Форум КриптоПро
»
Средства криптографической защиты информации
»
Linux, Solaris etc.
»
Fedora - 1.Получение/экспорт/импорт тестовых сертификатов? 2.Не нашел фцнкции CertOIDToAlgId?
Статус: Новичок
Группы: Участники
Зарегистрирован: 22.04.2008(UTC) Сообщений: 9 Откуда: Moscow
|
На windows вопросов нет - клиент подписывает и отправляет, сервер получает, проверяет подпись и отвечает с подписанием, клиент получает и проверяет и т.д. Сертификаты с набором ключей тестовые. Есть задача - перенести сервер (а в общем не важно) на linux - принципиальная оценка работоспособности cryptopro на linux (делать отдельный критпосервер на win или же заставить работать все на linux).
Что сделал: 1. скачал версию 2 для RH9, установил пакеты (без GUI и дополнительных носителей). 2. попробовал экспорт сертификатов с ключами из win (получаются только публичные) - проходит нормальный импорт в linux (обидно нет закрытого ключа) 3. из win пропробовал запросить сертификат c носителем ключа (гибкий диск), экспорт, импорт в linux - ругается на пробную версию - пишет "осталось 15 дней" 4. пробовал запросить тестовый сертификат с ключами из linux - страничка загружается, а вот список алгоритмов/гостов - пишет "Загрузка..." ждать можно часами. Соотвественно никакого сертификата.
Вопрос в следующем - как мне установить/перенести тестовый сертификат с секретным ключем на linux. Обменный сертификат с публичным ключем устанавливется нормально.
И второй вопрос - не нашел функции в API под linux - CertOIDToAlgId? чем мне заменить CertOIDToAlgId('1.2.643.2.2.9')?
С решением 2 вопроса - я смогу проверить подпись, а с решением 1 вопроса еще и подписать :).
С уважением, Николай.
PS - тестирование на fedora 6/32, cryptopro csp2 - тестовые версии.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC) Сообщений: 1,491 Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
Уточните пожалуйста: какую именно версию CSP вы поставили и какие именно пакеты? Для RH9 у нас есть КриптоПро CSP версии 3.0. Криптопровайдер сертифицирован для работы под управлением определенных операционных систем, с другими он не тестировался и не являлется сертифицированным решением для криптографической защиты информации. В linux генерация сертификатов через браузер не поддерживается. Если вы хотите перенести сертификат с ключами с windows в linux, то разумно сделать это следующим образом: -если в windows ключи хранятся на неотчуждаемом(реестр) или неподдерживаемом в linux носителе(например, rutoken, etoken....), скопировать ключи на отчуждаемый поддерживаемый носитель(самое простое -- на дискетку). Копирование осуществляется стандартными средствами (панель управления - КриптоПро CSP - сервис - скопировать контейнер) -получите файл сертификата(если сертификата нет в виде файла, его можно экспортироать из хранилища сертификатов: IE - сервис - свойства обозревателя - содержание - сертификаты - вкладка с хранилищем - сертификат - экспорт) -перенесите дискету с ключами и файл сертификата на машину с линуксом -произведите установку при помощи /usr/CPROcsp/bin/storeman (при этом имя контейнера ключа указывается в формате '\\.\FAT12_0\имя_контейнера'), его можно уточнить, выполнив /usr/CPROcsp/csptest -keyset -enum_cont -fqcn -verifycontext То, что при работе с закрытыми ключами выдается сообщение о том, что срок действия тестовой лицензии ограничен -- нормально. Проверка лицензии осуществляется как раз при обращении к закрытым ключам. Если вы хотите сформировать запрос на сертификат на машине с linux, можно воспользоваться для этой цели утилитой cryptcp с командой -creatrqst для формирования запроса и с командой -instcert для установки выпущенного по запросу сертификата(см. CryptCP.pdf) Если вы используете наш тестовый ЦС, то запрос можно обработать при помощи http://www.cryptopro.ru/certsrv/certrqxt.asp . |
Татьяна ООО Крипто-Про |
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 22.04.2008(UTC) Сообщений: 9 Откуда: Moscow
|
Доброго времени суток, Татьяна. Извиняюсь, да, 3 версия - скачивал КриптоПро CSP 3.0 для Red Hat Linux 9. Установил пакеты: cpcsp-rdr-3.0.4-10.i386.rpm cpcsp-3.0.4-9.i386.rpm cpcsp-capilite-3.0.4-10.i386.rpm cpcsp-devel-3.0.4-10.i386.rpm Больше ничего не ставил. Использовать буду эмулятор реестра. Работа с сертификатами storeman - как раз с ним работал. API работатет: инициализация, завершение, поиск сертификатов, контексты (за исключение private key - его пока нет :)). Попробую вышеописанные действия - отпишусь. По поводу второго вопроса - на windows эта функция возвращает - 32798 - связать с сертификатами или с другими константами я не смог :(. Константа это или что - я не знаю. С уважением, Николай. Отредактировано пользователем 22 апреля 2008 г. 21:57:55(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC) Сообщений: 1,491 Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
не совсем понятно что вы подразумеваете под эмулятором реестра. Для linux неотчуждаемым от машины носителем является сруктура дискеты на жестком диске(hdimage). эта функция возвращает идентификатор алгоритма: http://msdn2.microsoft.c...us/library/aa924357.aspx |
Татьяна ООО Крипто-Про |
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 22.04.2008(UTC) Сообщений: 9 Откуда: Moscow
|
Доброо времени суток, Татьяна.
>>не совсем понятно что вы подразумеваете под эмулятором реестра. это мой субьективный термин при работе криптопро с сертификатами, находящимися на жестком диске :)
Экспорт сертификата с машины windows на машину linux (по вашей рекомендации) прошел нормально. Но есть вопросы:
1. При импорте сертификата storeman воспринимает только тип ключа exchange, на тип signature - ругается, хотя сертификат запрашивал с обоими видами ключей - это нормально ?
2. Пробую подписать блок данных - идет обращение к дискете, без нее - ошибки. И вот как раз в тему ваше замечание: >> Для linux неотчуждаемым от машины носителем является сруктура дискеты на жестком диске(hdimage). Как мне сделать чтобы ключи/содержимое дискеты было на жестком диске (аналогично windows, где все в реестре) без обращения к дополнительным носителям?
С уважением, Николай.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC) Сообщений: 1,491 Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
Ключ обмена позволяет осуществлять и операцию подписи и операцию шифрования, ключ подписи -- только подпись. Если ключ at_exchange есть, указывается он.
Простановка цифровой подписи требует обращенния к ключам, это нормально.
Если вы формируете запрос на linux машине, то сделать ключи на жестком диске можно указав в качестве имени контейнера '\\.\HDIMAGE\имя_контейнера', например: cryptcp -creatrqst -dn "CN=Ivanov E=Ivanov_I@mail.ru" -cont '\\.\HDIMAGE\ivanov' Если требуется скопировать контейнер с дискетки на жесткий диск, можно использовать утилиту csptest с командой -keycopy, например: ./csptest -keycopy -src '\\.\FAT12_0\12345' -dest '\\.\HDIMAGE\67890'
Если вы хотите использовать сертификат с привязкой к ключам на жестком диске, необходимо будет установить его storeman'ом с привязкой к ключам на жестком диске. |
Татьяна ООО Крипто-Про |
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 22.04.2008(UTC) Сообщений: 9 Откуда: Moscow
|
Ну вот, все функции API работают без ошибок. Процесс подписи(с дискетой) и проверки подписи проходит нормально. Скопировал контейнер дискеты на жесткий диск, отключил в config.ini FAT12 - чтоб дисковод вообще не дергал. Установил заново сертификат с указанием ключа - ...HDIMAGE.... На вскидку подпись работает.
Татьяна, большое спасибо.
Николай.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC) Сообщений: 1,491 Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
|
Татьяна ООО Крипто-Про |
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 22.04.2008(UTC) Сообщений: 9 Откуда: Moscow
|
Доброго времени суток, всем. Решил отписаться об окончательном тестировании для информации (мож кому пригодится). Встроил работу с подписями на серверное приложение. Многопоточный режим (многопроцессовый), по статистике 3-10 запросов в секунду (1 запрос в реалии 2х фазный, т.е. 2 запроса, на каждый запрос проверка подписи и подписание ответа) - полет нормальный, память не ест. Тестировался на fedore 6 (32 битной).
С уважением, Николай.
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
Linux, Solaris etc.
»
Fedora - 1.Получение/экспорт/импорт тестовых сертификатов? 2.Не нашел фцнкции CertOIDToAlgId?
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close