Статус: Новичок
Группы: Участники
Зарегистрирован: 19.09.2023(UTC) Сообщений: 8
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Здравствуйте. Мы делаем интеграцию нашей системы с ЕСИА. В Госуслугах для нас завели тестовый стенд с сертификатом и прислали подпись (т.е. архив, в котором есть файл с расширением .cer и директори с файлами header.key, masks.key, masks2.key, name.key, primary.key, primary2.key). Мы используем КриптоПро в кластере k8s, и сейчас мне нужно импортировать этот сертификат в нашу облачную csp. Подскажите команды как это сделать? Я копировал в контейнер сам файл с .cer и выполнял: certmgr -inst -store uMy -file esia.cer но тогда сертификат создаётся без контейнера и подписывать строки им нельзя (так пишут вот https://www.altlinux.org...%D0%BA%D0%B0%D1%82%D0%B0 в разделе Просмотр сертификатов). Если правильно понимаю, то для корректного импорта этого сертификата в наш csp, мне нужно создать контейнер и видимо использовать файлы с .key, которые есть в архиве. Так как если я пробовал импортировать .cer в существующий контейнер или какой-нибудь новосозданный, то получал ошибку Public keys in certificate and container are not identical. Вот версия нашего CSP в контейнере: csptest -keys -enum_cont -verifycontext -fqcn CSP (Type:80) v5.0.10011 KC1 Release Ver:5.0.12600 OS:Linux CPU:AMD64 FastCode:READY:AVX,AVX2.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,844
Сказал(а) «Спасибо»: 455 раз Поблагодарили: 312 раз в 294 постах
|
Автор: V Т файл с расширением .cer и директории с файлами header.key, masks.key, masks2.key, name.key, primary.key, primary2.key Самое простое, это разместить директорию с указанными файлами в хранилище "HDIMAGE" того пользователя, от которого Вы собираетесь производить подписание. Т.е. скопировать папку с ключом и сертификатом по пути: Код:/var/opt/cprocsp/keys/$USER/
После, от того же пользователя, выполнить: Код:/opt/cprocsp/bin/amd64/csptestf -absorb -certs
При желании, уже после, ключ можно скопировать и на другой носитель, токен и т.п. Отредактировано пользователем 30 ноября 2023 г. 15:59:31(UTC)
| Причина: Не указана
|
1 пользователь поблагодарил nickm за этот пост.
|
V Т оставлено 30.11.2023(UTC)
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.09.2023(UTC) Сообщений: 8
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Спасибо за ответ. Сейчас я вижу в /var/opt/cprocsp/keys/ только директорию root. Правильно ли я понимаю, что мне нужно скопировать все .key-файлы сертификата в директорию /var/opt/cprocsp/keys/root, затем выполнить csptestf -absorb -certs, и дальше импортировать .cer-файл? А что тогда с контейнером? Он будет создан автоматически? Отредактировано пользователем 30 ноября 2023 г. 16:07:37(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,844
Сказал(а) «Спасибо»: 455 раз Поблагодарили: 312 раз в 294 постах
|
Автор: V Т Правильно ли я понимаю, что мне нужно скопировать все .key-файлы сертификата в директорию /var/opt/cprocsp/keys/ Нет, так: Автор: nickm Т.е. скопировать папку с ключом и сертификатом по пути: Код:/var/opt/cprocsp/keys/$USER/
Т.е. создать директорию с наименованием пользователя, из-под которого собираетесь работать с ЭП и в эту директорию скопировать: Автор: V Т директория с файлами header.key, masks.key, masks2.key, name.key, primary.key Или Вы собираетесь работать из-под root? Если из-под root, тогда да, копируем имеющуюся директорию с файлами, обратите внимание! не файлы, а директорию с файлами в: Код:/var/opt/cprocsp/keys/root/
Автор: V Т затем выполнить csptestf -absorb -certs, и дальше импортировать .cer-файл? Всё верно, перед этим положите сертификат рядом с ключом (в ту же директорию куда скопируете ключ), и он автоматически свяжется с контейнером при выполнении указанной команды; Автор: V Т А что тогда с контейнером? Он будет создан автоматически? Директория с перечисленными Вами файлами - это и есть ключ в контейнере (как бы это странно не звучало, но папка - это контейнер), который Вы поместите в хранилище "HDIMAGE". Вы можете каждый шаг подтверждать выводами в консоли, если Вас это не затруднит, конечно. Ну, что бы понять и разобраться, да. Отредактировано пользователем 30 ноября 2023 г. 16:19:45(UTC)
| Причина: Не указана
|
1 пользователь поблагодарил nickm за этот пост.
|
V Т оставлено 30.11.2023(UTC)
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.09.2023(UTC) Сообщений: 8
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Этот способ действительно работает. В моём случае я: - загрузил архив с сертификатом ЕСИА в контейнер с csp (в кластер k8s), разархивировал его - внутри файл с расширением .cer и директория контейнера с названием навроде 123456789.000 - скопировал директорию с именем контейнера 123456789.000 в /var/opt/cprocsp/keys/root/ , скопировал файл сертификата (с .cer) туда же (/var/opt/cprocsp/keys/root/) - вызвал csptestf -absorb -certs В итоге команды certmgr -list и csptest -keys -enum_cont -verifycontext -fqcn показали новый сертификат и контейнер. Спасибо! Отредактировано пользователем 1 декабря 2023 г. 12:09:03(UTC)
| Причина: Не указана
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close