Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Tattobu  
#1 Оставлено : 6 апреля 2022 г. 12:49:50(UTC)
Tattobu

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.10.2019(UTC)
Сообщений: 5
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Среда:
РедОС 7.3. сертифицированная
Встроенный уже в РедОС браузер Chromium Версия 94.0.4606.81 (Официальная сборка), RED OS (64 бит)
КриптоПро CSP: тестировалось с 5.0.12000 и до 5.0.12417.
Пакет Cades plugin актуальный на сегодня:
cprocsp-pki-plugin-64-2.0.14530-1.x86_64
cprocsp-pki-phpcades-64-2.0.14530-1.x86_64
cprocsp-pki-cades-64-2.0.14530-1.x86_64
Далее, что происходит:
1. При установке всего набора без Cades plugin всё работает замечательно. Логинимся в ГИСы по сертификатам ЭП, и дальше всё ок.
2. Если же на АРМ требуется пользователю подписывать документы своей ЭП - ставим дополнительно пакеты от Cades в систему, а в Chrоmium расширение. И тут начинаются проблемы даже со входом в ГИСы - либо вообще не удаётся зайти (ошибки: не получен ответ от системы, либо виснет Chromium), либо удается зайти после нескольких попыток со скрипом (обновляя страничку по тысяче раз, нажимая на вплывающее окно "подождать отклик от системы").
Но!В этой же конфигурации идём на страничку https://cryptopro.ru/sit...ge/cades_bes_sample.html для проверки работы ЭП - ЭП сотрудника проставляется без ошибок, то есть как бы всё ок и тест проходит.
3. Удаляем пакеты от Cades plugin - всё опять работает, можем логиниться на ГИСах. Но тогда нет возможности подписывать ЭП.

ГИСы:
https://sobi.cert.roskazna.ru
https://ssl.budgetplan.minfin.ru/bp/
https://eb.cert.roskazna.ru

Куда смотреть?

Отредактировано пользователем 6 апреля 2022 г. 12:50:36(UTC)  | Причина: Не указана

Offline nickm  
#2 Оставлено : 6 апреля 2022 г. 14:18:07(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 1,794

Сказал(а) «Спасибо»: 442 раз
Поблагодарили: 302 раз в 285 постах
Автор: Tattobu Перейти к цитате
Куда смотреть?

Сюда.
Offline Tattobu  
#3 Оставлено : 6 апреля 2022 г. 14:26:08(UTC)
Tattobu

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.10.2019(UTC)
Сообщений: 5
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Так там как раз и написано, что "Модуль Network в Chromium с 90 версии был помещён в песочницу, то есть теперь к библиотекам уровня Network предъявляются повышенные требования.
Все версии CSP 5.0 удовлетворяют данным требованиям, CSP 4.0 к сожалению нет.
Поэтому всем пользователям CSP 4.0 для работы TLS в браузере Chromium-Gost версии 90 и выше рекомендуется просто перейти на 5.0, первая сертифицированная версия 5.0.11455 поддерживает приобретённые лицензии от CSP 4.0 в полном объёме."

Что именно в нашей конфигурации не удовлетворяет этой цитате?
Offline Tattobu  
#4 Оставлено : 18 апреля 2022 г. 14:00:12(UTC)
Tattobu

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.10.2019(UTC)
Сообщений: 5
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Вопрос к сотрудникам КриптоПро. Подскажите, где можно взять предыдущие версии (сборки) КриптоПро ЭЦП Browser plug-in 2.0?
Знаю, что актуальная тут: https://www.cryptopro.ru/products/cades/downloads
А ранние версии есть где скачать? Нужна для 64 битной linux... т.е. архив cades-linux-amd64.tar.gz

Отредактировано пользователем 18 апреля 2022 г. 14:02:52(UTC)  | Причина: Не указана

Offline Александр Лавник  
#5 Оставлено : 18 апреля 2022 г. 14:09:41(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: Tattobu Перейти к цитате
Вопрос к сотрудникам КриптоПро. Подскажите, где можно взять предыдущие версии (сборки) КриптоПро ЭЦП Browser plug-in 2.0?
Знаю, что актуальная тут: https://www.cryptopro.ru/products/cades/downloads
А ранние версии есть где скачать? Нужна для 64 битной linux... т.е. архив cades-linux-amd64.tar.gz
Какая цель использования более старых сборок плагина?
Техническую поддержку оказываем тут
Наша база знаний
Offline Tattobu  
#6 Оставлено : 18 апреля 2022 г. 14:36:42(UTC)
Tattobu

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.10.2019(UTC)
Сообщений: 5
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Протестировать в среде, которая описана в первом моём сообщении в этой теме выше.
Offline Александр Лавник  
#7 Оставлено : 18 апреля 2022 г. 16:37:38(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: Tattobu Перейти к цитате
Протестировать в среде, которая описана в первом моём сообщении в этой теме выше.
Яндекс.Браузер пробовали использовать?

Если нет, то проверьте в нем.

Что в логе /var/log/messages при неудачной попытке входа?
Техническую поддержку оказываем тут
Наша база знаний
Offline Tattobu  
#8 Оставлено : 19 апреля 2022 г. 9:51:40(UTC)
Tattobu

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.10.2019(UTC)
Сообщений: 5
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Александр Лавник Перейти к цитате
Автор: Tattobu Перейти к цитате
Протестировать в среде, которая описана в первом моём сообщении в этой теме выше.
Яндекс.Браузер пробовали использовать?

Если нет, то проверьте в нем.

Что в логе /var/log/messages при неудачной попытке входа?


1. Да, в Яндекс браузере все работает хорошо и быстро.
Но, извините, Яндекс браузер это какая-то рождественская ёлка с огоньками и алисой в комплекте.
Нет желания такое ставить на АРМы пользователей.

По логам:
В логе проблемы с доступом к спискам отозванных:
=====
chromium-browser[8008]: <ssp>tls_get_ems! no TLS_EXT_EXTENDED_MASTER_SECRET has been sent
chromium-browser[8008]: <ssp>AddToMessageLog!CryptoPro TLS. This CLIENT_HELLO message's extension does not sent: 0x17
chromium-browser[8008]: <ssp>InitializeSecurityContextW!(failed: 0xFFFFFFFF80090304)
/etc/gdm/Xsession[8008]: [8008:8051:0419/092700.517957:ERROR:ssl_client_socket_impl.cc(1018)] handshake failed; returned 0, SSL error code 6, net_error -107
etc/gdm/Xsession[8008]: [8008:8051:0419/092700.518489:ERROR:ssl_client_socket_impl.cc(1018)] handshake failed; returned 0, SSL error code 6, net_error -107
chromium-browser[8008]: <ssp>tls_get_ems! no TLS_EXT_EXTENDED_MASTER_SECRET has been sent
chromium-browser[8008]: <ssp>AddToMessageLog!CryptoPro TLS. This CLIENT_HELLO message's extension does not sent: 0x17
chromium-browser[8008]: <ssp>InitializeSecurityContextW!(failed: 0xFFFFFFFF80090304)
chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x2
chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x2
chromium-browser[8008]: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://rostelecom.ru/cdp/guc_gost12.crl).
chromium-browser[8008]: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004
chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x2
chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x2
chromium-browser[8008]: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://crl.fsfk.local/crl/ucfk_2021.crl).
chromium-browser[8008]: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004
chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x2
chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x
====
С доступом к crl действительно есть проблемы. В соседней ветке обсуждение:
https://www.cryptopro.ru...aspx?g=posts&t=20735

Все что выше было протестировано на сборке Cades - cprocsp-pki-*-64-2.0.14530-1_amd64

2. Нашел на сайте госзакупок (там где ПО у них) старую версию Cades - cprocsp-pki-cades-64_2.0.14458-1_amd64.
Установил вместо 14530 - всё отлично теперь работает и в Chromium и в Яндекс браузере.
Хотя в /var/log/messages ошибки присутствуют, но в несколько другом виде.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.