Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

39 Страницы«<1011121314>»
Опции
К последнему сообщению К первому непрочитанному
Offline jjjbushjjj  
#111 Оставлено : 16 сентября 2018 г. 12:59:05(UTC)
jjjbushjjj

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.09.2018(UTC)
Сообщений: 7
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Автор: Mikhail0101 Перейти к цитате
Автор: jjjbushjjj Перейти к цитате

Михаил, не могли бы вы показать как вы сгенерили клиентский сертификат? Если вы это делали (То что закоментировано).
Я никак не могу сделать сертификат который бы принимали удаленные сервера. Конфиг у меня +- такойже.


Клиентский сертификат для тестовых нужд генерил через тестовый УЦ КриптоПро по второй ссылке на странице https://www.cryptopro.ru/solutions/test-ca

Нужно также убедиться, что сертификат имеет кодировку PEM, как указано здесь https://www.cryptopro.ru...ts&m=83282#post83282




Ну у меня проблема в том что мне надо сгенерить его в линуксе без графического интерфейса и браузера.
В скриптах этих есть пример как это делается для серверного сертификата для nginx.
Я немного поменял там (добавил OID в поле --certusage чтобы был клиентский сертификат).
Все красиво сгенерилось, но после конвертации в .cer Сертификат получается без поля Client

проверить можно так

openssl x509 -purpose -noout -in client.crt.pem
Certificate purposes:
SSL client : No
...

собственно из за этого удаленные сервера не хотят его принимать (Возвращают 400 Bad certificate purpose).

Offline jjjbushjjj  
#112 Оставлено : 17 сентября 2018 г. 11:03:11(UTC)
jjjbushjjj

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.09.2018(UTC)
Сообщений: 7
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Автор: jjjbushjjj Перейти к цитате
Автор: Mikhail0101 Перейти к цитате
Автор: jjjbushjjj Перейти к цитате

Михаил, не могли бы вы показать как вы сгенерили клиентский сертификат? Если вы это делали (То что закоментировано).
Я никак не могу сделать сертификат который бы принимали удаленные сервера. Конфиг у меня +- такойже.


Клиентский сертификат для тестовых нужд генерил через тестовый УЦ КриптоПро по второй ссылке на странице https://www.cryptopro.ru/solutions/test-ca

Нужно также убедиться, что сертификат имеет кодировку PEM, как указано здесь https://www.cryptopro.ru...ts&m=83282#post83282




Ну у меня проблема в том что мне надо сгенерить его в линуксе без графического интерфейса и браузера.
В скриптах этих есть пример как это делается для серверного сертификата для nginx.
Я немного поменял там (добавил OID в поле --certusage чтобы был клиентский сертификат).
Все красиво сгенерилось, но после конвертации в .cer Сертификат получается без поля Client

проверить можно так

openssl x509 -purpose -noout -in client.crt.pem
Certificate purposes:
SSL client : No
...

собственно из за этого удаленные сервера не хотят его принимать (Возвращают 400 Bad certificate purpose).




Ок. разобрался. Оставлю тут может пригодится кому.

1. Делаем контейнер и генерим приватные ключи

2. Делаем запрос на сертификат
cryptcp -creatrqst -dn "cn=TestUser,e=test_client@example.ru" -provtype 81 -nokeygen -cont '\\.\HDIMAGE\test_client' -certusage "1.3.6.1.5.5.7.3.4,1.3.6.1.5.5.7.3.2" test_user.req
Эти красненькие цифирьки это как раз те самые certificate purpose (1.3.6.1.5.5.7.3.2 - client certificate)

3. Лезем на http://www.cryptopro.ru/certsrv и пихаем туда содержимое test_user.req

4. Скачиваем подписаный сертификат и пихаем его в контейнер
certmgr -inst -file certnew.cer -store uMy -cont '\\.\HDIMAGE\test_client' --inst_to_cont

5. конвертим в PEM то что они нам прислали и пихаем в nginx (Вот тут то самое интересное, нам не надо делать экспорт из криптопрошного хранилища так как сертификат у нас и так есть в нормальном формате)
openssl x509 -inform DER -in certnew.cer -out certnew.pem

вот с этим все заработало.

вот неплохая шпаргалка как эти манипуляции делать
https://www.altlinux.org...%D0%BE%D0%9F%D1%80%D0%BE

Есть подозрение, что експорт из криптопрошного хранилища в .cer херит эти самые purpose.


thanks 1 пользователь поблагодарил jjjbushjjj за этот пост.
Riddick-84 оставлено 13.02.2019(UTC)
Offline chemtech  
#113 Оставлено : 17 сентября 2018 г. 14:17:00(UTC)
chemtech

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
Коллеги, когда примерно можно будет использовать CryptoPro с nginx (Linux) с ГОСТ 2012 года из коробки?
Спасибо

Отредактировано пользователем 17 сентября 2018 г. 14:21:09(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#114 Оставлено : 17 сентября 2018 г. 14:35:38(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: chemtech Перейти к цитате
Коллеги, когда примерно можно будет использовать CryptoPro с nginx (Linux) с ГОСТ 2012 года из коробки?
Спасибо

Если речь про ошибку в прошлой версии OpenSSL 1.1.0, которая не позволяла работать ГОСТу, то эта ошибка исправлена в текущей версии OpenSSL.

Если речь про что-то другое, то скорее всего без дополнительных манипуляций из коробки ГОСТ 2012 никогда не заработает.
Знания в базе знаний, поддержка в техподдержке
Offline chemtech  
#115 Оставлено : 18 сентября 2018 г. 7:46:21(UTC)
chemtech

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
Автор: Дмитрий Пичулин Перейти к цитате
Автор: chemtech Перейти к цитате
Коллеги, когда примерно можно будет использовать CryptoPro с nginx (Linux) с ГОСТ 2012 года из коробки?
Спасибо

Если речь про ошибку в прошлой версии OpenSSL 1.1.0, которая не позволяла работать ГОСТу, то эта ошибка исправлена в текущей версии OpenSSL.

Если речь про что-то другое, то скорее всего без дополнительных манипуляций из коробки ГОСТ 2012 никогда не заработает.


Речь не о ванильном OpenSSL
Перефразирую вопрос:

Коллеги, когда примерно можно будет установить пакеты CryptoPro (cprocsp-compat-debian, cprocsp-cpopenssl-110-64, cprocsp-cpopenssl-110-base, cprocsp-cpopenssl-110-devel, cprocsp-cpopenssl-110-gost-64, cprocsp-curl-64, lsb-cprocsp-base, lsb-cprocsp-capilite-64, lsb-cprocsp-kc1-64, lsb-cprocsp-kc2-64, lsb-cprocsp-rdr-64) на Linux чтобы из коробки заработал HTTPS ГОСТ 2012 года?
Offline Дмитрий Пичулин  
#116 Оставлено : 19 сентября 2018 г. 17:15:05(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: chemtech Перейти к цитате
Перефразирую вопрос:

Коллеги, когда примерно можно будет установить пакеты CryptoPro (cprocsp-compat-debian, cprocsp-cpopenssl-110-64, cprocsp-cpopenssl-110-base, cprocsp-cpopenssl-110-devel, cprocsp-cpopenssl-110-gost-64, cprocsp-curl-64, lsb-cprocsp-base, lsb-cprocsp-capilite-64, lsb-cprocsp-kc1-64, lsb-cprocsp-kc2-64, lsb-cprocsp-rdr-64) на Linux чтобы из коробки заработал HTTPS ГОСТ 2012 года?

Как только nginx начнёт использовать из коробки в вашем Linux версию OpenSSL >= 1.1.0 так сразу.
Знания в базе знаний, поддержка в техподдержке
Offline chemtech  
#117 Оставлено : 19 сентября 2018 г. 17:42:31(UTC)
chemtech

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
Т.е. если я установлю nginx + cryptopro на этих системах, то HTTPS ГОСТ 2018 будет работать
Fedora 28
1.1.0h-3.fc28

Fedora 27
1.1.0h-3.fc27

Ubuntu bionic (18.04LTS)
1.1.0g-2ubuntu4.1
?
Надо попробовать

Скрипт ругается на Fedora 28 :(
Код:
Not supported system (supported: Ubuntu, Debian, CentOS, Red Hat).

Отредактировано пользователем 19 сентября 2018 г. 18:13:02(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#118 Оставлено : 19 сентября 2018 г. 18:23:22(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: chemtech Перейти к цитате
Т.е. если я установлю nginx + cryptopro на этих системах, то HTTPS ГОСТ 2018 будет работать
Fedora 28
1.1.0h-3.fc28

Fedora 27
1.1.0h-3.fc27

Ubuntu bionic (18.04LTS)
1.1.0g-2ubuntu4.1
?
Надо попробовать

Скрипт ругается на Fedora 28 :(
Код:
Not supported system (supported: Ubuntu, Debian, CentOS, Red Hat).

А при чём тут скрипт? Устанавливайте пакеты. Работайте из коробки.
Знания в базе знаний, поддержка в техподдержке
Offline chemtech  
#119 Оставлено : 19 сентября 2018 г. 19:40:39(UTC)
chemtech

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
Для быстрого развертывания и тестирования nginx c OpenSSL 1.1.0 с КриптоПро сделал Dockerfile:

https://github.com/patse...u/blob/master/Dockerfile

Инструкция как запустить находится на главной странице репозитория

https://github.com/patsevanton/GOST-2012-ubuntu

Сейчас при установке сертификатов появляется вот такая ошибка:

Код:

Step 8/10 : RUN ./install-certs.sh
 ---> Running in 7a9ca206fa13
+ ARGV=
+ certname=srvtest
+ container=ngxtest
+ provtype=81
+ provnameKC1='Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP'
+ provnameKC2='Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP'
+ grep CN=srvtest
+ /opt/cprocsp/bin/amd64/certmgr -list
Failed to open store
The requested address is not valid in its context.
+ '[' 1 -eq 0 ']'
+ /opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMCONTAINERS
+ grep ngxtest
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/support/getcspparam.c:28:Can not get CSP param: AcquireContext failed.
Error number 0x2741 (10049).
The requested address is not valid in its context.
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/enum.c:399:Error during CryptAcquireContext.

Error number 0x2741 (10049).
The requested address is not valid in its context.
Program is terminating.
+ '[' 1 -eq 0 ']'
+ /opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn CN=srvtest -cont '\\.\HDIMAGE\ngxtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv
CryptCP 4.0 (c) "Crypto-Pro", 2002-2017.
Command prompt Utility for file signature and encryption.
Creating request...
Press keys...
[]Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:441: 0x8010006E
Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1003: 0x8010006E
[ErrorCode: 0x8010006e]
+ exit 1
ERROR: Service 'gost-2012' failed to build: The command '/bin/sh -c ./install-certs.sh' returned a non-zero code: 1


В чем может быть ошибка?
Можно ли запустить debug?
Надо сюда глянуть https://github.com/taigasys/CryptoProCSP

Отредактировано пользователем 19 сентября 2018 г. 19:46:02(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#120 Оставлено : 19 сентября 2018 г. 22:50:39(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: chemtech Перейти к цитате
+ /opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn CN=srvtest -cont '\\.\HDIMAGE\ngxtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv
CryptCP 4.0 (c) "Crypto-Pro", 2002-2017.
Command prompt Utility for file signature and encryption.
Creating request...
Press keys...
[]Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:441: 0x8010006E
Error: The action was cancelled by the user./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:1003: 0x8010006E
[ErrorCode: 0x8010006e]
+ exit 1

Генерация ключей с помощью биологического датчика случайных чисел возможна только в живой консоли.

При работе в рамках контейнеров, лучший вариант -- использовать заранее подготовленный pfx в качестве контейнера с сертификатом.

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
39 Страницы«<1011121314>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.