Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,448
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 415 раз в 307 постах
|
Автор: colotiline  Подскажите, как в случае UNIX и gost_capi быть с CRL и OCSP? Как вы понимаете, с помощью gost_capi (и gostengy) можно проверить подпись или что-то расшифровать. Но ENGINE ничего не знает про CRL и OCSP, этим должно заниматься приложение. Отредактировано пользователем 14 сентября 2018 г. 15:59:27(UTC)
| Причина: Не указана |
|
 1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.09.2018(UTC)
Сообщений: 16
Сказал(а) «Спасибо»: 6 раз
|
Автор: Дмитрий Пичулин Автор: colotiline Подскажите, как в случае UNIX и gost_capi быть с CRL и OCSP? Как вы понимаете, с помощью gost_capi (и gostengy) можно проверить подпись или что-то расшифровать. Но ENGINE ничего не знает про CRL и OCSP, этим должно заниматься приложение. В будущем планируется какой-либо продукт от КриптоПро, чтобы он сам следил на UNIX за CRL? Или может есть открытые продукты, которые можете порекомендовать?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,448
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 415 раз в 307 постах
|
Автор: colotiline Автор: Дмитрий Пичулин Автор: colotiline Подскажите, как в случае UNIX и gost_capi быть с CRL и OCSP? Как вы понимаете, с помощью gost_capi (и gostengy) можно проверить подпись или что-то расшифровать. Но ENGINE ничего не знает про CRL и OCSP, этим должно заниматься приложение. В будущем планируется какой-либо продукт от КриптоПро, чтобы он сам следил на UNIX за CRL? Или может есть открытые продукты, которые можете порекомендовать? За CRL следят функции проверки сертификатов в КриптоПро CSP, например CertGetCertificateChain() и CertVerifyCertificateChainPolicy(). Эти функции активно используются во многих проектах, в том числе с открытым исходным кодом: chromium-gost, stunnel-msspi и qtbase-msspi. |
|
1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.09.2018(UTC) Сообщений: 7  Откуда: Moscow Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
Доброго времени суток.
Не поможете с проблемкой. Пытаюсь настроить nginx+gostengy+cryptopro. В режиме сервера все замечательно работает.
Никак не получается заставить работать в режиме клиента. Подключаемся по http шифруем своим клиентским сертификатом и отправляем.
Проблему локализовал до состояния. Клиентский сертификат неправильно сгенерирован. Удаленный сервер возвращает 400 в логах пишет о том что purpose у него нифига не клиентский.
собственно openssl это тоже подтверждает.
openssl x509 -purpose -noout -in client.crt.pem
Certificate purposes:
SSL client : No
...
Сертификат делал так
1. Утилитой cryptcp делается новый контейнер, генерятся ключи, посылается запрос на сертификат в тестовый УЦ
2. Сертификат добавляется в контейнер. (добавляется с OID для клиентского сертификата. Вот тут возможно и корень зла, потому что я не знаю точно что сюда писать)
3. Експорт в DER из контейнера (вот тут openssl x509 -purpose показывает что сертификат ниразу не клиентский)
4. Конвертация в PEM
5. Использование этого PEM в nginx
Собственно вопрос, Как правильно сгенерировать сертификат средствами криптопро который можно использовать как клиентский для подключения?
Сделать желательно в линуксе без графического интерфейса. Если не сложно напишите пример команды, а то я уже сжег все остатки мозгов своих.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,448
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 415 раз в 307 постах
|
Автор: jjjbushjjj
...
SSL client : No
...
1. Утилитой cryptcp делается новый контейнер, генерятся ключи, посылается запрос на сертификат в тестовый УЦ
Для серверного: -certusage 1.3.6.1.5.5.7.3.1 Для клиентского: -certusage 1.3.6.1.5.5.7.3.2 |
|
1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.09.2018(UTC) Сообщений: 7 Откуда: Moscow Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
да все так делал и с двумя и только с клиентским.
certmngr показыает эти OID
но похоже после експорта в .cer экспортируется без этих пропертей.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.09.2018(UTC)
Сообщений: 16
Сказал(а) «Спасибо»: 6 раз
|
Автор: Дмитрий Пичулин Автор: colotiline Автор: Дмитрий Пичулин Автор: colotiline Подскажите, как в случае UNIX и gost_capi быть с CRL и OCSP? Как вы понимаете, с помощью gost_capi (и gostengy) можно проверить подпись или что-то расшифровать. Но ENGINE ничего не знает про CRL и OCSP, этим должно заниматься приложение. В будущем планируется какой-либо продукт от КриптоПро, чтобы он сам следил на UNIX за CRL? Или может есть открытые продукты, которые можете порекомендовать? За CRL следят функции проверки сертификатов в КриптоПро CSP, например CertGetCertificateChain() и CertVerifyCertificateChainPolicy(). Эти функции активно используются во многих проектах, в том числе с открытым исходным кодом: chromium-gost, stunnel-msspi и qtbase-msspi. Я так понимаю, что это C. Можно из bash как-либо проверить?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,448
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 415 раз в 307 постах
|
Автор: colotiline Я так понимаю, что это C. Можно из bash как-либо проверить? Напишите тривиальную утилиту — дёргайте из bash. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.09.2018(UTC)
Сообщений: 16
Сказал(а) «Спасибо»: 6 раз
|
Автор: colotiline Автор: Дмитрий Пичулин Автор: colotiline Автор: Дмитрий Пичулин Автор: colotiline Подскажите, как в случае UNIX и gost_capi быть с CRL и OCSP? Как вы понимаете, с помощью gost_capi (и gostengy) можно проверить подпись или что-то расшифровать. Но ENGINE ничего не знает про CRL и OCSP, этим должно заниматься приложение. В будущем планируется какой-либо продукт от КриптоПро, чтобы он сам следил на UNIX за CRL? Или может есть открытые продукты, которые можете порекомендовать? За CRL следят функции проверки сертификатов в КриптоПро CSP, например CertGetCertificateChain() и CertVerifyCertificateChainPolicy(). Эти функции активно используются во многих проектах, в том числе с открытым исходным кодом: chromium-gost, stunnel-msspi и qtbase-msspi. Я так понимаю, что это C. Можно из bash как-либо проверить? Как собрать вместе сертификат, цепочку и CRL и проверить всё это через openssl, разобрался. Но не хотелось бы вручную ходить на сайт УЦ и периодически выкачивать CRL.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.09.2018(UTC)
Сообщений: 16
Сказал(а) «Спасибо»: 6 раз
|
Автор: Дмитрий Пичулин Автор: colotiline Я так понимаю, что это C. Можно из bash как-либо проверить? Напишите тривиальную утилиту — дёргайте из bash. Ну это, если мне ехать только надо, а мне ещё и шашечки нужны. Тогда тривиальная утилита превратится в дополнительный язык в проекте, дополнительный CI\CD, дополнительные тесты и дополнительное звено, которое может сломаться и которое нужно поддерживать. Но в целом направлении мысли понял, спасибо.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
