Статус: Новичок
Группы: Участники
Зарегистрирован: 19.08.2019(UTC)
Сообщений: 5
|
Добрый день.
В 1с для подписания использовались самоподписанные сертификаты пара (закрытый\открытый ключ)
Сейчас при переходе на astra linux столкнулись с проблемой.
В 1с используется криптопровайдер КриптоПро. Сертифицированные ключи ставит и подписывает без проблем.
В остальных случаях, для обычных пользователей использовались самоподписанные сертификаты, но криптопро отказывается ставить их, т.к. просто не видит закрытую часть ключа. Создать пару пытались и из под Linux и из под windows
( ос Astra Linux (орел))
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602  Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Добрый день.
Наверно нужно больше подробностей - как именно пытались создать ключ и сертификат, какой формат ключей получился (pem, pfx/p12, контейнер КриптоПро), какая версия КриптоПро.
В крайнем случае, можно сделать подобие неаккредитованного УЦ с помощью связки openssl+gostengy+КриптоПро, чтобы сертификаты были не самоподписанными.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.08.2019(UTC)
Сообщений: 5
|
Крипто-про гост кс1 в4.0.9944 ( по 2012 госту ) на виндусовской машине развернут центр сертификации для пользователей 1с (штатный криптограф) На выходе имеем 2 сертификата. открытый и закрытый pfx. Переносим на linux-вскую машину Проблема в том, что под линуксом криптопро не хочет их их обнаруживать. Если открытую часть ключа он ещё считывает, то закрытую просто не видит. (ключ надо прописать на машине ) что бы человек просто мог подписывать документы. Криптопро не видит другие контейнеры, кроме как подключенные через носитель. Отредактировано пользователем 20 августа 2019 г. 10:08:25(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,383  Сказал «Спасибо»: 53 раз
Поблагодарили: 776 раз в 718 постах
|
Автор: durunduk  Крипто-про гост кс1 в4.0.9944 ( по 2012 госту )
на виндусовской машине развернут центр сертификации для пользователей 1с (штатный криптограф) На выходе имеем 2 сертификата. открытый и закрытый pfx.
Переносим на linux-вскую машину
Проблема в том, что под линуксом криптопро не хочет их их обнаруживать. Если открытую часть ключа он ещё считывает, то закрытую просто не видит.
(ключ надо прописать на машине ) что бы человек просто мог подписывать документы.
Криптопро не видит другие контейнеры, кроме как подключенные через носитель. Здравствуйте. См. статью в нашей базе знаний. |
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
По описанию - может быть проблема с алгоритмами (с которыми сформирован pfx), для КриптоПро нужны либо созданные в самом КриптоПро pfx, либо pfx по рекомендациям ТК26 с алгоритмами гост. Оба формата понимаются в новых версиях certmgr от КриптоПро. Если же в pfx алгоритмы не гост, то нужно сначала сделать pfx по TK26 с гост (с помощью openssl, например).
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.08.2019(UTC)
Сообщений: 5
|
Автор: two_oceans По описанию - может быть проблема с алгоритмами (с которыми сформирован pfx), для КриптоПро нужны либо созданные в самом КриптоПро pfx, либо pfx по рекомендациям ТК26 с алгоритмами гост. Оба формата понимаются в новых версиях certmgr от КриптоПро. Если же в pfx алгоритмы не гост, то нужно сначала сделать pfx по TK26 с гост (с помощью openssl, например). Верно понимаю, что КриптоПро работает только с файлами зашифрованными по 2001 -2012 госту? Хорошо, а если попытаться настроить ГОСТ под OpenSSL и потом создать самоподписанный сертификат в linux?
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Автор: durunduk Верно понимаю, что КриптоПро работает только с файлами зашифрованными по 2001 -2012 госту? По большей части верно. Если точнее, КриптоПро работает только со своими контейнерами (в том числе на носителях) и некоторыми токенами со своими криптопровайдерами. В новой версии есть еще облачные ключи. Любой pfx сначала преобразуется в контейнер формата КриптоПро, а у же потом контейнер используется в работе. Для преобразования по требованиям сертификации поддерживается формат pfx ТК26 (шифрование гост-89 с хэшем гост-2012 512 без зщарубежных алгоритмов) и есть собственный вид шифрования (не понимаемый более никем кроме криптопро, там смесь гост и RSA, в том числе не понимаемая Openssl). Цитата:Хорошо, а если попытаться настроить ГОСТ под OpenSSL и потом создать самоподписанный сертификат в linux? Это было бы замечательно, но из штатного состава OpenSSL исключили модуль гост (хотя не знаю как обстоит дело на Астре), придется либо собирать модуль гост из исходников с гитхаба либо использовать модуль gostengy от криптопро, что приводит ровно к тем же заморочкам с контейнерами (позволяет "использовать" контейнер из openssl, но фактически операции произойдут в КриптоПро, а Openssl получит только результат, то есть нельзя генерировать/импортировать/экспортировать закрытый ключ). Поэтому придется сначала утилитой КриптоПро создать контейнер и сгенеровать ключевую пару в контейнер, уже затем в Openssl сделать сертификат. Это отметает большинство руководств в интернете, в которых все делается одной операцией. Самый легкий наверно вариант сгенерировать контейнер в КриптоПро на Виндоуз на флешку, сделать сертификат как Вам удобно (Openssl или в штатном ЦС) и потом без заморочек с pfx просто перетащить папку контейнера с флешки в определенную папку на *nix, где находится хранилище контейнеров HDIMAGE. Опять же точное расположение на Астре не знаю.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.08.2019(UTC)
Сообщений: 5
|
Автор: two_oceans Автор: durunduk Верно понимаю, что КриптоПро работает только с файлами зашифрованными по 2001 -2012 госту? По большей части верно. Если точнее, КриптоПро работает только со своими контейнерами (в том числе на носителях) и некоторыми токенами со своими криптопровайдерами. В новой версии есть еще облачные ключи. Любой pfx сначала преобразуется в контейнер формата КриптоПро, а у же потом контейнер используется в работе. Для преобразования по требованиям сертификации поддерживается формат pfx ТК26 (шифрование гост-89 с хэшем гост-2012 512 без зщарубежных алгоритмов) и есть собственный вид шифрования (не понимаемый более никем кроме криптопро, там смесь гост и RSA, в том числе не понимаемая Openssl). Цитата:Хорошо, а если попытаться настроить ГОСТ под OpenSSL и потом создать самоподписанный сертификат в linux? Это было бы замечательно, но из штатного состава OpenSSL исключили модуль гост (хотя не знаю как обстоит дело на Астре), придется либо собирать модуль гост из исходников с гитхаба либо использовать модуль gostengy от криптопро, что приводит ровно к тем же заморочкам с контейнерами (позволяет "использовать" контейнер из openssl, но фактически операции произойдут в КриптоПро, а Openssl получит только результат, то есть нельзя генерировать/импортировать/экспортировать закрытый ключ). Поэтому придется сначала утилитой КриптоПро создать контейнер и сгенеровать ключевую пару в контейнер, уже затем в Openssl сделать сертификат. Это отметает большинство руководств в интернете, в которых все делается одной операцией. Самый легкий наверно вариант сгенерировать контейнер в КриптоПро на Виндоуз на флешку, сделать сертификат как Вам удобно (Openssl или в штатном ЦС) и потом без заморочек с pfx просто перетащить папку контейнера с флешки в определенную папку на *nix, где находится хранилище контейнеров HDIMAGE. Опять же точное расположение на Астре не знаю. Только если пытаться pfx поставить на флешку через установщика - он не ссылается на криптопро, а просто ставит в certmgr
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.08.2019(UTC)
Сообщений: 5
|
Цитата:Самый легкий наверно вариант сгенерировать контейнер в КриптоПро на Виндоуз на флешку, сделать сертификат как Вам удобно (Openssl или в штатном ЦС) и потом без заморочек с pfx просто перетащить папку контейнера с флешки в определенную папку на *nix, где находится хранилище контейнеров HDIMAGE. Опять же точное расположение на Астре не знаю. Только если пытаться pfx поставить на флешку через установщика - он не ссылается на криптопро, а просто ставит в certmgr
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
|
Здравствуйте. Нашел на гитхабе исходники для модуля ГОСТ под openssl, собрал, все работает. Пытаюсь разобраться с gostengy. Как я понял, устанавливая пакеты cprocsp-cpopenssl, автоматом ставится "движок" от криптопро. Но возникает проблема: КриптоПро ставит libgost_capi вместо gostengy. И из-за того, что я использую openssl 1.1.0j, нужен gostengy. Искал тут, но решения не нашел. КриптоПро 4.0, Ubuntu 18.04.03. Подскажите пожалуйста, каким образом установить этот gostengy ? Отредактировано пользователем 21 августа 2019 г. 10:23:04(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
