Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline velichkovs  
#1 Оставлено : 28 марта 2015 г. 3:32:27(UTC)
velichkovs

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.03.2015(UTC)
Сообщений: 3

Получал ключ для госуслуг в Такском, в связи с тем, что их плагин для работы с УЦ, работает только в Windows, на токен записывал ключ там. Ключ есть, работает.
В линуксе в это же время certmgr говорил, что сертификатов. Я попробовал экспортировать pfx, выдрать из него сертификат по мануалу от рутокена, и установить, сначала через /opt/cprocsp/bin/amd64/certmgr -inst -file cert.crt, потом решил, что там же контейнер уже какой-то был, и повторил запуск в форме /opt/cprocsp/bin/amd64/certmgr -inst -ask-cont -file cert.crt (мне был предложен контейнер \\.\Aktiv Rutoken ECP 00 00\velichko_503127673648_27.03.15_21.20.46, куда я и поставил сертификат.

В результате у меня получилась странная ситуация, когда certmgr стал показывать сертификат, в двух вариантах, и для одного из них даже есть ключ (ссылка на ключ ровно та, что показывается в windows):
Код:
➜ sudo /opt/cprocsp/bin/amd64/certmgr -list -v
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer            : OGRN=1027700071530, INN=007704211201, STREET="Барыковский пер., дом 4 стр. 2", E=uc_support@taxcom.ru, C=RU, S=77 Москва, L=Москва, O="ООО ""Такском""", OU=Удостоверяющий центр, CN=TAXCOM CA
Subject           : SNILS=**, INN=**, E=**@**.net, C=RU, S=**, L=**, CN=**, G=**, SN=**
Serial            : 0x4A1B8B5300010006E169
SHA1 Hash         : 0x4bf4a880988e13978b60b5416a6b0de9ccc6229c
Not valid before  : 27/03/2015  18:13:00 UTC
Not valid after   : 27/03/2016  18:23:00 UTC
PrivateKey Link   : Yes. Container  : SCARD\rutoken_ecp_2cd96634\0A00\711B
Extended Key Usage: 1.2.643.2.2.34.6
                    1.3.6.1.5.5.7.3.2
                    1.3.6.1.5.5.7.3.4
=============================================================================

[ErrorCode: 0x00000000]

➜ sudo /opt/cprocsp/bin/amd64/certmgr -list -cont '\\.\Aktiv Rutoken ECP 00 00\velichko_503127673648_27.03.15_21.20.46'  -v
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer            : OGRN=1027700071530, INN=007704211201, STREET="Барыковский пер., дом 4 стр. 2", E=uc_support@taxcom.ru, C=RU, S=77 Москва, L=Москва, O="ООО ""Такском""", OU=Удостоверяющий центр, CN=TAXCOM CA
Subject           : SNILS=**, INN=**, E=**@**.net, C=RU, S=**, L=**, CN=**, G=**, SN=**
Serial            : 0x4A1B8B5300010006E169
SHA1 Hash         : 0x4bf4a880988e13978b60b5416a6b0de9ccc6229c
Not valid before  : 27/03/2015  18:13:00 UTC
Not valid after   : 27/03/2016  18:23:00 UTC
PrivateKey Link   : Certificate from container. No link to key
Extended Key Usage: 1.2.643.2.2.34.6
                    1.3.6.1.5.5.7.3.2
                    1.3.6.1.5.5.7.3.4
=============================================================================

[ErrorCode: 0x00000000]

Каким образом прилинковался ключ, мне не очень понятно. Судя по strace, первый сертификат как-то попал (вместе с ключом?) в локальное хранилище /var/opt/cprocsp/users/root/stores/my.sto и при вызове без указания контейнера опрос токена даже не идёт.

Тем не менее, сайт госуслуг продолжает в линуксе сообщать, что сертификатов у меня нет, и отказываться меня авторизовывать. Что с этим делать, не знаю, как всё-таки уговорить линукс и винду видеть одно и то же хранилище, а не два независимых, я тоже не очень понимаю.

Ubuntu 14.10 x64, КриптоПро CSP 3.6.1-4:
Код:
0 ➜ dpkg -l | grep -i 'cprocsp\|ifd\|rutoken' | awk '{print $2 $3}'
cprocsp-drv-64-dummy3.6.1-4
cprocsp-rdr-pcsc-643.6.1-4
cprocsp-rdr-rutoken-643.6.1-4
ifd-rutokens1.0.1-1
librtpkcs11ecp1.1.5-4
lsb-cprocsp-base3.6.1-4
lsb-cprocsp-capilite-643.6.1-4
lsb-cprocsp-kc1-643.6.1-4
lsb-cprocsp-pkcs11-643.6.1-4
lsb-cprocsp-rdr-643.6.1-4
lsb-cprocsp-tsp-util-643.6.1-4

Отредактировано пользователем 28 марта 2015 г. 3:33:33(UTC)  | Причина: Не указана

Offline Ivanov-aa  
#2 Оставлено : 30 марта 2015 г. 12:47:46(UTC)
Ivanov-aa

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 01.08.2011(UTC)
Сообщений: 674
Откуда: Москва

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 38 раз в 36 постах
velichkovs написал:
Каким образом прилинковался ключ, мне не очень понятно.
Вы сами его установили:
velichkovs написал:
запуск в форме /opt/cprocsp/bin/amd64/certmgr -inst -ask-cont -file cert.crt (мне был предложен контейнер \\.\Aktiv Rutoken ECP 00 00\velichko_503127673648_27.03.15_21.20.46, куда я и поставил сертификат


velichkovs написал:
и при вызове без указания контейнера опрос токена даже не идёт.

Опрос не идет, т.к. отсутствуют обращения, а именно обращения к использованию закрытой части контейнера.

velichkovs написал:
Тем не менее, сайт госуслуг продолжает в линуксе сообщать, что сертификатов у меня нет, и отказываться меня авторизовывать.

Одно из минимальных требований, это наличие в системе плагина КриптоПро ЭЦП Browser plug-in http://www.cryptopro.ru/...cades/demopage/main.html
И то не факт, что будет работать, т.к. мне не известно, поддерживается ли работа ЭЦП с сайтом госулуг в Unix системах. Уточняете у тех поддержки.
Offline velichkovs  
#3 Оставлено : 30 марта 2015 г. 13:39:29(UTC)
velichkovs

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.03.2015(UTC)
Сообщений: 3

Ivanov-aa написал:
Вы сами его установили:

Вы не поняли — я установил сертификат. Непонятно, как я мог прилинковать к нему ключ:
velichkovs написал:
PrivateKey Link : Yes. Container : SCARD\rutoken_ecp_2cd96634\0A00\711B

Ведь я даже ключ из pfx-контейнера не выдрал. И при этом этот ключ прилинковался к сертификату, который поставился в системное хранилище (в /var/opt/cprocsp/...), но не прилинковался к сертификату, который я установил на токен (второй запуск с -ask-cont).

Ivanov-aa написал:
И то не факт, что будет работать, т.к. мне не известно, поддерживается ли работа ЭЦП с сайтом госулуг в Unix системах. Уточняете у тех поддержки.

Я не знаю, поддерживается ли работа конкретно Рутокен ЭЦП / Рутокен S с сайтом госуслуг в Unix системах, но пока у меня была ростелекомовская Jacarta JC101, на которую ростелеком же и записывал ключ, плагин госуслуг этот ключ успешно видел.
Offline velichkovs  
#4 Оставлено : 30 марта 2015 г. 14:08:15(UTC)
velichkovs

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.03.2015(UTC)
Сообщений: 3

Установил по ссылке сертифицированный плагин версии 1.5 (совместимый, как я понимаю, с моей Криптопро CSP 3.6), результат на демостранице неутешительный:
UserPostedImage

Отредактировано пользователем 30 марта 2015 г. 14:08:46(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.