Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

8 Страницы«<5678>
Опции
К последнему сообщению К первому непрочитанному
Offline NTMan  
#61 Оставлено : 12 октября 2015 г. 13:13:13(UTC)
NTMan

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.02.2013(UTC)
Сообщений: 33
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
maxdm сильно заняты? Не смотрели виртуалочку еще?
Offline Femi  
#62 Оставлено : 13 октября 2015 г. 9:43:03(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,381
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
Автор: NTMan Перейти к цитате
maxdm сильно заняты? Не смотрели виртуалочку еще?


Добрый день.
Посмотрим сегодня
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Наталья Мовчан за этот пост.
NTMan оставлено 13.10.2015(UTC)
Offline NTMan  
#63 Оставлено : 13 октября 2015 г. 16:01:31(UTC)
NTMan

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.02.2013(UTC)
Сообщений: 33
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Femi, спасибо мне сообщили, что проблема исправленна в версии CSP 4.0.9644

Очень хочу Вас попросить на будующее при сборке rpm пакетов увеличивать номер билда или в сквозную уазывать например lsb-cprocsp-base-4.0.0-9644.noarch.rpm
А то для обновления приходится удалять КриптоПРО и заново ставить, а если бы вы увелилчили номер билда я бы просто добавил новые файлы в свой репозитарий проиндексировал бы добавленные файлы
$ createrepo --update /home/mikhail/cryptopro/x86_64/
$ createrepo --update /home/mikhail/cryptopro/i686/
и сделал бы yum/dnf update и все бы обновилось автоматом.

Спасибо большое за понимание!
Offline Русев Андрей  
#64 Оставлено : 16 октября 2015 г. 15:11:59(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,260

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 442 раз в 322 постах
Спасибо за интересное предложение. Надо подумать, скольким людям мы при этом поможем и скольким навредим: всем придётся переписать свои install/uninstall-скрипты из-за постоянной смены имени пакетов. Мы и сами хотели бы выкладывать CSP в общедоступный репозиторий, тогда многие бы перешли со скриптов на апдейты и проблемы не было. Но согласовать процедуру с регулятором (организовать поэкземплярный учёт при распространении) непросто.
Официальная техподдержка. Официальная база знаний.
Offline 2ndbrezhnev  
#65 Оставлено : 15 января 2016 г. 9:57:58(UTC)
2ndbrezhnev

Статус: Участник

Группы: Участники
Зарегистрирован: 13.01.2016(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 2 раз в 2 постах
Появился вопрос с указанием пароля на контейнер при запросе через curl к ra.asp
Сообщения в теме прочитал - не понял.

Выполняю
Код:
/opt/cprocsp/bin/amd64/curl -E 04c4303ea75bc4ddf67fdeb1548e9e5025d6637d https://SERVER_NAME/ra/ra.asp

выдаётся сообщение
CryptoPro CSP: Type password for container "test-ca-operator"

Выполняю
Код:
/opt/cprocsp/bin/amd64/curl -E 04c4303ea75bc4ddf67fdeb1548e9e5025d6637d:МОЙ ПАРОЛЬ https://SERVER_NAME/ra/ra.asp

выдаётся аналогичное сообщение.

Подскажите, пожалуйста, как правильно указать пароль на контейнер сертификата в команде при запросе к curl

Код:

/opt/cprocsp/bin/amd64/csptestf -keyset -verifycontext
CSP (Type:75) v3.9.8002 KC1 Release Ver:3.9.8353 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 37804163
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KC1 CSP


Проблема в версии?

Отредактировано пользователем 15 января 2016 г. 10:21:27(UTC)  | Причина: Не указана

Offline NTMan  
#66 Оставлено : 15 января 2016 г. 10:27:07(UTC)
NTMan

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.02.2013(UTC)
Сообщений: 33
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Автор: 2ndbrezhnev Перейти к цитате
Появился вопрос с указанием пароля на контейнер при запросе через curl к ra.asp
Сообщения в теме прочитал - не понял.

Вообще пароли задается через ключ -pin <ваш пин>, но на данный момент КриптоПРО не поддерживает этот параметр конкретно для curl, я завел обращение 2858 чтобы данный параметр появился, но он что-то не торопиться появиться. Может попросим еще раз всем хором? :)

Есть workaround, можно сохранить пин в так называемом "реестре" КриптоПРО. Делается это так:

1. Узнаем пути к контейнерам:
$ /opt/cprocsp/bin/amd64/csptest -keys -enum_c -verifyc -unique
У меня к примеру:
TEST1415 |HDIMAGE\\TEST1415.000\1074

2. Сохраняем пароль в так называемом "реестре", для этого используем путь к контейнеру из предыдущего запроса "HDIMAGE\\TEST1415.000"
$ /opt/cprocsp/sbin/amd64/cpconfig -ini "\\LOCAL\\KeyDevices\\passwords\\HDIMAGE\\TEST1415.000" -add string passwd <ваш пароль>

После этого можете пробовать свой курл запрос:
$ /opt/cprocsp/bin/amd64/curl https://SERVER_NAME/ra/ra.asp --cert 04c4303ea75bc4ddf67fdeb1548e9e5025d6637d



P.S.:

Для удаления пароля используем следующую команду:
$ /opt/cprocsp/sbin/amd64/cpconfig -ini "\\LOCAL\\KeyDevices\\passwords\\HDIMAGE\\TEST1415.000" -delsection
thanks 1 пользователь поблагодарил NTMan за этот пост.
2ndbrezhnev оставлено 15.01.2016(UTC)
Offline 2ndbrezhnev  
#67 Оставлено : 15 января 2016 г. 12:03:07(UTC)
2ndbrezhnev

Статус: Участник

Группы: Участники
Зарегистрирован: 13.01.2016(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 2 раз в 2 постах
NTMan, спасибо за подробный ответ
Сейчас решили вопрос удалением пароля на контейнер, в будущем возможно пригодится Ваш метод

ЗЫ: но задавать пароль на контейнер через -pin было бы удобнее)
Offline maltf0  
#68 Оставлено : 24 июля 2017 г. 9:19:00(UTC)
maltf0

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.07.2017(UTC)
Сообщений: 2
Российская Федерация

Добрый день!

Пытаюсь выполнить запрос из PHP с использованием libcpcurl.so:

Цитата:
$handle = curl_init($location);


curl_setopt($handle, CURLOPT_VERBOSE, true);
curl_setopt($handle, CURLOPT_STDERR, $out);


curl_setopt($handle, CURLOPT_POST, true);
curl_setopt($handle, CURLOPT_RETURNTRANSFER, true);
curl_setopt($handle, CURLOPT_URL, 'https://217.107.108.147:10081/ext-bus-nsi-common-service/services/NsiCommon');
curl_setopt($handle, CURLOPT_HTTPHEADER, Array("Content-Type: text/xml", "SOAPAction: {$action}"));


curl_setopt($handle, CURLOPT_POSTFIELDS, $preparedRequest);

curl_setopt($handle, CURLOPT_USERPWD, "123:321");


curl_setopt($handle, CURLOPT_SSLCERT, '/keys/rgd.pem');
curl_setopt($handle, CURLOPT_SSLKEY, '/keys/rgd.pem');
curl_setopt($handle, CURLOPT_CAINFO, '/keys/CA.pem');

curl_setopt($handle, CURLOPT_SSL_VERIFYHOST, 2);
curl_setopt($handle, CURLOPT_SSL_VERIFYPEER, true);


curl_setopt($handle, CURLINFO_HEADER_OUT, true);

$response = curl_exec($handle);



Получаю ошибку: "CURL error: Problem with the local SSL certificate".
Складывается ощущение, что curl от КриптоПро игнорирует параметры CURLOPT_SSLCERT, CURLOPT_SSLKEY и CURLOPT_CAINFO.
Также почему-то игнорятся CURLOPT_SSL_VERIFYHOST и CURLOPT_SSL_VERIFYPEER, установленные в false(аналог флага ./curl <url> -k).


Что я делаю не так?

Сведения о библиотеке curl

Отредактировано пользователем 24 июля 2017 г. 9:20:24(UTC)  | Причина: Не указана

Offline NTMan  
#69 Оставлено : 24 июля 2017 г. 9:35:11(UTC)
NTMan

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.02.2013(UTC)
Сообщений: 33
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
maltf0 вы бы для начала проверили из консоли curl цепляется ли.
Если цепляется, то дальше уже смотреть.
И почему вы думаеете, что php который был скомпилирован с ситемным curl автоматом начнет использовать curl от КриптоПРО?
Есть конечно "хакерский" способ подменить curl через LD_LIBRARY_PATH=/opt/cprocsp/lib/amd64, но он может вызвать Segmentation fault: 11 т.к. версия curl с которым собран PHP может отличаться от версии собираемой КриптоПРО.
Offline maltf0  
#70 Оставлено : 24 июля 2017 г. 12:35:49(UTC)
maltf0

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.07.2017(UTC)
Сообщений: 2
Российская Федерация

NTMan, из консоли проверял - цепляется с флагом --insecure.
Обратите внимание на скрин в сообщении - PHP цепляется к curl КриптоПро.

Мой системный curl:
curl -V
curl 7.54.1 (x86_64-pc-linux-gnu) libcurl/7.54.1 OpenSSL/1.0.2l zlib/1.2.7 nghttp2/1.16.0

curl КриптоПро:
/opt/cprocsp/bin/amd64/curl -V
curl 7.21.3 (x86_64-unknown-linux-gnu) libcurl/7.21.3 SSPI/CPRO Nov 14 2016 23:40:25 zlib/1.2.7 libidn/1.28

Цитата:
Есть конечно "хакерский" способ подменить curl через LD_LIBRARY_PATH=/opt/cprocsp/lib/amd64, но он может вызвать Segmentation fault: 11 т.к. версия curl с которым собран PHP может отличаться от версии собираемой КриптоПРО.

Я сделал через симлинк - вроде работает.

Честно говоря, я не смог интерпретировать PHP код в обращение через командную строку, чтобы проверить работоспособность запроса. Вы можете мне с этим помочь?
Я обращался вот так:
./curl --insecure --user user:password https://217.107.108.147:10081/ext-bus-nsi-common-service/services/NsiCommon
B это работает. Если убрать --insecure, то получаю "Problem with the local SSL certificate", что в общем-то логично. Как устранить причину этой ошибки - я не знаю, т.к. документацию на КриптоПрошный curl я не нашел.

Отредактировано пользователем 24 июля 2017 г. 16:18:37(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
8 Страницы«<5678>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.