Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы«<234
Опции
К последнему сообщению К первому непрочитанному
Offline NTMan  
#61 Оставлено : 12 октября 2015 г. 13:13:13(UTC)
NTMan

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.02.2013(UTC)
Сообщений: 33
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
maxdm сильно заняты? Не смотрели виртуалочку еще?
Offline Femi  
#62 Оставлено : 13 октября 2015 г. 9:43:03(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 10 раз
Поблагодарили: 64 раз в 43 постах
Автор: NTMan Перейти к цитате
maxdm сильно заняты? Не смотрели виртуалочку еще?


Добрый день.
Посмотрим сегодня
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
thanks 1 пользователь поблагодарил Наталья Мовчан за этот пост.
NTMan оставлено 13.10.2015(UTC)
Offline NTMan  
#63 Оставлено : 13 октября 2015 г. 16:01:31(UTC)
NTMan

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.02.2013(UTC)
Сообщений: 33
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Femi, спасибо мне сообщили, что проблема исправленна в версии CSP 4.0.9644

Очень хочу Вас попросить на будующее при сборке rpm пакетов увеличивать номер билда или в сквозную уазывать например lsb-cprocsp-base-4.0.0-9644.noarch.rpm
А то для обновления приходится удалять КриптоПРО и заново ставить, а если бы вы увелилчили номер билда я бы просто добавил новые файлы в свой репозитарий проиндексировал бы добавленные файлы
$ createrepo --update /home/mikhail/cryptopro/x86_64/
$ createrepo --update /home/mikhail/cryptopro/i686/
и сделал бы yum/dnf update и все бы обновилось автоматом.

Спасибо большое за понимание!
Offline Русев Андрей  
#64 Оставлено : 16 октября 2015 г. 15:11:59(UTC)
Андрей Русев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 792

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 191 раз в 149 постах
Спасибо за интересное предложение. Надо подумать, скольким людям мы при этом поможем и скольким навредим: всем придётся переписать свои install/uninstall-скрипты из-за постоянной смены имени пакетов. Мы и сами хотели бы выкладывать CSP в общедоступный репозиторий, тогда многие бы перешли со скриптов на апдейты и проблемы не было. Но согласовать процедуру с регулятором (организовать поэкземплярный учёт при распространении) непросто.
Официальная техподдержка. Официальная база знаний.
Offline 2ndbrezhnev  
#65 Оставлено : 15 января 2016 г. 9:57:58(UTC)
2ndbrezhnev

Статус: Участник

Группы: Участники
Зарегистрирован: 13.01.2016(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Появился вопрос с указанием пароля на контейнер при запросе через curl к ra.asp
Сообщения в теме прочитал - не понял.

Выполняю
Код:
/opt/cprocsp/bin/amd64/curl -E 04c4303ea75bc4ddf67fdeb1548e9e5025d6637d https://SERVER_NAME/ra/ra.asp

выдаётся сообщение
CryptoPro CSP: Type password for container "test-ca-operator"

Выполняю
Код:
/opt/cprocsp/bin/amd64/curl -E 04c4303ea75bc4ddf67fdeb1548e9e5025d6637d:МОЙ ПАРОЛЬ https://SERVER_NAME/ra/ra.asp

выдаётся аналогичное сообщение.

Подскажите, пожалуйста, как правильно указать пароль на контейнер сертификата в команде при запросе к curl

Код:

/opt/cprocsp/bin/amd64/csptestf -keyset -verifycontext
CSP (Type:75) v3.9.8002 KC1 Release Ver:3.9.8353 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 37804163
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KC1 CSP


Проблема в версии?

Отредактировано пользователем 15 января 2016 г. 10:21:27(UTC)  | Причина: Не указана

Offline NTMan  
#66 Оставлено : 15 января 2016 г. 10:27:07(UTC)
NTMan

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.02.2013(UTC)
Сообщений: 33
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Автор: 2ndbrezhnev Перейти к цитате
Появился вопрос с указанием пароля на контейнер при запросе через curl к ra.asp
Сообщения в теме прочитал - не понял.

Вообще пароли задается через ключ -pin <ваш пин>, но на данный момент КриптоПРО не поддерживает этот параметр конкретно для curl, я завел обращение 2858 чтобы данный параметр появился, но он что-то не торопиться появиться. Может попросим еще раз всем хором? :)

Есть workaround, можно сохранить пин в так называемом "реестре" КриптоПРО. Делается это так:

1. Узнаем пути к контейнерам:
$ /opt/cprocsp/bin/amd64/csptest -keys -enum_c -verifyc -unique
У меня к примеру:
TEST1415 |HDIMAGE\\TEST1415.000\1074

2. Сохраняем пароль в так называемом "реестре", для этого используем путь к контейнеру из предыдущего запроса "HDIMAGE\\TEST1415.000"
$ /opt/cprocsp/sbin/amd64/cpconfig -ini "\\LOCAL\\KeyDevices\\passwords\\HDIMAGE\\TEST1415.000" -add string passwd <ваш пароль>

После этого можете пробовать свой курл запрос:
$ /opt/cprocsp/bin/amd64/curl https://SERVER_NAME/ra/ra.asp --cert 04c4303ea75bc4ddf67fdeb1548e9e5025d6637d



P.S.:

Для удаления пароля используем следующую команду:
$ /opt/cprocsp/sbin/amd64/cpconfig -ini "\\LOCAL\\KeyDevices\\passwords\\HDIMAGE\\TEST1415.000" -delsection
thanks 1 пользователь поблагодарил NTMan за этот пост.
2ndbrezhnev оставлено 15.01.2016(UTC)
Offline 2ndbrezhnev  
#67 Оставлено : 15 января 2016 г. 12:03:07(UTC)
2ndbrezhnev

Статус: Участник

Группы: Участники
Зарегистрирован: 13.01.2016(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
NTMan, спасибо за подробный ответ
Сейчас решили вопрос удалением пароля на контейнер, в будущем возможно пригодится Ваш метод

ЗЫ: но задавать пароль на контейнер через -pin было бы удобнее)
Offline maltf0  
#68 Оставлено : 24 июля 2017 г. 9:19:00(UTC)
maltf0

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.07.2017(UTC)
Сообщений: 2
Российская Федерация

Добрый день!

Пытаюсь выполнить запрос из PHP с использованием libcpcurl.so:

Цитата:
$handle = curl_init($location);


curl_setopt($handle, CURLOPT_VERBOSE, true);
curl_setopt($handle, CURLOPT_STDERR, $out);


curl_setopt($handle, CURLOPT_POST, true);
curl_setopt($handle, CURLOPT_RETURNTRANSFER, true);
curl_setopt($handle, CURLOPT_URL, 'https://217.107.108.147:10081/ext-bus-nsi-common-service/services/NsiCommon');
curl_setopt($handle, CURLOPT_HTTPHEADER, Array("Content-Type: text/xml", "SOAPAction: {$action}"));


curl_setopt($handle, CURLOPT_POSTFIELDS, $preparedRequest);

curl_setopt($handle, CURLOPT_USERPWD, "123:321");


curl_setopt($handle, CURLOPT_SSLCERT, '/keys/rgd.pem');
curl_setopt($handle, CURLOPT_SSLKEY, '/keys/rgd.pem');
curl_setopt($handle, CURLOPT_CAINFO, '/keys/CA.pem');

curl_setopt($handle, CURLOPT_SSL_VERIFYHOST, 2);
curl_setopt($handle, CURLOPT_SSL_VERIFYPEER, true);


curl_setopt($handle, CURLINFO_HEADER_OUT, true);

$response = curl_exec($handle);



Получаю ошибку: "CURL error: Problem with the local SSL certificate".
Складывается ощущение, что curl от КриптоПро игнорирует параметры CURLOPT_SSLCERT, CURLOPT_SSLKEY и CURLOPT_CAINFO.
Также почему-то игнорятся CURLOPT_SSL_VERIFYHOST и CURLOPT_SSL_VERIFYPEER, установленные в false(аналог флага ./curl <url> -k).


Что я делаю не так?

Сведения о библиотеке curl

Отредактировано пользователем 24 июля 2017 г. 9:20:24(UTC)  | Причина: Не указана

Offline NTMan  
#69 Оставлено : 24 июля 2017 г. 9:35:11(UTC)
NTMan

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.02.2013(UTC)
Сообщений: 33
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
maltf0 вы бы для начала проверили из консоли curl цепляется ли.
Если цепляется, то дальше уже смотреть.
И почему вы думаеете, что php который был скомпилирован с ситемным curl автоматом начнет использовать curl от КриптоПРО?
Есть конечно "хакерский" способ подменить curl через LD_LIBRARY_PATH=/opt/cprocsp/lib/amd64, но он может вызвать Segmentation fault: 11 т.к. версия curl с которым собран PHP может отличаться от версии собираемой КриптоПРО.
Offline maltf0  
#70 Оставлено : 24 июля 2017 г. 12:35:49(UTC)
maltf0

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.07.2017(UTC)
Сообщений: 2
Российская Федерация

NTMan, из консоли проверял - цепляется с флагом --insecure.
Обратите внимание на скрин в сообщении - PHP цепляется к curl КриптоПро.

Мой системный curl:
curl -V
curl 7.54.1 (x86_64-pc-linux-gnu) libcurl/7.54.1 OpenSSL/1.0.2l zlib/1.2.7 nghttp2/1.16.0

curl КриптоПро:
/opt/cprocsp/bin/amd64/curl -V
curl 7.21.3 (x86_64-unknown-linux-gnu) libcurl/7.21.3 SSPI/CPRO Nov 14 2016 23:40:25 zlib/1.2.7 libidn/1.28

Цитата:
Есть конечно "хакерский" способ подменить curl через LD_LIBRARY_PATH=/opt/cprocsp/lib/amd64, но он может вызвать Segmentation fault: 11 т.к. версия curl с которым собран PHP может отличаться от версии собираемой КриптоПРО.

Я сделал через симлинк - вроде работает.

Честно говоря, я не смог интерпретировать PHP код в обращение через командную строку, чтобы проверить работоспособность запроса. Вы можете мне с этим помочь?
Я обращался вот так:
./curl --insecure --user user:password https://217.107.108.147:10081/ext-bus-nsi-common-service/services/NsiCommon
B это работает. Если убрать --insecure, то получаю "Problem with the local SSL certificate", что в общем-то логично. Как устранить причину этой ошибки - я не знаю, т.к. документацию на КриптоПрошный curl я не нашел.

Отредактировано пользователем 24 июля 2017 г. 16:18:37(UTC)  | Причина: Не указана

Offline Riddick-84  
#71 Оставлено : 14 февраля 2019 г. 0:18:52(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
Пытаюсь запустить curl для проверки клиентской аутентификации на сервере нгинкс + гост 2012.
Без аутентификации сервер работает по гост

Генерирую клиентские сертификаты на клиентской машине

Код:

aclient_certname="aclient.com"
aclient_container="aclient"

certs_path_client=/etc/certs/client/gost/cpro/

provtype='81' #75, 80, 81
provnameKC1='Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP'

provnameKC2='Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP'

mkdir -p ${certs_path_client}
##
## Генерация тестового сертефиката клиента A:

/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype ${provtype} -provname "${provnameKC1}" -rdn "CN=${aclient_certname}" -cont "\\\\.\\HDIMAGE\\${aclient_container}" -certusage 1.3.6.1.5.5.7.3.2 -ku -du -ex -ca http://cryptopro.ru/certsrv || exit 1

#
## Смена KC1 на KC2 в имени провайдера, так как nginx работает с провайдером KC2:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont "\\\\.\\HDIMAGE\\${aclient_container}" -provtype ${provtype} -provname "${provnameKC2}" || exit 1

#Далее получаю серийник сертификата
/opt/cprocsp/bin/amd64/certmgr -list -store umy -dn "CN=${aclient_certname}"



вывод команды


Беру серийник и вставляю в курл и получаю ошибку

Вот конфиг нгинкса


вот содержимое ca-bundle-pem (это набор сертификатов доверенных уц которые выдают как клиентские так и серверные сертификаты)

Второе это сертификат тестового уц криптопро (локального)


Для двусторонней аутентификации по РСА используется такая же схема работы
и там все прекрасно работает
вот команда


Тут еще задается ключ как задать ключ в криптопрошном curl не понятно

версия curl


В общем кто знает или сталкивался подскажите, плиз, в чем ошибка.

Отредактировано пользователем 14 февраля 2019 г. 1:02:24(UTC)  | Причина: Не указана

Offline Riddick-84  
#72 Оставлено : 14 февраля 2019 г. 20:30:04(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
в общем нашел ответ
--cert: используем SHA1 хэш сертификата полученный через /opt/cprocsp/bin/amd64/certmgr -list
--ca-cert: используем серт УЦ криптопро тестового ( или того который выдал и клиентский и серверный серты)
--cert-type: хранилище сертифиатов юзера ( у меня это root)

Код:
/opt/cprocsp/bin/amd64/curl -vvv --ciphers "GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89" \
--cacert /etc/certs/ca-crt-cpro.pem \
  --cert "5992274720def83ef7b99aa7d5957aa2856106f4" \ 
--cert-type "CERT_SHA1_HASH_PROP_ID:CERT_SYSTEM_STORE_CURRENT_USER:MY" \
  --url https://meteotravel.ru/


Команда для генерации клиентского серта (Нужно использовать кс1 провайдер, на кс2 как для серверного не менять)

Код:
/opt/cprocsp/bin/amd64/cryptcp -creatcert -exprt -provtype 81 -provname "Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP" -rdn "CN=client.com" -cont "\\\\.\\HDIMAGE\\client" -certusage "1.3.6.1.5.5.7.3.2" -ku -both -ca http://cryptopro.ru/certsrv || exit 1
Offline Riddick-84  
#73 Оставлено : 17 февраля 2019 г. 13:51:05(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
Как выполнить генерацию ключа и сертификата на уц 2.0 последнего релиза чтобы было аналогично команде
Код:
/opt/cprocsp/bin/amd64/cryptcp -creatcert -exprt -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn "CN=kclient.com" -cont "\\\\.\\HDIMAGE\\kclient" -certusage "1.3.6.1.5.5.7.3.4,1.3.6.1.4.1.311.10.3.12,1.3.6.1.5.5.7.3.2,1.2.643.5.1.28.5.1.1,1.2.643.2.2.34.6" -ku -ca http://cryptopro.ru/certsrv 

Установил что клиентская аутентификация для nginx+ gostengy работает только с такими сертификатами
либо у которых указан ключ -both в команде

Отредактировано пользователем 17 февраля 2019 г. 13:51:57(UTC)  | Причина: Не указана

Offline Буянов Иван  
#74 Оставлено : 17 июля 2021 г. 0:32:10(UTC)
Буянов Иван

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.10.2018(UTC)
Сообщений: 6
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Alt 8.1 amd64 (9.1 aarch64 аналогично)
cprocsp 5.0.12000-6.x86_64

имеем установленную системную curl и cprocsp-curl
при вызове capilite CertGetCertificateChain ловится краш

munmap_chunk(): invalid pointer: 0x00007fffc4982dd0 ***
======= Backtrace: =========
/lib64/libc.so.6(+0x6f325)[0x7ffff4e65325]
/lib64/libc.so.6(+0x74ae6)[0x7ffff4e6aae6]
/usr/lib64/libcurl.so.4(+0x3136e)[0x7ffff7b8636e]
/usr/lib64/libcurl.so.4(curl_multi_cleanup+0xdc)[0x7ffff7b8821c]
/opt/cprocsp/lib/amd64/libcpcurl.so(curl_easy_perform+0x1a9)[0x7fffc497ebd9]
/opt/cprocsp/lib/amd64/liburlretrieve.so.4(_ZN12UrlRetriever12retrieve_urlEPKc+0x621)[0x7fffda1f9c91]
/opt/cprocsp/lib/amd64/libcapi20.so.4(+0xc0e4b)[0x7fffda4bce4b]
/opt/cprocsp/lib/amd64/libcapi20.so.4(+0xc16b1)[0x7fffda4bd6b1]
/opt/cprocsp/lib/amd64/libcapi20.so.4(CryptRetrieveObjectByUrlA+0xd6)[0x7fffda4bd856]
/opt/cprocsp/lib/amd64/libcapi20.so.4(+0x6c3bb)[0x7fffda4683bb]
/opt/cprocsp/lib/amd64/libcapi20.so.4(+0x6c4f0)[0x7fffda4684f0]
/opt/cprocsp/lib/amd64/libcapi20.so.4(+0x74976)[0x7fffda470976]
/opt/cprocsp/lib/amd64/libcapi20.so.4(+0x74b9c)[0x7fffda470b9c]
/opt/cprocsp/lib/amd64/libcapi20.so.4(+0x74e36)[0x7fffda470e36]
/opt/cprocsp/lib/amd64/libcapi20.so.4(+0xb9794)[0x7fffda4b5794]
/opt/cprocsp/lib/amd64/libcapi20.so.4(CertGetCertificateChain+0x6e)[0x7fffda4b5e1e]

удаление cprocsp-curl помогает, но хотелось бы более элегантное решение\исправление.
В нашем коде вызовы curl также используются.

Отредактировано пользователем 19 июля 2021 г. 1:33:55(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
4 Страницы«<234
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.