Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

8 Страницы«<678
Опции
К последнему сообщению К первому непрочитанному
Offline Riddick-84  
#71 Оставлено : 14 февраля 2019 г. 0:18:52(UTC)
Riddick-84

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 44
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 4 раз
Пытаюсь запустить curl для проверки клиентской аутентификации на сервере нгинкс + гост 2012.
Без аутентификации сервер работает по гост

Генерирую клиентские сертификаты на клиентской машине

Код:

aclient_certname="aclient.com"
aclient_container="aclient"

certs_path_client=/etc/certs/client/gost/cpro/

provtype='81' #75, 80, 81
provnameKC1='Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP'

provnameKC2='Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP'

mkdir -p ${certs_path_client}
##
## Генерация тестового сертефиката клиента A:

/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype ${provtype} -provname "${provnameKC1}" -rdn "CN=${aclient_certname}" -cont "\\\\.\\HDIMAGE\\${aclient_container}" -certusage 1.3.6.1.5.5.7.3.2 -ku -du -ex -ca http://cryptopro.ru/certsrv || exit 1

#
## Смена KC1 на KC2 в имени провайдера, так как nginx работает с провайдером KC2:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont "\\\\.\\HDIMAGE\\${aclient_container}" -provtype ${provtype} -provname "${provnameKC2}" || exit 1

#Далее получаю серийник сертификата
/opt/cprocsp/bin/amd64/certmgr -list -store umy -dn "CN=${aclient_certname}"



вывод команды


Беру серийник и вставляю в курл и получаю ошибку

Вот конфиг нгинкса


вот содержимое ca-bundle-pem (это набор сертификатов доверенных уц которые выдают как клиентские так и серверные сертификаты)

Второе это сертификат тестового уц криптопро (локального)


Для двусторонней аутентификации по РСА используется такая же схема работы
и там все прекрасно работает
вот команда


Тут еще задается ключ как задать ключ в криптопрошном curl не понятно

версия curl


В общем кто знает или сталкивался подскажите, плиз, в чем ошибка.

Отредактировано пользователем 14 февраля 2019 г. 1:02:24(UTC)  | Причина: Не указана

Offline Riddick-84  
#72 Оставлено : 14 февраля 2019 г. 20:30:04(UTC)
Riddick-84

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 44
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 4 раз
в общем нашел ответ
--cert: используем SHA1 хэш сертификата полученный через /opt/cprocsp/bin/amd64/certmgr -list
--ca-cert: используем серт УЦ криптопро тестового ( или того который выдал и клиентский и серверный серты)
--cert-type: хранилище сертифиатов юзера ( у меня это root)

Код:
/opt/cprocsp/bin/amd64/curl -vvv --ciphers "GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89" \
--cacert /etc/certs/ca-crt-cpro.pem \
  --cert "5992274720def83ef7b99aa7d5957aa2856106f4" \ 
--cert-type "CERT_SHA1_HASH_PROP_ID:CERT_SYSTEM_STORE_CURRENT_USER:MY" \
  --url https://meteotravel.ru/


Команда для генерации клиентского серта (Нужно использовать кс1 провайдер, на кс2 как для серверного не менять)

Код:
/opt/cprocsp/bin/amd64/cryptcp -creatcert -exprt -provtype 81 -provname "Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP" -rdn "CN=client.com" -cont "\\\\.\\HDIMAGE\\client" -certusage "1.3.6.1.5.5.7.3.2" -ku -both -ca http://cryptopro.ru/certsrv || exit 1
Offline Riddick-84  
#73 Оставлено : 17 февраля 2019 г. 13:51:05(UTC)
Riddick-84

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 44
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 4 раз
Как выполнить генерацию ключа и сертификата на уц 2.0 последнего релиза чтобы было аналогично команде
Код:
/opt/cprocsp/bin/amd64/cryptcp -creatcert -exprt -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn "CN=kclient.com" -cont "\\\\.\\HDIMAGE\\kclient" -certusage "1.3.6.1.5.5.7.3.4,1.3.6.1.4.1.311.10.3.12,1.3.6.1.5.5.7.3.2,1.2.643.5.1.28.5.1.1,1.2.643.2.2.34.6" -ku -ca http://cryptopro.ru/certsrv 

Установил что клиентская аутентификация для nginx+ gostengy работает только с такими сертификатами
либо у которых указан ключ -both в команде

Отредактировано пользователем 17 февраля 2019 г. 13:51:57(UTC)  | Причина: Не указана

Offline Буянов Иван  
#74 Оставлено : 17 июля 2021 г. 0:32:10(UTC)
Буянов Иван

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.10.2018(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Alt 8.1 amd64 (9.1 aarch64 аналогично)
cprocsp 5.0.12000-6.x86_64

имеем установленную системную curl и cprocsp-curl
при вызове capilite CertGetCertificateChain ловится краш

munmap_chunk(): invalid pointer: 0x00007fffc4982dd0 ***
======= Backtrace: =========
/lib64/libc.so.6(+0x6f325)[0x7ffff4e65325]
/lib64/libc.so.6(+0x74ae6)[0x7ffff4e6aae6]
/usr/lib64/libcurl.so.4(+0x3136e)[0x7ffff7b8636e]
/usr/lib64/libcurl.so.4(curl_multi_cleanup+0xdc)[0x7ffff7b8821c]
/opt/cprocsp/lib/amd64/libcpcurl.so(curl_easy_perform+0x1a9)[0x7fffc497ebd9]
/opt/cprocsp/lib/amd64/liburlretrieve.so.4(_ZN12UrlRetriever12retrieve_urlEPKc+0x621)[0x7fffda1f9c91]
/opt/cprocsp/lib/amd64/libcapi20.so.4(+0xc0e4b)[0x7fffda4bce4b]
/opt/cprocsp/lib/amd64/libcapi20.so.4(+0xc16b1)[0x7fffda4bd6b1]
/opt/cprocsp/lib/amd64/libcapi20.so.4(CryptRetrieveObjectByUrlA+0xd6)[0x7fffda4bd856]
/opt/cprocsp/lib/amd64/libcapi20.so.4(+0x6c3bb)[0x7fffda4683bb]
/opt/cprocsp/lib/amd64/libcapi20.so.4(+0x6c4f0)[0x7fffda4684f0]
/opt/cprocsp/lib/amd64/libcapi20.so.4(+0x74976)[0x7fffda470976]
/opt/cprocsp/lib/amd64/libcapi20.so.4(+0x74b9c)[0x7fffda470b9c]
/opt/cprocsp/lib/amd64/libcapi20.so.4(+0x74e36)[0x7fffda470e36]
/opt/cprocsp/lib/amd64/libcapi20.so.4(+0xb9794)[0x7fffda4b5794]
/opt/cprocsp/lib/amd64/libcapi20.so.4(CertGetCertificateChain+0x6e)[0x7fffda4b5e1e]

удаление cprocsp-curl помогает, но хотелось бы более элегантное решение\исправление.
В нашем коде вызовы curl также используются.

Отредактировано пользователем 19 июля 2021 г. 1:33:55(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
8 Страницы«<678
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.