Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

31 Страницы«<2728293031>
Опции
К последнему сообщению К первому непрочитанному
Offline J.  
#561 Оставлено : 26 сентября 2019 г. 14:27:14(UTC)
J.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.02.2012(UTC)
Сообщений: 117

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 2 раз в 2 постах
Автор: J. Перейти к цитате
Добрый день

Прошу помощи по настройке Openssl с поддержкой ГОСТ 2001/2012.
Установлен Openssl v. 1.1.1b-gost-0.24 (источник) на Windows

В 'C:\openssl' добавил библиотеку 'gostengy.dll', т.к. команда 'openssl engine', выдавала только '(dynamic) Dynamic engine loading support'
Файл конфигурации 'openssl.cnf' после регистрации библиотеки 'gostengy.dll':


В итоге команда 'openssl engine', не подгружает ГОСТ: '(dynamic) Dynamic engine loading support'

Подскажите пожалуйста, как правильно настроить openssl с поддержкой ГОСТ 2001/2012 для Windows?


после команды 'Set OPENSSL_CONF=C:\openssl\openssl.cnf' команда 'openssl engine' начала выдавать ошибку:

в чем ошибка может быть?
Offline J.  
#562 Оставлено : 26 сентября 2019 г. 14:54:51(UTC)
J.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.02.2012(UTC)
Сообщений: 117

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 2 раз в 2 постах
Автор: J. Перейти к цитате
Автор: J. Перейти к цитате
Добрый день

Прошу помощи по настройке Openssl с поддержкой ГОСТ 2001/2012.
Установлен Openssl v. 1.1.1b-gost-0.24 (источник) на Windows

В 'C:\openssl' добавил библиотеку 'gostengy.dll', т.к. команда 'openssl engine', выдавала только '(dynamic) Dynamic engine loading support'
Файл конфигурации 'openssl.cnf' после регистрации библиотеки 'gostengy.dll':


В итоге команда 'openssl engine', не подгружает ГОСТ: '(dynamic) Dynamic engine loading support'

Подскажите пожалуйста, как правильно настроить openssl с поддержкой ГОСТ 2001/2012 для Windows?


после команды 'Set OPENSSL_CONF=C:\openssl\openssl.cnf' команда 'openssl engine' начала выдавать ошибку:

в чем ошибка может быть?


Причину ошибку нашел. Библиотека 'gostengy.dll' была взята из Nginx x32.
Подскажите, где можно скачать 'gostengy.dll' для OpenSSL x64?

Отредактировано пользователем 26 сентября 2019 г. 14:55:56(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#563 Оставлено : 26 сентября 2019 г. 14:59:53(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 982
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 157 раз в 135 постах
Автор: J. Перейти к цитате
Подскажите, где можно скачать 'gostengy.dll' для OpenSSL x64?

Много ответов есть в FAQ в начале данной темы, в том числе ответ на ваш вопрос.

Знания в базе знаний, поддержка в техподдержке
Offline J.  
#564 Оставлено : 30 сентября 2019 г. 19:57:09(UTC)
J.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.02.2012(UTC)
Сообщений: 117

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 2 раз в 2 постах
Добрый день.
`Openssl v. 1.1.1b-gost-0.24` x64 (источник) с использованием библиотеки `gostengy` (источник) после установки на `Windows 10 Enterprise v.1903 (18362.387)` у меня возникла ошибка совместимости работы с `npm` из пакета `node v.10.16.3` или `nodejs v.12.11.0` (разницы к версии как показали тесты не имеет значение).
На `Windows 10 Enterprise v.1803` `Openssl v. 1.1.1b-gost-0.24` x64 с `npm` из пакета `node v.10.16.3` или `nodejs v.12.11.0` совместима и не мешает работе `npm`.

Источник обсуждения моей ошибки: https://github.com/nodejs/help/issues/2211

Отредактировано пользователем 30 сентября 2019 г. 19:59:32(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#565 Оставлено : 1 октября 2019 г. 0:48:57(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 982
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 157 раз в 135 постах
Автор: J. Перейти к цитате
Добрый день.
`Openssl v. 1.1.1b-gost-0.24` x64 (источник) с использованием библиотеки `gostengy` (источник) после установки на `Windows 10 Enterprise v.1903 (18362.387)` у меня возникла ошибка совместимости работы с `npm` из пакета `node v.10.16.3` или `nodejs v.12.11.0` (разницы к версии как показали тесты не имеет значение).
На `Windows 10 Enterprise v.1803` `Openssl v. 1.1.1b-gost-0.24` x64 с `npm` из пакета `node v.10.16.3` или `nodejs v.12.11.0` совместима и не мешает работе `npm`.

Источник обсуждения моей ошибки: https://github.com/nodejs/help/issues/2211

Судя по стеку, приложение node слинковано с openssl статически, это означает непредсказуемость в работе динамически подгружаемых ENGINE (не важно каких), так как они опираются на динамическую связку с libcrypto, которая подгружаясь в память приложения начинает конфликтовать с уже проинициализированными в рамках статического связывания данными. Получается каша с непредсказуемыми результатами.

Это старая известная проблема общего вида, из-за неё мы специально делаем билд nginx (https://github.com/deemru/nginx/releases) только чтобы просто он собирался с динамической линковкой с openssl.

Похоже вам следует пойти тем же путём и собирать "проблемное" приложение самостоятельно с динамическим связыванием с openssl.

Знания в базе знаний, поддержка в техподдержке
Offline Aleksandr G*  
#566 Оставлено : 1 октября 2019 г. 9:33:43(UTC)
Aleksandr G*

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 117

Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 23 раз в 22 постах
Сталкивались с падением nodejs при статической линковке. Решалось удалением второй инициализации engine в InitCryptoOnce (https://github.com/nodejs/node/issues/7651).

Отредактировано пользователем 1 октября 2019 г. 9:37:07(UTC)  | Причина: Не указана

Offline Андрей Степанов  
#567 Оставлено : 7 ноября 2019 г. 17:05:25(UTC)
Андрей Степанов

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.05.2019(UTC)
Сообщений: 9
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Почему в systemctl status nginx может возникать данная ошибка? (сам nginx рабочий)
<capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004

Причём на nginx собранным с cpro 4 такой ошибки нету, а на nginx с cpro 5 выдает данную ошибку.

Отредактировано пользователем 7 ноября 2019 г. 18:18:13(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#568 Оставлено : 7 ноября 2019 г. 18:23:13(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,927
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 579 раз в 520 постах
Скорее всего это не ошибка, а излишне разговорчивый логгер, в новых версиях будет потише.
Знания в базе знаний, поддержка в техподдержке
Offline Coriolis  
#569 Оставлено : 4 декабря 2019 г. 18:33:13(UTC)
Coriolis

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2018(UTC)
Сообщений: 14
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 3 раз в 2 постах
Доброго времени суток!
Столкнулся с проблемой, не знаю даже с какой стороны подойти. (-keyform ENGINE указан Speak to the hand )
unable to load signing key file
Есть два сертификата, по обоим можно зайти на сайт (например) на mdlp.crpt.ru, подпись срабатывает, всё ок.
Но вот когда в своём ПО пытаюсь подписать, с одним сертификатом норм с другим ошибка.
Вот конфиг openssl:
Код:
openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gostengy = gost_section

[gost_section]
engine_id = gostengy
dynamic_path = gostengy
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1



Вот сделал контрольный пример:
Код:
c:\Temp\testsign>set OPENSSL_CONF=.\openssl.cfg

c:\Temp\testsign>openssl.exe
OpenSSL> engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 185515 $)
OpenSSL> cms -sign -in "in.bin" -signer cert_shevard.cer -out "out.signed" -outform DER -noattr -binary -engine gostengy
 -keyform ENGINE -inkey "00 41 e8 41 68 a0 ea 05 14 51 1a 7c 02 de b0 12 de 12 d2 f9"
engine "gostengy" set.
OpenSSL>
OpenSSL>
OpenSSL> cms -sign -in "in.bin" -signer cert.cer -out "out.signed" -outform DER -noattr -binary -engine gostengy -keyfor
m ENGINE -inkey "b4 16 85 05 0c 02 f5 52 e3 b7 3b 22 aa 83 fe f2 19 f3 74 f5"
engine "gostengy" set.
cannot load signing key file from engine
7368:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:crypto\engine\eng_pkey.c:78:
unable to load signing key file
error in cms
OpenSSL> version
OpenSSL 1.1.0k  28 May 2019
OpenSSL>


Win8.1
КпиптоПРО CSP 4.0.9963
Ядро СКЗИ 4.0.9019 КС1
[img=https://yadi.sk/i/LdBiOPDKkw3Fng]Версия КриптоПРО[/img]

Сами сертификаты конечно различаются. Они на разные юрлица и у того который работает нормально есть в составе пункт "Ограниченная лицензия", а вот в том которые не работает через gostengy там такого нет. Ну и там всякое различается, если надо я могу сюда приложить открытую часть и того и того.

Обидно что обнаружилось такое уже у клиентов, начали ставить когда уже массово а тут такое.
Offline Дмитрий Пичулин  
#570 Оставлено : 4 декабря 2019 г. 18:58:26(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 982
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 157 раз в 135 постах
Автор: Coriolis Перейти к цитате
OpenSSL> cms -sign -in "in.bin" -signer cert.cer -out "out.signed" -outform DER -noattr -binary -engine gostengy -keyfor
m ENGINE -inkey "b4 16 85 05 0c 02 f5 52 e3 b7 3b 22 aa 83 fe f2 19 f3 74 f5"
engine "gostengy" set.
cannot load signing key file from engine
7368:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:crypto\engine\eng_pkey.c:78:
unable to load signing key file

Вы уверены в аргументах, в вашем хранилище точно есть сертификат с отпечатком "b4 16 85 05 0c 02 f5 52 e3 b7 3b 22 aa 83 fe f2 19 f3 74 f5"?

Знания в базе знаний, поддержка в техподдержке
Offline Coriolis  
#571 Оставлено : 4 декабря 2019 г. 19:02:21(UTC)
Coriolis

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2018(UTC)
Сообщений: 14
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 3 раз в 2 постах
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Coriolis Перейти к цитате
OpenSSL> cms -sign -in "in.bin" -signer cert.cer -out "out.signed" -outform DER -noattr -binary -engine gostengy -keyfor
m ENGINE -inkey "b4 16 85 05 0c 02 f5 52 e3 b7 3b 22 aa 83 fe f2 19 f3 74 f5"
engine "gostengy" set.
cannot load signing key file from engine
7368:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:crypto\engine\eng_pkey.c:78:
unable to load signing key file

Вы уверены в аргументах, в вашем хранилище точно есть сертификат с отпечатком "b4 16 85 05 0c 02 f5 52 e3 b7 3b 22 aa 83 fe f2 19 f3 74 f5"?



Дмитрий, обе сертификата с закрытым ключом были выгружены средствами Windows с машин клиентов через pfx и импортированы на тестовую машину в реестр сертификатов, раздел "Личное"
[img=https://yadi.sk/i/gtvIVj2aZ-z8Yw]Вот этот сертификат[/img]

Отредактировано пользователем 4 декабря 2019 г. 19:04:51(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#572 Оставлено : 4 декабря 2019 г. 19:21:05(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 982
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 157 раз в 135 постах
Автор: Coriolis Перейти к цитате
Дмитрий, обе сертификата с закрытым ключом были выгружены средствами Windows с машин клиентов через pfx и импортированы на тестовую машину в реестр сертификатов, раздел "Личное"

Хорошо бы увидеть в той же командной строке, где воспроизводится ошибка вывод:

Код:
"C:\Program Files\Crypto Pro\CSP\certmgr.exe" -l
Знания в базе знаний, поддержка в техподдержке
Offline Coriolis  
#573 Оставлено : 4 декабря 2019 г. 19:25:48(UTC)
Coriolis

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2018(UTC)
Сообщений: 14
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 3 раз в 2 постах
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Coriolis Перейти к цитате
Дмитрий, обе сертификата с закрытым ключом были выгружены средствами Windows с машин клиентов через pfx и импортированы на тестовую машину в реестр сертификатов, раздел "Личное"

Хорошо бы увидеть в той же командной строке, где воспроизводится ошибка вывод:

Код:
"C:\Program Files\Crypto Pro\CSP\certmgr.exe" -l


out.txt (15kb) загружен 6 раз(а).
Offline Дмитрий Пичулин  
#574 Оставлено : 4 декабря 2019 г. 23:39:16(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 982
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 157 раз в 135 постах
Автор: Coriolis Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Coriolis Перейти к цитате
Дмитрий, обе сертификата с закрытым ключом были выгружены средствами Windows с машин клиентов через pfx и импортированы на тестовую машину в реестр сертификатов, раздел "Личное"

Хорошо бы увидеть в той же командной строке, где воспроизводится ошибка вывод:

Код:
"C:\Program Files\Crypto Pro\CSP\certmgr.exe" -l


out.txt (15kb) загружен 6 раз(а).

Ну да, всё честно, должно работать.

Попробуйте ещё вариант через идентификатор этого ключа: -inkey "3d6013a6835b71c31c46b7900d6b4d04d11c183f"
Знания в базе знаний, поддержка в техподдержке
Offline Андрей Писарев  
#575 Оставлено : 5 декабря 2019 г. 3:33:36(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,354
Мужчина
Российская Федерация

Сказал «Спасибо»: 342 раз
Поблагодарили: 1347 раз в 1046 постах
Здравствуйте.

Автор: Coriolis Перейти к цитате
Доброго времени суток!
Столкнулся с проблемой, не знаю даже с какой стороны подойти. (-keyform ENGINE указан Speak to the hand )
unable to load signing key file
Есть два сертификата, по обоим можно зайти на сайт (например) на mdlp.crpt.ru, подпись срабатывает, всё ок.




Имеете ввиду - выбрали в списке сертификат и вошли?
Там же передается отпечаток для проверки регистрации в системе, а не подписание каких либо данных.
Хотя могу ошибаться и после проверки отпечатка на регистрацию в ЧЗ - выполняется подписание.



Автор: Coriolis Перейти к цитате

Но вот когда в своём ПО пытаюсь подписать, с одним сертификатом норм с другим ошибка.

...


cannot load signing key file from engine
7368:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:crypto\engine\eng_pkey.c:78:
unable to load signing key file
error in cms


у того который работает нормально есть в составе пункт "Ограниченная лицензия",
а вот в том которые не работает через gostengy там такого нет. Ну и там всякое различается, если надо я могу сюда приложить открытую часть и того и того.

Обидно что обнаружилось такое уже у клиентов, начали ставить когда уже массово а тут такое.


А статус лицензии на КриптоПРО CSP какой или ошибаюсь в направлении?

Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#576 Оставлено : 5 декабря 2019 г. 5:04:29(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,005
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 63 раз
Поблагодарили: 228 раз в 214 постах
Для gostengy у меня просто было указано default_algorithms = ALL и прописан путь. Интересная у Вас сборка openssl, что находит engine без пути. Впрочем, у меня сейчас такая сборка, что вообще грузит engine из определенной папки без единой строки конфига. Скорее всего конечно дело не в этом, а в лицензии.

На всякий случай можно попробовать: 1) протестировать контейнер b609f9d8-c781-4053-96c1-7275271c8729 на предмет ошибок и процитировать вывод теста сюда. Все же engine только "мостик" к Криптопро CSP и реальная ошибка скорее всего возникает в криптопровайдере. Если дело в лицензии, то тест контейнера выдаст более специфический код ошибки; 2) протестировать вариант с прямым обращением к контейнеру мимо хранилища, это исключит ошибки хранилища сертификатов и привязки
Код:
-inkey c:b609f9d8-c781-4053-96c1-7275271c8729
-inkey c:"b609f9d8-c781-4053-96c1-7275271c8729"

Отредактировано пользователем 5 декабря 2019 г. 5:27:19(UTC)  | Причина: Не указана

Offline Coriolis  
#577 Оставлено : 5 декабря 2019 г. 10:07:29(UTC)
Coriolis

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2018(UTC)
Сообщений: 14
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 3 раз в 2 постах
Коллеги, большое всем спасибо за помощь, я таки разобрался как подписать этой подписью.
помогло -inkey c:182520a2-4cc5-48d0-9251-1f5b741cda7f
без кавычек кстати, с кавычками он такой ключ и пытается найти, с кавычками (всплывает окно криптоПРО с требованием вставить носитель)


Цитата:
Попробуйте ещё вариант через идентификатор этого ключа: -inkey "3d6013a6835b71c31c46b7900d6b4d04d11c183f"

так тоже не видет, выдаёт ту же ошибку, пробовал и без кавычек.

Однако! Это частное решение для частной проблемы. А системный подход я не понимаю как выработать.

Я для чистоты эксперимента и логов удалил всё, оставил два сертификата:

И попробовал вот что:
1. подписать Чесноковой с указанием ключа через имя контейнера: успешно
2. подписать Чесноковой с указанием ключа через отпечаток: ошибка, та же самая, я просто для наглядности
3. подписать сертификатом другой фирмы, КТТсервисстрой через отпечаток: успешно!
В чём разница? Ну почему он чеснокову не находит, что не так-то?

Код:

OpenSSL> cms -sign -in "in.bin" -signer cert.cer -out "out.signed" -outform DER -noattr -binary -engine gostengy -keyfor
m ENGINE -inkey c:182520a2-4cc5-48d0-9251-1f5b741cda7f
engine "gostengy" set.
OpenSSL> ;УСПЕХ, ключ указан через имя контейнера!
OpenSSL> cms -sign -in "in.bin" -signer cert.cer -out "out.signed" -outform DER -noattr -binary -engine gostengy -keyfor
m ENGINE -inkey b41685050c02f552e3b73b22aa83fef219f374f5
engine "gostengy" set.
cannot load signing key file from engine
4088:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:crypto\engine\eng_pkey.c:78:
unable to load signing key file
error in cms
OpenSSL> ;ПРОВАЛ, ключ указан через отпечаток
OpenSSL>
OpenSSL> cms -sign -in "in.bin" -signer cert_ktt.cer -out "out.signed" -outform DER -noattr -binary -engine gostengy -ke
yform ENGINE -inkey 35b8e9bcd33938c11bfb8ef3d6f21eb87488ff3d
engine "gostengy" set.
;снова УСПЕХ, ключ указан через отпечаток!!!


Вот список сертификатов: list.txt (6kb) загружен 4 раз(а).

И вот я пока так представляю, допустим, что-то мешает работать через слепок (явно что-то в openSSL+gostengy, сайты-то работают).
Тогда я перейду на именование по контейнеру.
Но вот другая проблема сразу - вот получил я список сертификатов чудесной утилитой certmgr.exe (Кстати, Дмитрий, спасибо отдельное за неё, не знал).
И тот сертификат которым я подписываю успешно по слепку имеет имя контейнера с русскими буквами и с пробелами. А openssl.exe не умеет в кавычках принимать, в итоге решение через c: работает для одного но не работает для другого. Переименовать можно как-то контейнер?

Отредактировано пользователем 5 декабря 2019 г. 10:58:22(UTC)  | Причина: Не указана

Offline two_oceans  
#578 Оставлено : 5 декабря 2019 г. 10:39:16(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,005
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 63 раз
Поблагодарили: 228 раз в 214 постах
Автор: Coriolis Перейти к цитате
И попробовал вот что:
1. подписать Чесноковой с указанием ключа через имя контейнера: успешно
2. подписать Чесноковой с указанием ключа через отпечаток: ошибка, та же самая, я просто для наглядности
3. подписать сертификатом другой фирмы, КТТсервисстрой через отпечаток: успешно!
В чём разница? Ну почему он чеснокову не находит, что не так-то?
Фундаментально это означает ошибку поиска через хранилище сертификатов по отпечатку, что-то из этого: 1) сертификат с таким отпечатком отсутствует в хранилище или не то хранилище; 2) поиск прерывается на сертификате, расположенном до нужного или на нужном (например, в хранилище некий сертификат с "недопустимыми символами", при этом плагин для сайтов может не спотыкаться на этих же символах); 3) сертификат успешно нашелся, но для него указана неверная ссылка на контейнер (например, контейнер уже переименовали/переместили на другой носитель/удалили/вытащили флешку). Хотя конечно обычно это дает окно "вставьте носитель".
Автор: Coriolis Перейти к цитате
И тот сертификат которым я подписываю успешно по слепку имеет имя контейнера с русскими буквами и с пробелами. А openssl.exe не умеет в кавычках принимать, в итоге решение через c: работает для одного но не работает для другого. Переименовать можно как-то контейнер?
Во-первых, кавычки по идее должны работать, у меня как-то получалось, надо только подобрать их правильное использование. Во-вторых, штатного способа переименования нет, официально нужно сделать копию контейнера с новым именем, проверить, удалить изначальную копию.
После копирования или переименования нужно переустановить сертификат, чтобы связать с новым именем контейнера.

Отредактировано пользователем 5 декабря 2019 г. 11:07:24(UTC)  | Причина: Не указана

Offline Coriolis  
#579 Оставлено : 5 декабря 2019 г. 11:28:36(UTC)
Coriolis

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2018(UTC)
Сообщений: 14
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 3 раз в 2 постах
Автор: two_oceans Перейти к цитате
Фундаментально это означает ошибку поиска через хранилище сертификатов по отпечатку, что-то из этого: 1) сертификат с таким отпечатком отсутствует в хранилище или не то хранилище; 2) поиск прерывается на сертификате, расположенном до нужного или на нужном (например, в хранилище некий сертификат с "недопустимыми символами", при этом плагин для сайтов может не спотыкаться на этих же символах); 3) сертификат успешно нашелся, но для него указана неверная ссылка на контейнер (например, контейнер уже переименовали/переместили на другой носитель/удалили/вытащили флешку). Хотя конечно обычно это дает окно "вставьте носитель".
Автор: Coriolis Перейти к цитате
И тот сертификат которым я подписываю успешно по слепку имеет имя контейнера с русскими буквами и с пробелами. А openssl.exe не умеет в кавычках принимать, в итоге решение через c: работает для одного но не работает для другого. Переименовать можно как-то контейнер?
Во-первых, кавычки по идее должны работать, у меня как-то получалось, надо только подобрать их правильное использование. Во-вторых, штатного способа переименования нет, официально нужно сделать копию контейнера с новым именем, проверить, удалить изначальную копию.
После копирования или переименования нужно переустановить сертификат, чтобы связать с новым именем контейнера.


Блестяще! Вот спасибище! В самом деле, правльно использовать вот так:
-inkey "c:ляляляляляляляляляля" вместо -inkey c:"ляляляляляляляляляля"

Так же, с кодировкой проблема, certmgr.exe выгружает в OEM866 (я делаю через certmgr.exe -list >list.txt) и вот в OpenSSL надо передавать в кодировке DOS :-)

Ну, в общем-то обходными путями я проблему у себя решу, большое всем спасибо.

thanks 1 пользователь поблагодарил Coriolis за этот пост.
pd оставлено 05.12.2019(UTC)
Offline two_oceans  
#580 Оставлено : 5 декабря 2019 г. 12:21:35(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,005
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 63 раз
Поблагодарили: 228 раз в 214 постах
Автор: Coriolis Перейти к цитате
Так же, с кодировкой проблема, certmgr.exe выгружает в OEM866 (я делаю через certmgr.exe -list >list.txt) и вот в OpenSSL надо передавать в кодировке DOS :-)
Скорее всего поможет выполнить chcp 1251 перед openssl для использования другой кодировки консоли (и поменять шрифт на "Люсида консоль"). К слову сам openssl также из коробки поддерживает utf8, но не во всех командах (добавить -utf8 к команде, предварительно сменив кодировку консоли chcp 65001, однако обычные системные команды валятся в 65001, поэтому менять на 65001 непосредственно перед вызовом openssl и возвращать на 1251/866 после вызова). к сожалению не в курсе, входит ли команда подписания в их число.

UPD: Да, проверил если выполнить chcp 1251 потом certmgr.exe -list > d:\list.txt то кодировка в файле меняется.

Отредактировано пользователем 5 декабря 2019 г. 12:29:25(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
Андрей * оставлено 05.12.2019(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
31 Страницы«<2728293031>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.