Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<1617181920>»
Опции
К последнему сообщению К первому непрочитанному
Offline lunicon  
#171 Оставлено : 12 июля 2016 г. 19:56:15(UTC)
lunicon

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.07.2016(UTC)
Сообщений: 5
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Сделал тестовый сертификат с контейнере test.

[Tue Jul 12 19:16:32.252176 2016] [ssl:emerg] [pid 1828:tid 500] AH02827: Failed to configure engine private key (engine:gost_capi:test)
[Tue Jul 12 19:16:32.252176 2016] [ssl:emerg] [pid 1828:tid 500] SSL Library Error: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key AH00016: Configuration Failed

Никак не могу понять как он ищет ключ по сертификату
openssl -inkey <name>

Тестирую под Windows и ключи лежат в реестре. Скопировал их пользователю под которым запускаю.
Пробовали и имя контейнера и CN сертификата.

Что я упустил? Может ключи нужно в другой контейнер переносить?

Автор: pd Перейти к цитате
Автор: kropotin Перейти к цитате
Что обозначает -inkey параметр? пароль на ключевой носитель? Первый раз я указывал в этом параметре пароль к ключевому контейнеру.


В текущей реализации, у нас используется довольно скверный механизм поиска закрытого ключа, а именно поиск закрытого ключа по сертификату, а поиск сертификата по подстроке.

В данном случае inkey подстрока имени сертификата.

Например для сертификата с именем "some.test.local", правильными строками будет и полная строка "some.test.local" так и ее часть, например "some.test".


В моем случае пустая строка не помогла.
gost_capi file version: 4.0.10152.3509
crypto pro csp product version: 4.0.9708

Отредактировано пользователем 13 июля 2016 г. 11:02:13(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#172 Оставлено : 13 июля 2016 г. 11:58:03(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: lunicon Перейти к цитате
Что я упустил? Может ключи нужно в другой контейнер переносить?

1) Опишите задачу, которую вы хотите решить
2) Опишите последовательность действий, которая приводит к ошибке при решении вашей задачи

Знания в базе знаний, поддержка в техподдержке
Offline lunicon  
#173 Оставлено : 13 июля 2016 г. 13:30:50(UTC)
lunicon

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.07.2016(UTC)
Сообщений: 5
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате

1) Опишите задачу, которую вы хотите решить
2) Опишите последовательность действий, которая приводит к ошибке при решении вашей задачи


A пытался запустить Apache на тестовом сертификате.
Проблема, видимо в том что, ключ ищется только в контейнерах текущего пользователя.
И никак не видит ключи сохраненные для машины.
Пришлось запускать сервис Apache от определенного пользователя и ему переносить/перевыпускать ключ.

Последовательность такая: делаем сертификат https://www.cryptopro.ru/certsrv/certrqma.asp
и ставим галочку "Использовать локальное хранилище компьютера для сертификата..."


Offline Дмитрий Пичулин  
#174 Оставлено : 13 июля 2016 г. 13:50:04(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: lunicon Перейти к цитате
A пытался запустить Apache на тестовом сертификате.
...
Пришлось запускать сервис Apache от определенного пользователя и ему переносить/перевыпускать ключ.

1) Речь идёт про работу Apache на сертификатах ГОСТ в Windows?
2) Вы успешно пропатчили и собрали mod_ssl согласно инструкции в FAQ?
3) Из последнего сообщения мы делаем вывод, что более ошибок нет

Знания в базе знаний, поддержка в техподдержке
Offline lunicon  
#175 Оставлено : 15 июля 2016 г. 9:57:03(UTC)
lunicon

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.07.2016(UTC)
Сообщений: 5
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате
1) Речь идёт про работу Apache на сертификатах ГОСТ в Windows?
2) Вы успешно пропатчили и собрали mod_ssl согласно инструкции в FAQ?
3) Из последнего сообщения мы делаем вывод, что более ошибок нет

Было бы странно на форуме КриптоПро обсуждать не гост сертификаты :)
Да, я собрал httpd с вашим патчем, но ошибка никуда не пропала и описана выше.
Мне ее удалось обойти, но надеюсь будет исправлена в будущем...


Offline Дмитрий Пичулин  
#176 Оставлено : 15 июля 2016 г. 11:33:42(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: lunicon Перейти к цитате
Мне ее удалось обойти, но надеюсь будет исправлена в будущем...

К сожалению, ваш случай остался загадкой, но мы рады, что у вас всё получилось.

Знания в базе знаний, поддержка в техподдержке
Offline lunicon  
#177 Оставлено : 15 июля 2016 г. 12:02:51(UTC)
lunicon

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.07.2016(UTC)
Сообщений: 5
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате
Автор: lunicon Перейти к цитате
Мне ее удалось обойти, но надеюсь будет исправлена в будущем...

К сожалению, ваш случай остался загадкой, но мы рады, что у вас всё получилось.

Я готов ответить на любые вопросы. В чем загадка?
Делаем запрос сертификата устанавливаем ключ в локальное хранилище машины.
И чтобы вы не делали gost_capi не видит этот ключ (ENGINE_load_private_key fail).
Даже без apache можно же проверить командой подписания (openssl -inkey <name>)



Offline Дмитрий Пичулин  
#178 Оставлено : 15 июля 2016 г. 12:07:21(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: lunicon Перейти к цитате
Делаем запрос сертификата устанавливаем ключ в локальное хранилище машины.
И чтобы вы не делали gost_capi не видит этот ключ (ENGINE_load_private_key fail).
Даже без apache можно же проверить командой подписания (openssl -inkey <name>)

Вы говорите о базовых принципах работы КриптоПро CSP: любой пользователь имеет доступ только к своим ключам.

Если хотите получить доступ к ключам системы ("локальное хранилище машины"), запускайте соответствующее приложение от имени системы.

Знания в базе знаний, поддержка в техподдержке
Offline lunicon  
#179 Оставлено : 15 июля 2016 г. 12:56:07(UTC)
lunicon

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.07.2016(UTC)
Сообщений: 5
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате
Вы говорите о базовых принципах работы КриптоПро CSP: любой пользователь имеет доступ только к своим ключам.
Если хотите получить доступ к ключам системы ("локальное хранилище машины"), запускайте соответствующее приложение от имени системы.

Apache запущенный как сервис системы не видит ключи.
Под какой учеткой вы советуете запускать "NT AUTHORITY\LOCAL SERVICE" или "NT AUTHORITY\SYSTEM" ?
thanks 1 пользователь поблагодарил lunicon за этот пост.
pd оставлено 15.07.2016(UTC)
Offline Дмитрий Пичулин  
#180 Оставлено : 15 июля 2016 г. 15:13:16(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: lunicon Перейти к цитате
Apache запущенный как сервис системы не видит ключи.

Спасибо, разобрались, при поиске сертификата использовалось только хранилище CERT_SYSTEM_STORE_CURRENT_USER. Поэтому вне зависимости от пользователя, поиск в LOCAL_MACHINE не осуществлялся в принципе.

Добавили поиск в CERT_SYSTEM_STORE_LOCAL_MACHINE и соответствующую поддержку (CRYPT_MACHINE_KEYSET) при загрузке ключа, сейчас обновим версию в FAQ.

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
67 Страницы«<1617181920>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.