Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

19 Страницы«<16171819>
Опции
К последнему сообщению К первому непрочитанному
Offline Extremal1981  
#171 Оставлено : 19 апреля 2019 г. 15:16:43(UTC)
Extremal1981

Статус: Участник

Группы: Участники
Зарегистрирован: 02.12.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Омск

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 5 раз в 4 постах
Поставил уже и пятую версию, ничего не изменилось. Так же запрос пин и возврат на страницу аутентификации.

sudo dpkg -l | grep cpro


Пока в ступоре..
Offline Extremal1981  
#172 Оставлено : 20 апреля 2019 г. 7:38:21(UTC)
Extremal1981

Статус: Участник

Группы: Участники
Зарегистрирован: 02.12.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Омск

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 5 раз в 4 постах
Ура! Заработало.
Вобщем у меня всё было установлено и настроено, но вот один нюанс выяснился.
Проблема в том, что библиотека /opt/cprocsp/lib/amd64/libcppkcs11.so , которую использует ifcplugin не отдаёт label закрытого ключа
если сертификат не находится внутри контейнера с этим ключём.
Причём, как выяснилось, это характерно только для ГОСТ2012.
Увидеть это можно выполнив:


Вобщем проблема решаема, но она есть! Так как многие УЦ, в том числе и тот, что выдал мне ЭЦП, сертификат генерит отдельным файлом вне контейнера. И установить его в контейнер можно самостоятельно, но как я понимаю только с той машины где генерировался запрос на выдачу.
Если хотите чтобы работала связка Linux + CryptoPRO (ГОСТ2012) + ЕСИА обязательным условием является хранение сертификата в контейнере с ключём.
Думаю в мануале по настройке стоит указать этот факт, пока его не пофиксили.


PS. Выражаю огромный респект и благодарность Lirein! Который самым непосредственным образом помог разобраться!!!
Благодаря таким людям мир становится лучше Applause Applause Applause

Отредактировано пользователем 20 апреля 2019 г. 7:52:13(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил Extremal1981 за этот пост.
Александр Лавник оставлено 20.04.2019(UTC)
Offline dvfin  
#173 Оставлено : 22 мая 2019 г. 21:56:50(UTC)
dvfin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.08.2017(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 2 раз в 2 постах
Автор: Extremal1981 Перейти к цитате
сертификат генерит отдельным файлом вне контейнера.
Если хотите чтобы работала связка Linux + CryptoPRO (ГОСТ2012) + ЕСИА обязательным условием является хранение сертификата в контейнере с ключём.

Есть контейнер и отдельно сертификат по ГОСТ Р 34.11-2012 с корректной привязкой
Код:
PrivateKey Link     : Yes

А как в Linux-e сделать так, чтобы хранение сертификата было в контейнере с ключём?

Что происходит у меня - сертификат видится и выбирается в госуслугах, но после ввода пин кода данное окно закрывается и остается страница авторизации. И так по кругу.
Конфиг как в сообщении https://www.cryptopro.ru...&m=100645#post100645

/var/log/ifc/engine_logs/engine.log - почему-то везде всплывает pkcs11_engine-CPPKCS11_2001

Есть какие-либо соображения?

И еще, стоит-ли выполнять команды?
Код:
# Для корректной работы pkcs11, настройку слотов следует сделать явной:
cpconfig -ini '\config\PKCS11\slot17' -add string "ProvGOST" "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"
cpconfig -ini '\config\PKCS11\slot17' -add string "Firefox" "1"
cpconfig -ini '\config\PKCS11\slot17' -add string "reader" ""

Спасибо.

Отредактировано пользователем 22 мая 2019 г. 22:02:05(UTC)  | Причина: Не указана

Online Александр Лавник  
#174 Оставлено : 23 мая 2019 г. 10:58:02(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: dvfin Перейти к цитате
Автор: Extremal1981 Перейти к цитате
сертификат генерит отдельным файлом вне контейнера.
Если хотите чтобы работала связка Linux + CryptoPRO (ГОСТ2012) + ЕСИА обязательным условием является хранение сертификата в контейнере с ключём.

Есть контейнер и отдельно сертификат по ГОСТ Р 34.11-2012 с корректной привязкой
Код:
PrivateKey Link     : Yes

А как в Linux-e сделать так, чтобы хранение сертификата было в контейнере с ключём?

Что происходит у меня - сертификат видится и выбирается в госуслугах, но после ввода пин кода данное окно закрывается и остается страница авторизации. И так по кругу.
Конфиг как в сообщении https://www.cryptopro.ru...&m=100645#post100645

/var/log/ifc/engine_logs/engine.log - почему-то везде всплывает pkcs11_engine-CPPKCS11_2001

Есть какие-либо соображения?

И еще, стоит-ли выполнять команды?
Код:
# Для корректной работы pkcs11, настройку слотов следует сделать явной:
cpconfig -ini '\config\PKCS11\slot17' -add string "ProvGOST" "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"
cpconfig -ini '\config\PKCS11\slot17' -add string "Firefox" "1"
cpconfig -ini '\config\PKCS11\slot17' -add string "reader" ""

Спасибо.

Здравствуйте.

1) Установить сертификат по ГОСТ Р 34.10-2012 в ключевой контейнер можно командой вида:

Код:
/opt/cprocsp/bin/amd64/certmgr -inst -inst_to_cont -provtype 80 -provname "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -cont '\\.\HDIMAGE\contname2012' -pin 11111111 -file ~/2012.cer

В данном примере сертификат находится по пути ~/2012.cer, ключевой контейнер с именем contname2012 хранится на жестком диске (\\.\HDIMAGE\contname2012), пин-код ключевого контейнера 11111111.

2) Для настройки входа на портал Госуслуг попробуйте воспользоваться инструкцией (написана по информации, собранной в данной теме форума).
Техническую поддержку оказываем тут
Наша база знаний
Offline dvfin  
#175 Оставлено : 23 мая 2019 г. 20:22:11(UTC)
dvfin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.08.2017(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 2 раз в 2 постах
Александр Лавник, спасибо за помощь! Зашел по 2012 ГОСТу.
Единственное при установке личного сертификата КриптоПро CSP "ругнулся" на параметр -inst_to_cont
Код:
WARNING: Legacy parameter: "-inst_to_cont"

Код:
ВНИМАНИЕ: Устаревший параметр: "-inst_to_cont"

поэтому я этот параметр "опустил" (исключил).
Online Александр Лавник  
#176 Оставлено : 23 мая 2019 г. 22:48:54(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: dvfin Перейти к цитате
Александр Лавник, спасибо за помощь! Зашел по 2012 ГОСТу.
Единственное при установке личного сертификата КриптоПро CSP "ругнулся" на параметр -inst_to_cont
Код:
WARNING: Legacy parameter: "-inst_to_cont"

Код:
ВНИМАНИЕ: Устаревший параметр: "-inst_to_cont"

поэтому я этот параметр "опустил" (исключил).

Как раз использование этого параметра обеспечивает запись сертификата в ключевой контейнер.
Техническую поддержку оказываем тут
Наша база знаний
Offline finnugor83  
#177 Оставлено : 7 августа 2019 г. 17:54:57(UTC)
finnugor83

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.10.2017(UTC)
Сообщений: 2
Сао Томе и Принсипи
Откуда: L

На самих ГОСУСЛУГАХ в FAQ написано, что только аппаратные СКЗИ работают: "Только токены: Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta ГОСТ, JaCarta-2 ГОСТ, eToken ГОСТ" (С)
То есть без доп конфигурирования вроде как и не должно работать(( Непонятно, будут ли они в будущем поддерживать работу с КриптоПРО CSP без костылей на macOS/Linux...

Отредактировано пользователем 7 августа 2019 г. 17:55:39(UTC)  | Причина: Не указана

Online Александр Лавник  
#178 Оставлено : 7 августа 2019 г. 18:06:21(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: finnugor83 Перейти к цитате
На самих ГОСУСЛУГАХ в FAQ написано, что только аппаратные СКЗИ работают: "Только токены: Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta ГОСТ, JaCarta-2 ГОСТ, eToken ГОСТ" (С)
То есть без доп конфигурирования вроде как и не должно работать(( Непонятно, будут ли они в будущем поддерживать работу с КриптоПРО CSP без костылей на macOS/Linux...

Здравствуйте.

Вот именно, что без дополнительных телодвижений на Linux/macOS работать не будет.

По сути проблема в том, что в конфигурационном файле плагина по умолчанию нет секции для КриптоПро CSP для Linux/macOS.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
Lirein оставлено 08.08.2019(UTC)
Offline luft  
#179 Оставлено : 15 января 2020 г. 11:44:53(UTC)
luft

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.01.2020(UTC)
Сообщений: 6
Российская Федерация

Помогите, пожалуйста, разобраться с проблемой!

При входи в госуслуги предлагается выбрать сертификат, сертификат виден, выбирается, предлагается ввести пин, после чего возвращает на окно входа.

Астра Линукс Орел, КриптоПро 4 9944, IFCPlugin 3.1.0.0. Настраивал по инструкции от "Астры" (по другим тоже пробовал, конфиги из данной ветки подсовывал), сертификат в контейнере.

Вот лог IFC:

Отредактировано пользователем 15 января 2020 г. 11:45:58(UTC)  | Причина: Не указана

Offline Lirein  
#180 Оставлено : 15 января 2020 г. 11:57:21(UTC)
Lirein

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.09.2015(UTC)
Сообщений: 86
Мужчина
Российская Федерация
Откуда: На работе

Сказал «Спасибо»: 18 раз
Поблагодарили: 52 раз в 40 постах
Добрый день. Уточните пожалуйста, у Вас закрытый ключ и сертификат хранятся в одном и том же контейнере КриптоПро или же сертификат файловый и привязан к контейнеру с закрытым ключём?
Если второе - то pkcs11 библиотека совместно с плагином Госуслуг требует чтобы сертификат был в контейнере с закрытым ключем, иначе не находит связи с зактытым ключем и не может подписать Digest.
--- Эльфиек на всех не хватает...
*** А всё таки, она вертится!
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
19 Страницы«<16171819>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.