Статус: Новичок
Группы: Участники
Зарегистрирован: 31.08.2021(UTC) Сообщений: 8 Сказал(а) «Спасибо»: 5 раз
|
Я установил phpcades и csp 5.0. (linux) Создал контейнер. Код:/opt/cprocsp/bin/amd64/csptest -keyset -provtype 80 -newkeyset -cont '\\.\HDIMAGE\test5'
Есть 2 сертефиката http://joxi.ru/MAj5E7dh1LMvE2Установил их попросту не в контейнер. В контейнер пытался падает ошибка Цитата:Failed to install certificate Public keys in certificate and container are not identical
The requested certificate does not exist. Я пытался вывести их через классы cades не выводятся. Пытался подписать тоже ошибка. Я разраб, мне нужно понять цепочку действий и донести это клиенту, что тот захотел купить криптоПро. И все это в GUI вывести через API. А я завис на том, что сертефикаты в контейнер положить не могу и подписать. Что сертефикаты не вижу через методы cades. Очень прошу помощи. Разжуйте если я не так понимаю, можете бить) Но помогите.
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
Эти 2 сертификата - сертификаты самого УЦ, а устанавливать в контейнер надо уже Ваш сертификат, сделанный УЦ специально для Вашего контейнера.
С этими 2 сертификатами: сейчас похоже они в хранилище uMy, которое показывается по умолчанию и это несколько неправильно, может создать проблемы построения цепочки сертификатов в дальнейшем. Тот что головной/головной надо установить в хранилище Root (mRoot как правило - для всех пользователей, из-под суперпользователя или sudo), тот что подчиненный - в CA (mCA).
Далее делаете на основе контейнера запрос к УЦ (точной команды в консоли не подскажу, обычно делаю через веб-интерфейс). Важно чтобы именно к УЦ, для которого у Вас эти 2 сертификата, потому что тестовых УЦ Крипто Про несколько и можно в них запутаться. В веб-интерфейсе еще обычно просит зарегистрироваться перед выпуском сертификатов, возможно для выполнения консольной команды также понадобится заранее зарегистрироваться, а в команде указать логин пароль.
В итоге операций должен получиться Ваш сертификат - обычно тестовый УЦ выдает сертификат на 3 месяца. Вот его уже можно пробовать установить в контейнер, в хранилище uMy и т.д.
|
1 пользователь поблагодарил two_oceans за этот пост.
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.08.2021(UTC) Сообщений: 8 Сказал(а) «Спасибо»: 5 раз
|
Автор: two_oceans Эти 2 сертификата - сертификаты самого УЦ, а устанавливать в контейнер надо уже Ваш сертификат, сделанный УЦ специально для Вашего контейнера.
С этими 2 сертификатами: сейчас похоже они в хранилище uMy, которое показывается по умолчанию и это несколько неправильно, может создать проблемы построения цепочки сертификатов в дальнейшем. Тот что головной/головной надо установить в хранилище Root (mRoot как правило - для всех пользователей, из-под суперпользователя или sudo), тот что подчиненный - в CA (mCA).
Далее делаете на основе контейнера запрос к УЦ (точной команды в консоли не подскажу, обычно делаю через веб-интерфейс). Важно чтобы именно к УЦ, для которого у Вас эти 2 сертификата, потому что тестовых УЦ Крипто Про несколько и можно в них запутаться. В веб-интерфейсе еще обычно просит зарегистрироваться перед выпуском сертификатов, возможно для выполнения консольной команды также понадобится заранее зарегистрироваться, а в команде указать логин пароль.
В итоге операций должен получиться Ваш сертификат - обычно тестовый УЦ выдает сертификат на 3 месяца. Вот его уже можно пробовать установить в контейнер, в хранилище uMy и т.д. То есть, я верно понимаю?! Для начала ставим цепочку цертефикатов УЦ. (А что если 3 сертефиката в цепочки, куда ставить их правильно или их всегда 2?) Один ставим в uRoot второй в uCA, верно? У меня 2 пользователя root и bitrix, нужно ставить под каким пользователем? Методы cades вызываются в bitrix С командой конечно тоже помощь нужна.. Делаю запрос у УЦ и он отдает 1 сертефикат, который ставлю под bitrix пользователем в контейнер и создаю подписи различных пользователей. Верно общую нить уловил?
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
Автор: GraDus59 То есть, я верно понимаю?! Для начала ставим цепочку цертефикатов УЦ. (А что если 3 сертефиката в цепочки, куда ставить их правильно или их всегда 2?) Как правило 2, если вдруг больше, то корневой (Root) по смыслу должен идти один (у него совпадают кто выдал и кому выдал), остальные по идее промежуточные (несовпадает кто выдал и кому выдал) в CA. Автор: GraDus59 Один ставим в uRoot второй в uCA, верно? У меня 2 пользователя root и bitrix, нужно ставить под каким пользователем? Методы cades вызываются в bitrix Правильно, разве что сертификаты УЦ обычно для боевых сертификатов ставят в mRoot mCA (подразумевается, что сертификаты УЦ в норме должны ставить администраторы - для всех пользователей). С тестовыми конечно можно и поосторожнее установить в uRoot uCA (под bitrix), но некоторые программы могут "удивиться", обнаружив сертификаты не там. Автор: GraDus59 С командой конечно тоже помощь нужна.. Делаю запрос у УЦ и он отдает 1 сертефикат, который ставлю под bitrix пользователем в контейнер и создаю подписи различных пользователей.
Верно общую нить уловил? Что то тут уже смешиваются пользователь ОС и пользователи программы. В общем верно, но если будут подписывать несколько человек, то как правило для каждого нужно повторить "создание контейнера - получение сертификата в УЦ - установку сертификата". Полагаю, что тогда контейнеры и сертификаты все будут под bitrix, а уже внутри программы, что запрашивает cades будет как-то разруливаться какому человеку (пользователю программы) какой сертификат разрешено использовать (или отобразите все сертификаты для выбора). Это все предполагая, что все подписывается на сервере. Другой вариант, если cades будет на клиенте. Тогда контейнеры и сертификаты на клиенте и на сервере ничего не видно.
|
1 пользователь поблагодарил two_oceans за этот пост.
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.08.2021(UTC) Сообщений: 8 Сказал(а) «Спасибо»: 5 раз
|
http://testca2012.cryptopro.ru/ использую этот уц, но он видимо уже не функционирует, можете подсказать мне другой УЦ для тестовой разработки, от пару ссылок боевых тоже бы не отказался
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
|
1 пользователь поблагодарил two_oceans за этот пост.
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.08.2021(UTC) Сообщений: 8 Сказал(а) «Спасибо»: 5 раз
|
Автор: two_oceans https://www.cryptopro.ru/solutions/test-ca
Разве не действует? На главной странице там понятно заглушка как будто ничего нет, надо заходить по прямой ссылке. Вот по этой ссылке что-то отобразилось установил сертефикат корневой в uRoot, а доп в uMy Выбрасывает 0x80090016 “Неправильный зарегистрированный набор ключей” при попытке отправить команду на получение личного сертефиката из консоли. Как на существующий контейнер так и на не существующий. Код:cryptcp -creatrqst -dn "CN=Иванов Иван Иванович,SN=Иванов,G=Иван Иванович,E=yar***@yandex.ru,C=RU,L=Пермь,ST=39 Пермский кр,street=Пр-т Мира 14 кв.3,SNILS=102301111222,INN=11223344556" -provtype 80 -nokeygen -cont '\\.\HDIMAGE\test99' -certusage "1.3.6.1.5.5.7.3.2" test99.csr
*** скрыл почту, остальные демо данные Автор: two_oceans Я работаю из консоли, там нет возможности работать с сайтом через браузер. А на компьютер я поставил csp 5.0 и плагин на хром, но плагин все равно не видит csp.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.08.2021(UTC) Сообщений: 8 Сказал(а) «Спасибо»: 5 раз
|
Код:certmgr -inst -store uRoot -file rootca.cer
Код:certmgr -inst -store uMy -file subca.cer
Команды которыми поставил сертефикаты, поставились успешно.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,704 Сказал «Спасибо»: 500 раз Поблагодарили: 2051 раз в 1591 постах
|
|
|
1 пользователь поблагодарил Андрей * за этот пост.
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,704 Сказал «Спасибо»: 500 раз Поблагодарили: 2051 раз в 1591 постах
|
uRoot (один) -> uCA (0,1,несколько) -> uMy цепочка сертификатов |
|
1 пользователь поблагодарил Андрей * за этот пост.
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close