Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline lnick  
#1 Оставлено : 22 апреля 2008 г. 17:31:13(UTC)
lnick

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 9
Откуда: Moscow

На windows вопросов нет - клиент подписывает и отправляет, сервер получает, проверяет подпись и отвечает с подписанием, клиент получает и проверяет и т.д.
Сертификаты с набором ключей тестовые.
Есть задача - перенести сервер (а в общем не важно) на linux - принципиальная оценка работоспособности cryptopro на linux (делать отдельный критпосервер на win или же заставить работать все на linux).

Что сделал:
1. скачал версию 2 для RH9, установил пакеты (без GUI и дополнительных носителей).
2. попробовал экспорт сертификатов с ключами из win (получаются только публичные) - проходит нормальный импорт в linux (обидно нет закрытого ключа)
3. из win пропробовал запросить сертификат c носителем ключа (гибкий диск), экспорт, импорт в linux - ругается на пробную версию - пишет "осталось 15 дней"
4. пробовал запросить тестовый сертификат с ключами из linux - страничка загружается, а вот список алгоритмов/гостов - пишет "Загрузка..." ждать можно часами. Соотвественно никакого сертификата.

Вопрос в следующем - как мне установить/перенести тестовый сертификат с секретным ключем на linux. Обменный сертификат с публичным ключем устанавливется нормально.

И второй вопрос - не нашел функции в API под linux - CertOIDToAlgId? чем мне заменить CertOIDToAlgId('1.2.643.2.2.9')?

С решением 2 вопроса - я смогу проверить подпись, а с решением 1 вопроса еще и подписать :).

С уважением, Николай.

PS - тестирование на fedora 6/32, cryptopro csp2 - тестовые версии.
Offline Татьяна  
#2 Оставлено : 22 апреля 2008 г. 20:31:13(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
Уточните пожалуйста: какую именно версию CSP вы поставили и какие именно пакеты? Для RH9 у нас есть КриптоПро CSP версии 3.0. Криптопровайдер сертифицирован для работы под управлением определенных операционных систем, с другими он не тестировался и не являлется сертифицированным решением для криптографической защиты информации.

В linux генерация сертификатов через браузер не поддерживается.

Если вы хотите перенести сертификат с ключами с windows в linux, то разумно сделать это следующим образом:
-если в windows ключи хранятся на неотчуждаемом(реестр) или неподдерживаемом в linux носителе(например, rutoken, etoken....), скопировать ключи на отчуждаемый поддерживаемый носитель(самое простое -- на дискетку). Копирование осуществляется стандартными средствами (панель управления - КриптоПро CSP - сервис - скопировать контейнер)
-получите файл сертификата(если сертификата нет в виде файла, его можно экспортироать из хранилища сертификатов: IE - сервис - свойства обозревателя - содержание - сертификаты - вкладка с хранилищем - сертификат - экспорт)
-перенесите дискету с ключами и файл сертификата на машину с линуксом
-произведите установку при помощи /usr/CPROcsp/bin/storeman (при этом имя контейнера ключа указывается в формате '\\.\FAT12_0\имя_контейнера'), его можно уточнить, выполнив /usr/CPROcsp/csptest -keyset -enum_cont -fqcn -verifycontext

То, что при работе с закрытыми ключами выдается сообщение о том, что срок действия тестовой лицензии ограничен -- нормально. Проверка лицензии осуществляется как раз при обращении к закрытым ключам.

Если вы хотите сформировать запрос на сертификат на машине с linux, можно воспользоваться для этой цели утилитой cryptcp с командой -creatrqst для формирования запроса и с командой -instcert для установки выпущенного по запросу сертификата(см. CryptCP.pdf) Если вы используете наш тестовый ЦС, то запрос можно обработать при помощи http://www.cryptopro.ru/certsrv/certrqxt.asp .

Татьяна
ООО Крипто-Про
Offline lnick  
#3 Оставлено : 22 апреля 2008 г. 21:55:47(UTC)
lnick

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 9
Откуда: Moscow

Доброго времени суток, Татьяна.
Извиняюсь, да, 3 версия - скачивал КриптоПро CSP 3.0 для Red Hat Linux 9.
Установил пакеты:

cpcsp-rdr-3.0.4-10.i386.rpm
cpcsp-3.0.4-9.i386.rpm
cpcsp-capilite-3.0.4-10.i386.rpm
cpcsp-devel-3.0.4-10.i386.rpm

Больше ничего не ставил. Использовать буду эмулятор реестра.
Работа с сертификатами storeman - как раз с ним работал.
API работатет: инициализация, завершение, поиск сертификатов, контексты (за исключение private key - его пока нет :)).

Попробую вышеописанные действия - отпишусь.

По поводу второго вопроса - на windows эта функция возвращает - 32798 - связать с сертификатами или с другими константами я не смог :(. Константа это или что - я не знаю.

С уважением, Николай.

Отредактировано пользователем 22 апреля 2008 г. 21:57:55(UTC)  | Причина: Не указана

Offline Татьяна  
#4 Оставлено : 23 апреля 2008 г. 14:56:35(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
не совсем понятно что вы подразумеваете под эмулятором реестра. Для linux неотчуждаемым от машины носителем является сруктура дискеты на жестком диске(hdimage).

эта функция возвращает идентификатор алгоритма: http://msdn2.microsoft.c...us/library/aa924357.aspx
Татьяна
ООО Крипто-Про
Offline lnick  
#5 Оставлено : 23 апреля 2008 г. 15:48:02(UTC)
lnick

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 9
Откуда: Moscow

Доброо времени суток, Татьяна.

>>не совсем понятно что вы подразумеваете под эмулятором реестра.
это мой субьективный термин при работе криптопро с сертификатами, находящимися на жестком диске :)

Экспорт сертификата с машины windows на машину linux (по вашей рекомендации) прошел нормально.
Но есть вопросы:

1. При импорте сертификата storeman воспринимает только тип ключа exchange, на тип signature - ругается, хотя сертификат запрашивал с обоими видами ключей - это нормально ?

2. Пробую подписать блок данных - идет обращение к дискете, без нее - ошибки.
И вот как раз в тему ваше замечание:
>> Для linux неотчуждаемым от машины носителем является сруктура дискеты на жестком диске(hdimage).
Как мне сделать чтобы ключи/содержимое дискеты было на жестком диске (аналогично windows, где все в реестре) без обращения к дополнительным носителям?

С уважением, Николай.
Offline Татьяна  
#6 Оставлено : 23 апреля 2008 г. 16:35:23(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
Ключ обмена позволяет осуществлять и операцию подписи и операцию шифрования, ключ подписи -- только подпись. Если ключ at_exchange есть, указывается он.

Простановка цифровой подписи требует обращенния к ключам, это нормально.

Если вы формируете запрос на linux машине, то сделать ключи на жестком диске можно указав в качестве имени контейнера '\\.\HDIMAGE\имя_контейнера', например:
cryptcp -creatrqst -dn "CN=Ivanov E=Ivanov_I@mail.ru" -cont '\\.\HDIMAGE\ivanov'
Если требуется скопировать контейнер с дискетки на жесткий диск, можно использовать утилиту csptest с командой -keycopy, например:
./csptest -keycopy -src '\\.\FAT12_0\12345' -dest '\\.\HDIMAGE\67890'

Если вы хотите использовать сертификат с привязкой к ключам на жестком диске, необходимо будет установить его storeman'ом с привязкой к ключам на жестком диске.
Татьяна
ООО Крипто-Про
Offline lnick  
#7 Оставлено : 23 апреля 2008 г. 17:57:19(UTC)
lnick

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 9
Откуда: Moscow

Ну вот, все функции API работают без ошибок.
Процесс подписи(с дискетой) и проверки подписи проходит нормально.
Скопировал контейнер дискеты на жесткий диск, отключил в config.ini FAT12 - чтоб дисковод вообще не дергал.
Установил заново сертификат с указанием ключа - ...HDIMAGE....
На вскидку подпись работает.

Татьяна, большое спасибо.

Николай.
Offline Татьяна  
#8 Оставлено : 23 апреля 2008 г. 18:42:13(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
пожалуйста
Татьяна
ООО Крипто-Про
Offline lnick  
#9 Оставлено : 24 апреля 2008 г. 15:08:28(UTC)
lnick

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 9
Откуда: Moscow

Доброго времени суток, всем.
Решил отписаться об окончательном тестировании для информации (мож кому пригодится).
Встроил работу с подписями на серверное приложение.
Многопоточный режим (многопроцессовый), по статистике 3-10 запросов в секунду (1 запрос в реалии 2х фазный, т.е. 2 запроса, на каждый запрос проверка подписи и подписание ответа) - полет нормальный, память не ест.
Тестировался на fedore 6 (32 битной).

С уважением, Николай.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.