Сказал(а) «Спасибо»: 22 раз Поблагодарили: 446 раз в 325 постах
|
Вы поставили лишний пакет lsb-cprocsp-kc2 и, скорее всего, лишние пакеты cpopenssl. Кроме того вы используете устаревшую версию КриптоПро CSP, поэтому нельзя просто удалить пакет kc2: надо удалить все и поставить заново без лишних. И надо использовать последнюю сертифицированную сборку - 2018-11-23 КриптоПро CSP 4.0.9963 Abel. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC) Сообщений: 48
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Цитата:Вы поставили лишний пакет lsb-cprocsp-kc2 и, скорее всего, лишние пакеты cpopenssl. Кроме того вы используете устаревшую версию КриптоПро CSP, поэтому нельзя просто удалить пакет kc2: надо удалить все и поставить заново без лишних. И надо использовать последнюю сертифицированную сборку - 2018-11-23 КриптоПро CSP 4.0.9963 Abel. Но, как написано в инструкции по сборке nginx с https по ГОСТу: Цитата:Требования к устанавливаемому ПО
Для корректной работы HTTPS с использованием сервера nginx необходима установка и настройка ПО в соответствии с нижеперечисленными пунктами: LSB curl (либо только библиотеки libcurl) КриптоПро CSP в реализации KC2 gost_capi OpenSSL версии не менее 1.0.1f (поддерживаем TLS только версии 1.0) nginx версии не менее 1.7.9
взято отсюда: https://www.cryptopro.ru....aspx?g=posts&t=8733Правильно ли я понимаю, что для генерации ключей нужно чтобы на сервере не был установлен пакет для КС2? Означает ли это что на linux-сервере ключи можно сгенерировать только по КС1?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,272
Сказал(а) «Спасибо»: 22 раз Поблагодарили: 446 раз в 325 постах
|
Если уж пользуетесь инструкцией, то пользуйтесь ей целиком. Обратите внимание, что сертификаты там выпускаются провайдером KC1, совсем не так как в ваших командах: Код:/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 KC1 CSP" -rdn 'CN=www.aaa.ru' -cont '\\.\HDIMAGE\test_container' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv
Плюс в шапке указанной вами темы есть ссылка на скрипты для автоматизации настройки (под ссылкой UPD2): https://www.cryptopro.ru...aspx?g=posts&t=12505Отредактировано пользователем 26 ноября 2019 г. 19:17:40(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC) Сообщений: 48
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Про инструкцию я написал с той мыслью, что на данном сервере пакет для КС2 нужен для работы nginx. Или после выпуска сертификатов этот пакет в nginx не используется?
Но мой вопрос не про nginx, а про генерацию ключей КС2....
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,272
Сказал(а) «Спасибо»: 22 раз Поблагодарили: 446 раз в 325 постах
|
В этой инструкции и решение: создаёте ключи с помощью БиоДСЧ и провайдера KC1, а используете в провайдере KC2. Другие варианты (годятся и для КС1, и для КС2): * использовать аппаратные ДСЧ: Соболь, Аккорд, Максим, Криптон... * использовать "КриптоПро Исходный Материал" (КПИМ / CPSD) - накопленные случайные числа из файлов, которые нужно где-то генерировать (либо с помощью БиоДСЧ в КС1, что утомительно, либо с помощью аппаратных ДСЧ) Подробней про КПИМ и утомительную генерацию. Файлы можно создать прямо на той же машине: Код:root@test-x64-astrase:~# /opt/cprocsp/bin/amd64/genkpim 4 01d2c1c8 /var/opt/cprocsp/dsrf/
Generating KPIM for 4 signature keys into /var/opt/cprocsp/dsrf/
write KPIM info OK
Press keys...
[..........................................................................]
Press keys...
[..........................................................................]
Press keys...
[..........................................................................]
Press keys...
[..........................................................................]
Press keys...
[..........................................................................]
Press keys...
[..........................................................................]
Press keys...
[..........................................................................]
Press keys...
[..........................................................................]
root@test-x64-astrase:~# ls -las /var/opt/cprocsp/dsrf/
db1/ db2/ kpim
root@test-x64-astrase:~# ls -las /var/opt/cprocsp/dsrf/db?/kis_1
4 -rw-r--r-- 1 root root 288 нояб. 26 22:00 /var/opt/cprocsp/dsrf/db1/kis_1
4 -rw-r--r-- 1 root root 288 нояб. 26 22:00 /var/opt/cprocsp/dsrf/db2/kis_1
Теперь КПИМ будет использоваться для создания ключей (и в КС1, и в КС2), пока не израсходуется. Но чтобы genkpim использовал БиоДСЧ, провайдером по умолчанию для 75-го типа должен быть KC1. Узнать, какой провайдер по умолчанию, можно так: Код:root@test-x64-astrase:~# /opt/cprocsp/bin/amd64/csptest -defprov -get_def -provtype 75
The default provider name is 'Crypto-Pro GOST R 34.10-2001 KC2 CSP'
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x00000000]
Это KC2, у вас будет так, иначе ключи бы создавались. Надо поменять на KC1 (а потом вернуть назад - это важно для ngnix, например): Код:root@test-x64-astrase:~# /opt/cprocsp/bin/amd64/csptest -defprov -set_def 'Crypto-Pro GOST R 34.10-2001 KC1 CSP' -provtype 75
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x00000000]
root@test-x64-astrase:~# /opt/cprocsp/bin/amd64/csptest -defprov -get_def -provtype 75
The default provider name is 'Crypto-Pro GOST R 34.10-2001 KC1 CSP'
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x00000000]
|
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
Linux, Solaris etc.
»
/opt/cprocsp/lib/amd64/libtm.so: невозможно открыть разделяемый объектный файл: Нет такого файла или
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close