Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Проблема с подписью ЭЦП организиции в закрытой сети
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline leopold69  
#1 Оставлено : 10 ноября 2021 г. 12:13:08(UTC)
leopold69

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.02.2021(UTC)
Сообщений: 7
Подскажите, пожалуйста, что можно исправить в возникшей ситуации. Есть закрытая сеть в которой работает WEB-ресурс, в котором документы подписываются в WEB-браузере с помощью плагина криптопро. Когда компьютер подключен к этой сети через интернет, посредством vipnet-клиента все подписи работают нормально. Если компьютер включен напрямую в сеть БЕЗ интернета, то подписывается только ЛИЧНОЙ ЭЦП, а на подписи организации, т.е. с ОГРН, Браузер зависает на несколько часов, без сообщений об ошибках. Может нужно разрешить какой-то ресурс для разрешения подписи? Корневые и промежуточные сертификаты установлены. Установлена криптопро 4 под линукс. В той же ситуации под Windows все работает в обоих вариантах
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Андрей Русев  
#2 Оставлено : 10 ноября 2021 г. 14:28:42(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,272

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 446 раз в 325 постах
Здравствуйте.
Попробуйте сформировать подпись с помощью cryptcp как личным сертификатом, так и сертификатом организации и прислать вывод в консоль (без интернета):
Код:

user@test-x64-astra16:~$ /opt/cprocsp/bin/amd64/cryptcp -sign -dn "CN=User_Cert" /tmp/test.txt /tmp/test.txt.p7s
CryptCP 5.0 (c) "Crypto-Pro", 2002-2021.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN:user@testmail.ru, User_Cert
Valid from 09.11.2021 19:18:41 to 10.11.2031 01:58:41

Folder '/tmp/':
/tmp/test.txt... Signing the data...
Signed message is created.
[ErrorCode: 0x00000000]
Официальная техподдержка. Официальная база знаний.
Вверх
Offline leopold69  
#3 Оставлено : 11 ноября 2021 г. 11:33:14(UTC)
leopold69

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.02.2021(UTC)
Сообщений: 7
Автор: Андрей Русев Перейти к цитате
Здравствуйте.
Попробуйте сформировать подпись с помощью cryptcp как личным сертификатом, так и сертификатом организации и прислать вывод в консоль (без интернета):
Код:

user@test-x64-astra16:~$ /opt/cprocsp/bin/amd64/cryptcp -sign -dn "CN=User_Cert" /tmp/test.txt /tmp/test.txt.p7s
CryptCP 5.0 (c) "Crypto-Pro", 2002-2021.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN:user@testmail.ru, User_Cert
Valid from 09.11.2021 19:18:41 to 10.11.2031 01:58:41

Folder '/tmp/':
/tmp/test.txt... Signing the data...
Signed message is created.
[ErrorCode: 0x00000000]


Здравствуйте, не получилось сделать вывод в файл и консоль, выполнил команду, и подписал подписью, но результата нет

[user@localhost ~]$ /opt/cprocsp/bin/amd64/cryptcp -sign -dn "CN=Евдокимова Татьяна Васильевна" /tmp/test.txt /tmp/test.txt.p7s
CryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:Евдокимова Татьяна Васильевна, 621401460581, 04431059722, Евдокимова, Татьяна Васильевна, Ряжск, 62 Рязанская область, RU, leopold69@mail.ru
Действителен с 31.08.2021 11:15:21 по 31.08.2022 11:15:21


^C
После выполнения команды /opt/cprocsp/bin/amd64/cryptcp -sign -dn "CN=Евдокимова Татьяна Васильевна" /tmp/test.txt /tmp/test.txt.p7s
нет ответа в консоли, подождал и закрыл

Отредактировано пользователем 11 ноября 2021 г. 11:38:14(UTC)  | Причина: Не указана
Вверх
Offline leopold69  
#4 Оставлено : 11 ноября 2021 г. 19:30:50(UTC)
leopold69

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.02.2021(UTC)
Сообщений: 7
Автор: Андрей Русев Перейти к цитате
Здравствуйте.
Попробуйте сформировать подпись с помощью cryptcp как личным сертификатом, так и сертификатом организации и прислать вывод в консоль (без интернета):
Код:

user@test-x64-astra16:~$ /opt/cprocsp/bin/amd64/cryptcp -sign -dn "CN=User_Cert" /tmp/test.txt /tmp/test.txt.p7s
CryptCP 5.0 (c) "Crypto-Pro", 2002-2021.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN:user@testmail.ru, User_Cert
Valid from 09.11.2021 19:18:41 to 10.11.2031 01:58:41

Folder '/tmp/':
/tmp/test.txt... Signing the data...
Signed message is created.
[ErrorCode: 0x00000000]



Вод вывод команд при подписании в закрытой сети, 1 - с огрн, 1 - личная


[user@host066 ~]$ /opt/cprocsp/bin/amd64/cryptcp -sign -dn "SN=Кинякин" /tmp/test.txt /tmp/test.txt.p7s
CryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:04599264402, 1026200663280, 006214001450, "ул. Высотная, д. 20", ГГГГГГГГГ МММММММММММ, КККККККККК, rrrrrrrr@bk.ru, Ряжск, 62 Рязанская область, RU, ч, 0, "ГБУ РО ""РЯЖСКИЙ ММЦ""", "ГБУ РО ""РЯЖСКИЙ ММЦ"""
Действителен с 06.12.2020 17:51:46 по 06.12.2021 17:51:46

Цепочка сертификатов не проверена для следующего сертификата:
Субъект:04599264402, 1026200663280, 006214001450, "ул. Высотная, д. 20", ГГГГГГГГГ МММММММММММ, КККККККККК, rrrrrrrr@bk.ru, Ряжск, 62 Рязанская область, RU, ч, 0, "ГБУ РО ""РЯЖСКИЙ ММЦ""", "ГБУ РО ""РЯЖСКИЙ ММЦ"""
Действителен с 06.12.2020 17:51:46 по 06.12.2021 17:51:46

Ошибка: Цепочка сертификатов не проверена для следующего сертификата (код ошибки 10000):
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:396: 0x20000133
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?y

Цепочки сертификатов проверены.
Папка '/tmp/':
/tmp/test.txt... Подпись данных...

Подписанное сообщение успешно создано.
[ErrorCode: 0x00000000]
[user@host066 ~]$ /opt/cprocsp/bin/amd64/cryptcp -sign -dn "CN=Евдокимова Татьяна Васильевна" /tmp/test.txt /tmp/test.txt.p7s
CryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:Евдокимова Татьяна Васильевна, 621401460581, 04431059722, Евдокимова, Татьяна Васильевна, Ряжск, 62 Рязанская область, RU, leopold69@mail.ru
Действителен с 31.08.2021 11:15:21 по 31.08.2022 11:15:21

Цепочка сертификатов не проверена для следующего сертификата:
Субъект:Евдокимова Татьяна Васильевна, 621401460581, 04431059722, Евдокимова, Татьяна Васильевна, Ряжск, 62 Рязанская область, RU, leopold69@mail.ru
Действителен с 31.08.2021 11:15:21 по 31.08.2022 11:15:21

Один из сертификатов в цепочке возможно отозван.
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?y

Цепочки сертификатов проверены.
Папка '/tmp/':
/tmp/test.txt... Подпись данных...

Подписанное сообщение успешно создано.
[ErrorCode: 0x00000000]
[user@host066 ~]$
Вверх
Offline leopold69  
#5 Оставлено : 11 ноября 2021 г. 19:50:40(UTC)
leopold69

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.02.2021(UTC)
Сообщений: 7
Получается что при наличии интернета отсутствующий в цепочке сертификат подтягивается из интернета? Не могу определить отсутствующий сертификат.
Вверх
Offline leopold69  
#6 Оставлено : 11 ноября 2021 г. 20:11:49(UTC)
leopold69

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.02.2021(UTC)
Сообщений: 7
[user@host066 ~]$ CP_PRINT_CHAIN_DETAIL=1 /opt/cprocsp/bin/amd64/cryptcp -copycert -dn 'SN=Кинякин' -df /temp/kinyakin.cer
CryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:04599264402, 1026200663280, 006214001450, "ул. Высотная, д. 20", ГГГГГГГГГ МММММММММ, ККККККККК, rrrrrrrrrr@bk.ru, Ряжск, 62 Рязанская область, RU, ч, 0, "ГБУ РО ""РЯЖСКИЙ ММЦ""", "ГБУ РО ""РЯЖСКИЙ ММЦ"""
Действителен с 06.12.2020 17:51:46 по 06.12.2021 17:51:46

1.Find path for:
Subject:'CN="#  "" /! &""", O="#  "" /! &""", OU=0, T=;02=K9 2@0G, C=ru, S=62 O70=A:0O >1;0ABL, L= O6A:, E=rrrrrrrrr@bk.ru, SN=8=O:8=, G=5==0489 0:A8<>28G, STREET="C;. KA>B=0O, 4. 20", INN=006214001450, OGRN=1026200663280, SNILS=04599264402'
Issuer:'CN=" """""", O="B:@KB>5 :F8>=5@=>5 1I5AB2> ""=D>"5! =B5@=5B "@0AB""", C=ru, S=77 3. >A:20, L=>A:20, E=SupportIIT@infotecs.ru, STREET="!B0@K9 5B@>2A:>- 07C<>2A:89 ?@>574, 4. 1/23, AB@. 1, >D8A 88", INN=007743020560, OGRN=1027739113049'

There is no valid issuer.
----------- Error chain -----------
Chain status:IS_PARTIAL_CHAIN
Revocation reason:unspecified
1.
Subject:'CN="#  "" /! &""", O="#  "" /! &""", OU=0, T=;02=K9 2@0G, C=ru, S=62 O70=A:0O >1;0ABL, L= O6A:, E=rrrrrrrrrr@bk.ru, SN=8=O:8=, G=5==0489 0:A8<>28G, STREET="C;. KA>B=0O, 4. 20", INN=006214001450, OGRN=1026200663280, SNILS=04599264402'
Issuer:'CN=" """""", O="B:@KB>5 :F8>=5@=>5 1I5AB2> ""=D>"5! =B5@=5B "@0AB""", C=ru, S=77 3. >A:20, L=>A:20, E=SupportIIT@infotecs.ru, STREET="!B0@K9 5B@>2A:>- 07C<>2A:89 ?@>574, 4. 1/23, AB@. 1, >D8A 88", INN=007743020560, OGRN=1027739113049'
Cert status:CERT_TRUST_NO_ERROR

Цепочка сертификатов не проверена для следующего сертификата:
Субъект:04599264402, 1026200663280, 006214001450, "ул. Высотная, д. 20", ГГГГГГГГГ МММММММММ, ККККККККК, rrrrrrrrrr@bk.ru, Ряжск, 62 Рязанская область, RU, ч, 0, "ГБУ РО ""РЯЖСКИЙ ММЦ""", "ГБУ РО ""РЯЖСКИЙ ММЦ"""
Действителен с 06.12.2020 17:51:46 по 06.12.2021 17:51:46

Ошибка: Цепочка сертификатов не проверена для следующего сертификата (код ошибки 10000):
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:396: 0x20000133
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?y

Цепочки сертификатов проверены.
Ошибка: Не удалось открыть файл '/temp/kinyakin.cer'.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Files.cpp:547: 0x20000065
[ErrorCode: 0x20000065]
Вверх
Offline Андрей Русев  
#7 Оставлено : 11 ноября 2021 г. 23:40:11(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,272

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 446 раз в 325 постах
Цитата:
Получается что при наличии интернета отсутствующий в цепочке сертификат подтягивается из интернета?

Именно так. В закрытой сети промежуточные надо ставить в хранилище CA руками (и CRL-и туда же). У вас не хватает E=SupportIIT@infotecs.ru.
Но это неудобство не объясняет зависание. Проверка цепочек - очень непростая тема, мы многое в ней исправили в КриптоПро CSP 5.0. Очень рекомендую сравнить поведение с сертифицированным КриптоПро CSP 5.0 R2 Kraken (5.0.12000). Кстати, там есть инструмент поудобней для проверки и вывода цепочек:
Код:
/opt/cprocsp/bin/amd64/certmgr -list -chain -dn CN=your_cert

Ну и в GUI - в cptools это всё тоже есть.
Официальная техподдержка. Официальная база знаний.
Вверх
Offline leopold69  
#8 Оставлено : 12 ноября 2021 г. 9:11:15(UTC)
leopold69

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.02.2021(UTC)
Сообщений: 7
Автор: Андрей Русев Перейти к цитате
Цитата:
Получается что при наличии интернета отсутствующий в цепочке сертификат подтягивается из интернета?

Именно так. В закрытой сети промежуточные надо ставить в хранилище CA руками (и CRL-и туда же). У вас не хватает E=SupportIIT@infotecs.ru.
Но это неудобство не объясняет зависание. Проверка цепочек - очень непростая тема, мы многое в ней исправили в КриптоПро CSP 5.0. Очень рекомендую сравнить поведение с сертифицированным КриптоПро CSP 5.0 R2 Kraken (5.0.12000). Кстати, там есть инструмент поудобней для проверки и вывода цепочек:
Код:
/opt/cprocsp/bin/amd64/certmgr -list -chain -dn CN=your_cert

Ну и в GUI - в cptools это всё тоже есть.


Спасибо за помощь. Если нам закупят 5 версию конечно потестирую.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET