Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Сергей Горячев  
#11 Оставлено : 17 сентября 2021 г. 13:57:43(UTC)
Сергей Горячев

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2021(UTC)
Сообщений: 9

Автор: Захар Тихонов Перейти к цитате
dpkg -l | grep cprocsp
Как узнать какое у вас ДСЧ - лучше обратитесь к вашему системному администратору, который его установил.

Все же, рекомендую удалить КС2 и проверить работу с КС1 (описанные действия выше).


Честно говоря, трогать этот сервер страшно.
Через него идёт связь с банком и она мало того, что работает, так еще и очень активно.

ХМ...
Цитата:

sh-4.2$ yum list installed | grep cprocsp
cprocsp-curl-64.x86_64 4.0.9963-5 installed
lsb-cprocsp-base.noarch 4.0.9963-5 installed
lsb-cprocsp-ca-certs.noarch 4.0.9963-5 installed
lsb-cprocsp-capilite-64.x86_64 4.0.9963-5 installed
lsb-cprocsp-kc1-64.x86_64 4.0.9963-5 installed
lsb-cprocsp-kc2-64.x86_64 4.0.9963-5 installed
lsb-cprocsp-rdr-64.x86_64 4.0.9963-5 installed
Offline Захар Тихонов  
#12 Оставлено : 17 сентября 2021 г. 14:42:51(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Раз данный сервер используется, то не стоит переустанавливать.
Опишите как импортировался ключ 'HDIMAGE\\50383662.001\80F2' на данный сервер.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Сергей Горячев  
#13 Оставлено : 20 сентября 2021 г. 9:43:46(UTC)
Сергей Горячев

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2021(UTC)
Сообщений: 9

Автор: Захар Тихонов Перейти к цитате
Раз данный сервер используется, то не стоит переустанавливать.
Опишите как импортировался ключ 'HDIMAGE\\50383662.001\80F2' на данный сервер.


Мы пошли по другому пути.
Подняли новый сервер
/opt/cprocsp/bin/amd64/csptest -keys -newkeys -container 'HDIMAGE\\test'
Цитата:
[root@nbki ~]# /opt/cprocsp/bin/amd64/csptest -keys -newkeys -container 'HDIMAGE\\test'
CSP (Type:80) v5.0.10009 KC1 Release Ver:5.0.12266 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 27032883
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "test"
Signature key is not available.
Attempting to create a signature key...
Press keys to provide random data...
[..............................................................................]
qCrypto-Pro GOST R 34.10-2012 KC1 CSP запрашивает новый пароль на контейнер
Новый пароль:
Повторите пароль:
Ввод и подтверждение не совпадают.
Новый пароль:
Повторите пароль:
a signature key created.
Exchange key is not available.
Attempting to create an exchange key...
Press keys to provide random data...
[..............................................................................]
TGan exchange key created.
Keys in container:
signature key
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.9
PrivKey: Not specified - 20.12.2022 06:38:00 (UTC)

OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 20.12.2022 06:38:26 (UTC)
Total: SYS: 0,010 sec USR: 0,110 sec UTC: 46,150 sec
[ErrorCode: 0x00000000]


/opt/cprocsp/bin/amd64/csptest -keyset -check -container 'HDIMAGE\\test'
Цитата:
[root@nbki ~]# /opt/cprocsp/bin/amd64/csptest -keyset -check -container 'HDIMAGE\\test'
CSP (Type:80) v5.0.10009 KC1 Release Ver:5.0.12266 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 24149299
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "test"
Check header passed.
Signature key is available. HCRYPTKEY: 0x175de13
Exchange key is available. HCRYPTKEY: 0x1759243
Symmetric key is not available.
UEC key is not available.
Crypto-Pro GOST R 34.10-2012 KC1 CSP запрашивает пароль на контейнер
Введите пароль:
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Check import passed (import restricted).
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Check import passed.
Keys in container:
signature key
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.9
PrivKey: Not specified - 20.12.2022 06:38:00 (UTC)

OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 20.12.2022 06:38:26 (UTC)
Total: SYS: 0,000 sec USR: 0,050 sec UTC: 4,200 sec
[ErrorCode: 0x00000000]


Я так понимаю, что именно так и должно работать.
Чуть позже сисадмин импортирует туда сертификат, будем пробовать.
Offline Захар Тихонов  
#14 Оставлено : 20 сентября 2021 г. 15:22:44(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Да. Тестирование контейнера не вызывает ошибку. Импортируйте ваш сертификат и выполните его тестирование.
Возможная причина на основном сервере, что прав нет на ключ, под которым тестирование выполняли.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Сергей Горячев  
#15 Оставлено : 20 сентября 2021 г. 15:49:32(UTC)
Сергей Горячев

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2021(UTC)
Сообщений: 9

Автор: Захар Тихонов Перейти к цитате
Да. Тестирование контейнера не вызывает ошибку. Импортируйте ваш сертификат и выполните его тестирование.
Возможная причина на основном сервере, что прав нет на ключ, под которым тестирование выполняли.



/opt/cprocsp/bin/amd64/certmgr -list
Цитата:
[root@nbki ~]# /opt/cprocsp/bin/amd64/certmgr -list
Certmgr 1.1 (c) "КРИПТО-ПРО", 2007-2021.
Программа для работы с сертификатами, CRL и хранилищами.
=============================================================================
1-------
Издатель : E=ca@sertum.ru, ОГРН=1116673008539, ИНН=006673240328, C=RU, S=66 Свердловская область, L=Екатеринбург, STREET="улица Ульяновская, д. 13, литер А, офис 209 Б", O="Общество с ограниченной ответственностью ""Сертум-Про""", CN="Общество с ограниченной ответственностью ""Сертум-Про"""
Субъект : ....
Серийный номер : 0x02C2F28400E9AC33BB4782EC......
SHA1 отпечаток : 8f25b1aa7693a8a355f76c336fb........
Идентификатор ключа : 26928349c75a0e013d33765b9b0.....
Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 256 бит
Алгоритм откр. кл. : ГОСТ Р 34.10-2012 256 бит (512 бит)
Выдан : 12/03/2021 07:59:03 UTC
Истекает : 12/06/2022 08:03:08 UTC
Ссылка на ключ : Есть
Контейнер : HDIMAGE\\50383662.001\80F2
Имя провайдера : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Инфо о провайдере : Тип провайдера: 80, тип ключа: 1, флаги: 0x0
Тип идентификации : При личном присутствии
OCSP URL : http://pki.sertum-pro.ru/ocspq2012/ocsp.srf
OCSP URL : http://pki2.sertum-pro.ru/ocspq2012/ocsp.srf
URL сертификата УЦ : http://ca.sertum-pro.ru/...es/sertum-pro-q-2020.crt
URL сертификата УЦ : http://ca.sertum.ru/cert...es/sertum-pro-q-2020.crt
URL списка отзыва : http://ca.sertum-pro.ru/cdp/sertum-pro-q-2020.crl
URL списка отзыва : http://ca.sertum.ru/cdp/sertum-pro-q-2020.crl
Назначение/EKU : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
1.2.643.2.2.34.6
1.3.6.1.5.5.7.3.4 Защищенная электронная почта
1.2.643.3.185.1
1.2.643.3.5.10.2.12
1.2.643.3.7.8.1 Квалифицированный сертификат
=============================================================================

[ErrorCode: 0x00000000]


/opt/cprocsp/bin/amd64/csptest -keyset -container 'HDIMAGE\\50383662.001\80F2' -check
Цитата:
[root@nbki /]# /opt/cprocsp/bin/amd64/csptest -keyset -container 'HDIMAGE\\50383662.001\80F2' -check
CSP (Type:80) v5.0.10009 KC1 Release Ver:5.0.12266 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 12803443
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "50383662@2021-03-12"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0xc8c0f3
Symmetric key is not available.
UEC key is not available.
License: Cert without license
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Check import passed.
Certificate in container matches AT_KEYEXCHANGE key.
Keys in container:
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 11.06.2022 14:04:24 (UTC)
Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,030 sec
[ErrorCode: 0x00000000]


Попытался проверить запросом к НБКИ
Цитата:
[root@nbki nginx]# /opt/cprocsp/bin/amd64/curl -v -X POST https://reports.nbki.ru/...oducts/B2BRequestServlet --cert 8f25b1aa7693a8a355f76c336fb358b91c2c548d
* Trying 195.10.198.210:443...
* TCP_NODELAY set
* Connected to reports.nbki.ru (195.10.198.210) port 443 (#0)
* schannel: next InitializeSecurityContext failed: SEC_E_UNTRUSTED_ROOT (0x80090325) - ������� ������������ �������� ������� ������������, �� ������� �������.
* Closing connection 0
* schannel: shutting down SSL/TLS connection with reports.nbki.ru port 443
curl: (35) schannel: next InitializeSecurityContext failed: SEC_E_UNTRUSTED_ROOT (0x80090325) - ������� ������������ �������� ������� ������������, �� ������� �������.

Offline Захар Тихонов  
#16 Оставлено : 20 сентября 2021 г. 16:35:39(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Выполните
/opt/cprocsp/bin/amd64/csptest -tlsc -server reports.nbki.ru -file /prooducts/B2BRequestServlet -nosave -savecert /tmp/t.p7b

Пришлите вывод и файл с сертификатами
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Сергей Горячев  
#17 Оставлено : 21 сентября 2021 г. 10:23:03(UTC)
Сергей Горячев

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2021(UTC)
Сообщений: 9

Автор: Захар Тихонов Перейти к цитате
Выполните
/opt/cprocsp/bin/amd64/csptest -tlsc -server reports.nbki.ru -file /prooducts/B2BRequestServlet -nosave -savecert /tmp/t.p7b

Пришлите вывод и файл с сертификатами


Мы всё переделали. Завели отдельного юзера (до этого всё из под рута делалось), удалили и снова установили сертификаты.

Теперь обращение к серверу НБКИ выдаёт такое:
Цитата:
[user@nbki root]$ /opt/cprocsp/bin/amd64/curl -v -X POST https://reports.nbki.ru/...oducts/B2BRequestServlet --cert 8f25b1aa7693a8a355f76c336fb358b......
* Trying 195.10.198.210:443...
* TCP_NODELAY set
* Connected to reports.nbki.ru (195.10.198.210) port 443 (#0)
> POST /prooducts/B2BRequestServlet HTTP/1.1
> Host: reports.nbki.ru
> User-Agent: curl/7.65.3-DEV
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 302
< Date: Tue, 21 Sep 2021 07:15:15 GMT
< Server: Apache/2.4.41 (Unix) OpenSSL/1.0.2k mod_jk/1.2.46
< Location: /main/
< Content-Length: 0
<
* Connection #0 to host reports.nbki.ru left intact


Мне очень хочется думать, что отсутствие фейлов и ерроров говорит о том, что всё, наконец, заработало.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.