Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Вопрос Комплексный вопрос по интеграции КриптоПро и современного Java-стека - Современные практики по использованию КриптоПро (CSP/JCSP) в Java-инфраструктуре
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Alwind  
#1 Оставлено : 13 ноября 2025 г. 15:00:02(UTC)
Alwind

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.10.2025(UTC)
Сообщений: 1
Коллеги, нужна помощь и подтверждение практик по использованию CryptoPRO (CSP/JCSP) в Java-инфраструктуре.

Контекст

  • Стандартный современный Java стек: Java 21, сборка Maven/Gradle. CD активно использует Docker, авто тесты, развёртывание, т.е. контейнеры часто пересоздаются автоматически.
  • Базовый функционал криптографии: подписание обезличенной УКЭП ГОСТ Р 34.10-2012 ГОСТ Р 34.11-2012, сертификат Казначейства в продакшене, внешнее взаимодействие ГОСТ-TLS.



1. Вопросы по примеру Dockerfile из документации

1.1. В официальном примере:
Код:
RUN java -cp .:*: ru.CryptoPro.Installer.InstallerConsole -force -install -jcp -jcsp -default_provider 1

Команда не срабатывает — класс InstallerConsole не найден.
Присутствует ли этот класс в дистрибутиве CSP, и в какой версии, что он по делает, можно ли без него?

1.2. Инструкция по ссылке: https://www.cryptopro.ru...ts&m=90351#post90351
Не удалось установить пакеты через репозиторий - непонятно, какой логин, вводили только почту, как её не подставляли в url - не сработало.


2. Вопросы менеджмента ключей

2.1. Верно ли, что подобное сложно реализовать, оставаясь в рамках JCP, чистой Java, без установки в окружение CryptoPRO CSP/JCSP? Верно ли, что единственный вариант в этом контексте, работающий без дополнительного оборудования (токенов и пр.) это HDIMAGE? Остальные сторы, кажется, либо не поддерживаются в выбранном контексте (софтверные, jks, ...), либо не дают автоматический импорт/экспорт (что убивает часть функционала CICD). Есть ли способ автоматического экспорта\импорта подобных сертификатов в контейнер при запуске - средствами JCP (например, импорт в HDIMAGE)? Как в таких условиях типично автоматически устанавливают тестовые сертификаты при контейнеризации?

2.2. Как лучше выпускать самоподписанные\тестовые сертификаты, при работе с Криптопро наиболее приближённые к реальным сертификатам Федерального казначейства?
Какие существуют лучшие практики для автоматизированных CI/CD-окружений: где можно\законно хранить дистрибутивы+лицензии CryptoPro, сертификаты, ключи ?


3. Вопросы ИБ, лицензирования и регулирования

3.1. Разрешено ли использовать установку из локального/приватного артефактория (тут про jar файлы), если дистрибутив предварительно загружены с официального сайта, или это нарушает?
Если разрешено — какая стандартная схема проверки целостности дистрибутивов или отдельных jar?

3.2. Легальна ли установка CSP из заранее скачанных deb пакетов, при каких условиях?

3.3. Нужна ли серверная лицензия на каждый запущенный контейнер?
Если да — какая именно (число ядер не эквивалентно физическим и т.д.)?
Какие есть практики менеджмента такой группы лицензий?
Какие ещё типы лицензий стоит учесть в описанной ситуации (кроме рабочих мест разработки и QA, т.д., серверных)?

3.4. Существуют ли способы встроить указанную функциональность CryptoPRO в Java-приложение без необходимости дополнительных регуляторных процедур (например, сертификации среды или СКЗИ-компонентов, ПКЗ-2005)?
Вверх
Offline Евгений Афанасьев  
#2 Оставлено : 14 ноября 2025 г. 16:26:40(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 4,067
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 740 раз в 698 постах
Добрый день.

Лучше задать эти вопросы в портале техподдержки, т.к., вероятно, потребуется участие не одного сотрудника, вряд ли все посмотрят это сообщение.

Какая задача решается? Вы пишете "в продакшене", но далее "устанавливают тестовые сертификаты при контейнеризации"? Речь о настройке тестов?
По поводу контейнеризации: вроде бы в документации JCP/JavaCSP она появилась относительно недавно и могут быть какие-то нюансы с установкой и эксплуатацией, нужно уточнять в портале.

Частично попробую ответить.

1.

1.1. "Команда не срабатывает — класс InstallerConsole не найден." - да, у вас Java 21, в JCP/JavaCSP для этой версии нет установщика. Вызывать провайдеры надо в коде, регистрируя их в нужном порядке по приоритету (кто выше, то приоритетнее) с помощью Security.addProvider. В документации в дистрибутиве JCP/JavaCSP версии A это должно быть. Библиотеки должны быть доступны из classpath.

2.

2.1. JCP поддерживает ограниченное число форматов, и все они свои (HDImageStore, CertStore, MemoryStore), JavaCSP предоставляет форматы хранилищ CSP: HDIMAGE (он же - HDImageStore), REGISTRY (Windows) и др., а также транспортный PFXSTORE (PKCS12), набор ROOT, CA, AddressBook, MY (системные хранилища) и SST (p7b). Поддержка импорта из JKS/JCEKS есть для зарубежных алгоритмов (JCSPRSA, JCSPECDSA).
Импорт откуда-то в HDImageStore в JCP отсутствует. Импорт в HDIMAGE в JavaCSP возможен из PFXSTORE, JKS/JCEKS.
При желании можно, например, хранить архив с тестовыми HDIMAGE-ключами, который может быть распакован в docker-контейнере в папку пользователя.

2.2. В составе CSP есть утилита minica, с ее помощью можно создать сертификат. Или создать сертификат программно.

3.

3.3. Лицензия нужна на каждый контейнер. Серверная или нет, зависит от ОС, TLS.
Тех. поддержка
База знаний
Логирование JCP
Логирование JTLS
Тест JCP и сбор диаг. информации
Скачать JCP, JCSP и JTLS
Скачать Android CSP + SDK
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET