Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Harmattan  
#1 Оставлено : 4 августа 2018 г. 19:44:37(UTC)
Harmattan

Статус: Участник

Группы: Участники
Зарегистрирован: 30.07.2018(UTC)
Сообщений: 13
Российская Федерация
Откуда: Киров

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 2 раз в 2 постах
Добрый день. Бьюсь вторую неделю с этим. Перелопатил кучу сайтов, этот в том числе. Большей частью брал информацию с этой страницы. Раньше много лет работал с Windows - никаких проблем никогда не бывало: всё ставилось почти интуитивно понятно. Сейчас возникла необходимость сделать возможность настройки рабочего места на open source.

Имеем:
  • Лицензию на КриптоПРО, выданную региональным казначейством.
  • Корневые сертификаты: Сертификат Головного удостоверяющего центра и Сертификат Удостоверяющего центра Федерального казначейства
  • Открытый и закрытый (контейнер) ключи пользователя.
  • lubuntu x64 16.04.4

Требуется:
  • Настроить рабочее место для работы на сайтах https://bus.gov.ru и https://zakupki.gov.ru, а именно, работа в закрытой части обоих сайтов.


Последовательность моих действий, полученная методом проб, ошибок, крови, пота, потраченных нервов и литров выпитого кофе:
1. Ставим Alien:
Код:
sudo apt install lsb lsb-core alien


2. Ставим КриптоПРО:
Код:
sudo ./install.sh
# GUI элементы для работы с сертификатами
sudo dpkg -i cprocsp-rdr-gui-gtk-64_4.0.9944-5_amd64.deb


3. Доустанавливаем/переустанавливае компоненты (информация со страницы https://www.cryptopro.ru/products/cpfox):
Код:
sudo dpkg -i lsb-cprocsp-capilite-64_4.0.9944-5_amd64.deb
sudo dpkg -i lsb-cprocsp-base_4.0.9944-5_all.deb
sudo dpkg -i lsb-cprocsp-kc1-64_4.0.9944-5_amd64.deb
sudo dpkg -i lsb-cprocsp-pkcs11-64_4.0.9944-5_amd64.deb


4. Ставим Browser Plugin:
Код:
sudo alien -kci cprocsp-pki-2.0.0-amd64-cades.rpm
sudo alien -kci cprocsp-pki-2.0.0-amd64-plugin.rpm
# С первого раза не все файлы копируются, например не копируется /opt/cprocsp/lib/amd64/libnpcades.so
sudo alien -kci cprocsp-pki-2.0.0-amd64-plugin.rpm


5. Качаем и распаковываем КриптоПро Fox (последний на данный момент 45.1.2)

6. Устанавливаем закрытый ключ на компьютер:
Копируем папку smehov.000 в папку /var/opt/cprocsp/keys/user

7. Ставим личный сертификат:
Код:
/opt/cprocsp/bin/amd64/certmgr -inst -store umy -file /home/user/smehov.cer -cont '\\.\HDIMAGE\smehov'


8. Вывод установленных сертификатов:
Код:
/opt/cprocsp/bin/amd64/certmgr -list

Сертификат видно - всё верно.
9. Установка корневых сертификатов (1 и 2 - корневые сертификаты УФК):
Код:
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file /home/user/1.cer
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file /home/user/2.cer


В итоге всё проходит без ошибок.
Но тут возникает проблема: если запускать КриптоПро Fox с правами обычного пользователя, то в списке сертификатов КриптоПро не видит корневые сертификаты. И обратно: если запускать под суперпользователем
Код:
sudo ./cpfox

то наоборот - корневые сертификаты видно, но не видно пользовательского. Решается установкой с sudo в шестом и седьмом пунктах:
Копируем папку smehov.000 в папку /var/opt/cprocsp/keys/root и ставим сертификат:
Код:
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store umy -file /home/user/smehov.cer -cont '\\.\HDIMAGE\smehov'

Приходится создавать ярлык с правами суперпользователя и последующим вводом пароля, что явно неправильно. Зато всё работает: по крайней мере на сайт bus.gov.ru в личный кабинет зашлось. zakupki.gov.ru сейчас по 44 ФЗ недоступны - только с завтра.

И вот только что заметил, что на тестовой странице https://www.cryptopro.ru...des/demopage/simple.html ни под рутом, ни под обычным пользователем, не видно пользовательского сертификата, хотя плагин и загружается. Решается путём добавления сайта https://www.cryptopro.ru в доверенные на странице /etc/opt/cprocsp/trusted_sites.html Но опять же - возникает ошибка, хотя сертификат и находится только под рутом: https://cloud.mail.ru/public/CJeE/i5HyyvqrU


Собственно, вопрос: подскажите пожалуйста как заставить КриптоПро Fox видеть пользовательский сертификат из-под обычного пользователя? Сил уже нет с ним бороться.
Заранее спасибо.

Отредактировано пользователем 4 августа 2018 г. 19:53:56(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил Harmattan за этот пост.
gbuhouse оставлено 26.09.2018(UTC)
Offline nickm  
#2 Оставлено : 4 августа 2018 г. 20:35:30(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 1,794

Сказал(а) «Спасибо»: 442 раз
Поблагодарили: 303 раз в 286 постах
Корневые ставьте в хранилище mroot.
Вместо cpfox используйте Chromium + ГОСТ
Offline Harmattan  
#3 Оставлено : 4 августа 2018 г. 21:31:07(UTC)
Harmattan

Статус: Участник

Группы: Участники
Зарегистрирован: 30.07.2018(UTC)
Сообщений: 13
Российская Федерация
Откуда: Киров

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 2 раз в 2 постах
Автор: nickm Перейти к цитате
Корневые ставьте в хранилище mroot.

Сделал
Код:
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mroot -file /home/user/1.cer
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mroot -file /home/user/2.cer

Теперь под рутом в cpfox невозможно зайти в ЛК на bus.gov.ru. Ошибка:
Цитата:
An error occurred during a connection to bus.gov.ru. A PKCS #11 module returned CKR_FUNCTION_FAILED, indicating that the requested function could not be performed. Trying the same operation again might succeed. Error code: SEC_ERROR_PKCS11_FUNCTION_FAILED

Под обычным пользователем корневые сертификаты сейчас видно и теперь возможно выбрать сертификат, но ошибка та же самая.
На странице проверки плагина https://www.cryptopro.ru...des/demopage/simple.html под обычным пользователем сертификат не видно, а под рутом как в ошибке выше.
При проверке Browser-plugin'а получаем это: https://s.mail.ru/F2ZE/nWwqGZ3vs

Автор: nickm Перейти к цитате
Вместо cpfox используйте Chromium + ГОСТ

Скачал, поставил, но ни корневых, ни пользовательского сертификата нет. Может как-то надо прописывать/настраивать?
https://s.mail.ru/N2Dh/4XcjmFDnt
https://s.mail.ru/B7Pb/h72ooFjGz


Корневые сертификаты. Везде понаставил))

Отредактировано пользователем 4 августа 2018 г. 21:38:00(UTC)  | Причина: Не указана

Offline Harmattan  
#4 Оставлено : 5 августа 2018 г. 10:10:07(UTC)
Harmattan

Статус: Участник

Группы: Участники
Зарегистрирован: 30.07.2018(UTC)
Сообщений: 13
Российская Федерация
Откуда: Киров

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 2 раз в 2 постах
P.S. Установил всё с нуля. По прежнему в chomium-ГОСТ не отображаются сертификаты, но это может быть так и должно быть! При входе в закрытую часть zakupki.gov.ru появляется стандартное сообщение об ошибке браузера: https://s.mail.ru/FmWf/pUdowXzE7 Если всё-равно перейти, то в личный кабинет заходит нормально. Всё-равно соединение не является доверенным: https://s.mail.ru/4tsZ/XnDNtdVkj Такое ощущение, что необходимо поставить ещё какие-то сертификаты. Что касается browser-plugin'a, на тестовой странице https://www.cryptopro.ru/sites/d...cades/demopage/main.html вроде всё проверяется и подписывается. Соответственно, остаётся вопрос с сертификатами. На данный момент установлены:

Ну и плюс в личных квалифицированный сертификат пользователя.

__

В Крипто Fox сайты доверенные, ошибок нет.
Так что всё-таки можно сделать с хромиумом?

Отредактировано пользователем 5 августа 2018 г. 18:30:00(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#5 Оставлено : 8 августа 2018 г. 17:06:58(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Harmattan Перейти к цитате
P.S. Установил всё с нуля. По прежнему в chomium-ГОСТ не отображаются сертификаты, но это может быть так и должно быть! При входе в закрытую часть zakupki.gov.ru появляется стандартное сообщение об ошибке браузера: https://s.mail.ru/FmWf/pUdowXzE7 Если всё-равно перейти, то в личный кабинет заходит нормально. Всё-равно соединение не является доверенным: https://s.mail.ru/4tsZ/XnDNtdVkj Такое ощущение, что необходимо поставить ещё какие-то сертификаты. Что касается browser-plugin'a, на тестовой странице https://www.cryptopro.ru/sites/d...cades/demopage/main.html вроде всё проверяется и подписывается. Соответственно, остаётся вопрос с сертификатами. На данный момент установлены:

Ну и плюс в личных квалифицированный сертификат пользователя.

__

В Крипто Fox сайты доверенные, ошибок нет.
Так что всё-таки можно сделать с хромиумом?

Ошибка не связана с доверием, почитайте внимательно код ошибки.

Вот подробности и holywar: https://www.cryptopro.ru...ts&m=94022#post94022

В следующих версия постараемся встать на сторону пользователей, а не разработчиков.

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
Harmattan оставлено 08.08.2018(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.