Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Подзоров Сергей  
#1 Оставлено : 15 июля 2021 г. 12:51:18(UTC)
Подзоров Сергей

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.07.2021(UTC)
Сообщений: 2
Российская Федерация

День добрый, коллеги!

На предприятии куплена лицензия на версию КриптоПро CSP 4.0. Есть задача поднятия ГОСТ и RSA.Согласно инструкции (https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/333/10/sbork-i-nstrojjk-nginx-c-podderzhkojj-gost-tls) собран Nginx с поддержкой ГОСТ 2012. В конфигурации Nginx вместо ssl используется sspi с указанием серийного номера сертификата. Сертификат ГОСТ успешно установлен в контейнер и работает корректно. Однако, возник вопрос с установкой сертификата RSA в контейнер КриптоПро. Сертификат вместе с закрытым ключом упакован в контейнер PFX с помощью openssl (1.1.1h). В списке провайдеров RSA присутствует только тип 1, тип 24 отсутствует:

Цитата:
root@bbf8117486c7:/etc/pki/tls/certs # /opt/cprocsp/sbin/amd64/cpconfig -defprov -view_type
Listing Available Provider Types:
Provider type Provider Type Name
_____________ _____________________________________
75 GOST R 34.10-2001 Signature with Diffie-Hellman Key Exchange
80 GOST R 34.10-2012 (256) Signature with Diffie-Hellman Key Exchange
81 GOST R 34.10-2012 (512) Signature with Diffie-Hellman Key Exchange
1 RSA Full (Signature and Key Exchange)


При импорте контейнера PFX получаю следующую ошибку:


Цитата:
root@bbf8117486c7:/etc/pki/tls/certs # /opt/cprocsp/bin/amd64/certmgr -install -pfx -pin ***** -file gnivc2021.pfx
Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores

Invalid flags specified.
[ErrorCode: 0x80090009]



Сборка произведена с использованием следующих пакетов:

Цитата:
cprocsp-cpopenssl-110-base_4.0.0-5_all.deb
cprocsp-cpopenssl-110-devel_4.0.0-5_all.deb
cprocsp-cpopenssl-110-64_4.0.0-5_amd64.deb
cprocsp-cpopenssl-110-gost-64_4.0.0-5_amd64.deb
cprocsp-rsa-64_4.0.9963-5_amd64.deb
lsb-cprocsp-kc1-64_4.0.9963-5_amd64.deb
lsb-cprocsp-kc2-64_4.0.9963-5_amd64.deb
lsb-cprocsp-devel_4.0.9963-5_all.deb
lsb-cprocsp-capilite-64_4.0.9963-5_amd64.deb
lsb-cprocsp-base_4.0.9963-5_all.deb
lsb-cprocsp-rdr-64_4.0.9963-5_amd64.deb
lsb-cprocsp-pkcs11-64_4.0.9963-5_amd64.deb
lsb-cprocsp-ca-certs_4.0.9963-5_all.deb


Наткнулся на статью о том, что поддержка RSA обеспечивается только начиная с версии CSP 5.0 (https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=13703). Так ли это? При установке в CSP 5 сертификат импортируется в контейнер корректно.

Заранее спасибо за помощь!

--
__________

Offline Подзоров Сергей  
#2 Оставлено : 16 июля 2021 г. 9:35:16(UTC)
Подзоров Сергей

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.07.2021(UTC)
Сообщений: 2
Российская Федерация

Из поддержки КриптоПро получил вот такой ответ на созданное ранее обращение:

"nginx sspi с RSA рассчитан на работу с провайдером 5.0, вам нужен провайдер 24"

Видимо, тему можно закрывать... Придётся пока остаться на API ssl.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.