logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline vitaaaly  
#1 Оставлено : 28 ноября 2018 г. 13:56:56(UTC)
vitaaaly

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.11.2018(UTC)
Сообщений: 5
Российская Федерация
Откуда: Ростов-на-Дону

Поблагодарили: 3 раз в 1 постах
Добрый день.
При установке сертификата из .pfx файла в хранилище КриптоПро под Ubuntu 18.04 с помощью команды:

Код:
/opt/cprocsp/bin/<архитектура процессора>/certmgr -install -pfx -file <путь к .pfx файлу> -pin <пароль к .pfx файлу>


запрашивается пароль для контейнера:

Код:
Crypto-Pro GOST R 34.10-2012 KC1 CSP requests new authentication properties for container
New password:


Подскажите, пожалуйста, есть ли какой-либо способ указать этот пароль непосредственно в команде установки сертификата?
Или вообще не указывать его?

Offline Aleksandr G*  
#2 Оставлено : 28 ноября 2018 г. 14:43:06(UTC)
Aleksandr G*

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 72

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 14 раз в 13 постах
Пароль указываете параметром -pin. Подробнее о доступных опциях: /opt/cprocsp/bin/<архитектура процессора>/certmgr -install -pfx -h
Offline vitaaaly  
#3 Оставлено : 28 ноября 2018 г. 15:03:47(UTC)
vitaaaly

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.11.2018(UTC)
Сообщений: 5
Российская Федерация
Откуда: Ростов-на-Дону

Поблагодарили: 3 раз в 1 постах
Автор: Aleksandr G* Перейти к цитате
Пароль указываете параметром -pin. Подробнее о доступных опциях: /opt/cprocsp/bin/<архитектура процессора>/certmgr -install -pfx -h


Параметр -pin используется для указания пароля к .pfx файлу. Например:

Код:
/opt/cprocsp/bin/amd64/certmgr -install -pfx -file cert1.pfx -pin 1


Но после этого появляется сообщение с запросом пароля для контейнера:

Код:
Crypto-Pro GOST R 34.10-2012 KC1 CSP requests new authentication properties for container
New password:


И здесь уже необходимо указать пароль, который будет запрашиваться в дальнейшем при обращении к данному контейнеру.
Вот его как раз хотелось бы задавать в самой команде установки. Или указать, что он не требуется.
Offline vitaaaly  
#4 Оставлено : 6 декабря 2018 г. 10:56:31(UTC)
vitaaaly

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.11.2018(UTC)
Сообщений: 5
Российская Федерация
Откуда: Ростов-на-Дону

Поблагодарили: 3 раз в 1 постах
Нашел решение.
Необходимо использовать ключ -silent.
Полностью команда будет выглядеть следующим образом:
Код:
 /opt/cprocsp/bin/<архитектура процессора>/certmgr -install -pfx -file <путь к .pfx> -pin <пароль к .pfx> -silent
thanks 3 пользователей поблагодарили vitaaaly за этот пост.
Александр Лавник оставлено 06.12.2018(UTC), two_oceans оставлено 09.12.2018(UTC), Riddick-84 оставлено 12.02.2019(UTC)
Offline Riddick-84  
#5 Оставлено : 12 февраля 2019 г. 19:02:09(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
Здравствуйте
Использую следующие команды для генерации котнейнера с закрытым ключом и сертификатом, а также последующего его экспортав pfx

Код:

ARGV=$@
certname='meteotravel.ru'
container='ngxtest'

certs_path_server=/etc/certs/gost/cpro/server/

provtype='81' #75, 80, 81
provnameKC1='Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP'
provnameKC2='Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP'

mkdir -p ${certs_path_server}

# Генерация тестового сертефиката сервера:
/opt/cprocsp/bin/amd64/cryptcp -creatcert -exprt -enable-install-root  -provtype ${provtype} -provname "${provnameKC1}" -rdn "CN=${certname}" -cont "\\\\.\\HDIMAGE\\${container}" -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv || exit 1

# Смена KC1 на KC2 в имени провайдера, так как nginx работает с провайдером KC2:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont "\\\\.\\HDIMAGE\\${container}" -provtype ${provtype} -provname "${provnameKC2}" || exit 1

# Экспорт сертификата:
/opt/cprocsp/bin/amd64/certmgr -export -cert -dn "CN=${certname}" -dest "${certs_path_server}${certname}.cer" || exit 1

#Экспот контейнера с закрытым ключом
 /opt/cprocsp/bin/amd64/certmgr -export -pfx -store uMy -container \\\\.\\HDIMAGE\\ngxtest  -dest ngxtest.pfx

# результат работы команды
Exporting: 
=============================================================================
1-------
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : CN=meteotravel.ru
Serial              : 0x1200325512A19C453336969353000000325512
SHA1 Hash           : ddc7258f90526a48ed7d05ff68b16b44b15386a6
SubjKeyID           : 5759748da19428ac2e2760f89c0b257d8d918c2a
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits)
Not valid before    : 12/02/2019  17:17:41 UTC
Not valid after     : 12/05/2019  17:27:41 UTC
PrivateKey Link     : No                  
CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.1
=============================================================================

[ErrorCode: 0x00000000]



Далее открываю pfx в линуксе и вижу что там только сертификат. НО я же делал контейнеры как экспортируемые (-exprt)

Далее в докер контейнере запускаю команду


/opt/cprocsp/bin/amd64/certmgr -inst -pfx -cont "\\\\.\\HDIMAGE\\ngxtest" -provtype 81 -provname "Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP" -file /etc/certs/server/gost/cpro/ngxtest.pfx

и получаю результат
Код:

Certmgr 1.1 (c) "Crypto-Pro",  2007-2018.
program for managing certificates, CRLs and stores

Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : CN=meteotravel.ru
Serial              : 0x1200325512A19C453336969353000000325512
SHA1 Hash           : ddc7258f90526a48ed7d05ff68b16b44b15386a6
SubjKeyID           : 5759748da19428ac2e2760f89c0b257d8d918c2a
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits)
Not valid before    : 12/02/2019  17:17:41 UTC
Not valid after     : 12/05/2019  17:27:41 UTC
PrivateKey Link     : No                  
CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.1

=============================================================================
1-------
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : CN=meteotravel.ru
Serial              : 0x1200325512A19C453336969353000000325512
SHA1 Hash           : ddc7258f90526a48ed7d05ff68b16b44b15386a6
SubjKeyID           : 5759748da19428ac2e2760f89c0b257d8d918c2a
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits)
Not valid before    : 12/02/2019  17:17:41 UTC
Not valid after     : 12/05/2019  17:27:41 UTC
PrivateKey Link     : No                  
CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.1
=============================================================================

[ErrorCode: 0x00000000]

root@300716d5a5ff:/usr/app# ls -l /var/opt/cprocsp/keys/root
total 4
drwx------ 2 root root 4096 Feb 12 18:48 hsm_keys

Т е контейнерс закрытым ключом не испортировался ( должна быть папка ngxtest.000
Подскажите в чем проблема?

И еще вопрос: как импортировать закрытый ключ на этапе создания контейнера?

Отредактировано пользователем 12 февраля 2019 г. 19:37:05(UTC)  | Причина: Не указана

Offline Русев Андрей  
#6 Оставлено : 13 февраля 2019 г. 11:37:16(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 503

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 81 раз в 67 постах
При экспорте надо указывать сертификат из хранилища, а не с помощью -container.
Официальная техподдержка. Официальная база знаний.
Offline Riddick-84  
#7 Оставлено : 13 февраля 2019 г. 12:57:29(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
Автор: Русев Андрей Перейти к цитате
При экспорте надо указывать сертификат из хранилища, а не с помощью -container.


выполнил такую команду

/opt/cprocsp/bin/amd64/certmgr -export -pfx -dn "CN=meteotravel.ru" -dest mtravel.pfx -provtype 81

файл проверял закрытый ключ там есть

Далее в докер контейнере делаю импорт

RUN /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add HDIMAGE store \
&& /etc/init.d/cprocsp start \
&& /opt/cprocsp/bin/amd64/certmgr -inst -pfx -file /etc/certs/server/gost/cpro/mtravel.pfx --silent \

вот кусок конфига нгинкс отвечающий за работу госта

Код:

ssl_client_certificate /etc/certs/ca-bundle.pem;
          #ssl_verify_client on;

          #Криптопро конфиг
          ssl_certificate /etc/certs/server/gost/cpro/meteotravel.ru.pem;
          ssl_certificate_key engine:gostengy:meteotravel.ru;
server_name meteotravel.ru;
         
          ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
          ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
          ssl_prefer_server_ciphers on;


вот содержимое файла ca-bundle.pem


Второй сертификат там гостовый для тестового уц

Далее выполняю команду
/opt/cprocsp/bin/amd64/curl -vvv --ciphers GOST2012-GOST8912-GOST8912 \
--url https://meteotravel.ru/

получаю ошибку
Код:
* About to connect() to meteotravel.ru port 443 (#0)
*   Trying 192.168.1.241... connected
* Connected to meteotravel.ru (192.168.1.241) port 443 (#0)
* Closing connection #0
* Problem with the local SSL certificate
curl: (58) Problem with the local SSL certificate


в логах нгинкса ошибка такая
[crit] 313#313: *1 SSL_do_handshake() failed (SSL: error:14125044:SSL routines:ssl3_digest_cached_records:internal error) while SSL handshaking,

если зайти в контейнер и посмотреть есть ли там ключи то они есть
Код:
ls -l /var/opt/cprocsp/keys/root/ngxtest.000/
total 24
-rw-r--r-- 1 root root 977 Feb 13 12:19 header.key
-rw-r--r-- 1 root root  88 Feb 13 12:40 masks.key
-rw-r--r-- 1 root root  88 Feb 13 12:19 masks2.key
-rw-r--r-- 1 root root  11 Feb 13 12:19 name.key
-rw-r--r-- 1 root root  68 Feb 13 12:40 primary.key
-rw-r--r-- 1 root root  68 Feb 13 12:19 primary2.key

openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 185515 $)

 /opt/cprocsp/sbin/amd64/cpconfig -defprov -view -provtype 81
Listing Available Providers:
Provider type	Provider Name
_____________	_____________________________________
       81	Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP
       81	Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider
       81	Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP

Provider types and provider names have been listed.




вот установленные пакеты криптопро


вот дамп ссл трафика



Подскажите в чем проблема?

Отредактировано пользователем 13 февраля 2019 г. 13:48:25(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#8 Оставлено : 13 февраля 2019 г. 14:14:58(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 748
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 111 раз в 96 постах
Автор: Riddick-84 Перейти к цитате
Подскажите в чем проблема?

Вроде бы у нас получался рабочий стенд в теме по nginx. Fixed.

С установкой контейнера вам помогли. Fixed.

Если у вас остались проблемы, создавайте отдельные темы по этим проблемам.


Знания в базе знаний, поддержка в техподдержке
Offline Riddick-84  
#9 Оставлено : 13 февраля 2019 г. 14:18:45(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Riddick-84 Перейти к цитате
Подскажите в чем проблема?

Вроде бы у нас получался рабочий стенд в теме по nginx. Fixed.

С установкой контейнера вам помогли. Fixed.

Если у вас остались проблемы, создавайте отдельные темы по этим проблемам.



Контейнер запустился но работу только щас его начал проверять. экспортирвоал туда pfx с закрытым ключом.
Ок сейчас сделаю новую тему

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.