Статус: Новичок
Группы: Участники
Зарегистрирован: 11.07.2016(UTC) Сообщений: 5  Поблагодарили: 1 раз в 1 постах
|
Сделал тестовый сертификат с контейнере test. [Tue Jul 12 19:16:32.252176 2016] [ssl:emerg] [pid 1828:tid 500] AH02827: Failed to configure engine private key (engine:gost_capi:test) [Tue Jul 12 19:16:32.252176 2016] [ssl:emerg] [pid 1828:tid 500] SSL Library Error: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key AH00016: Configuration Failed Никак не могу понять как он ищет ключ по сертификату openssl -inkey <name> Тестирую под Windows и ключи лежат в реестре. Скопировал их пользователю под которым запускаю. Пробовали и имя контейнера и CN сертификата. Что я упустил? Может ключи нужно в другой контейнер переносить? Автор: pd  Автор: kropotin Что обозначает -inkey параметр? пароль на ключевой носитель? Первый раз я указывал в этом параметре пароль к ключевому контейнеру. В текущей реализации, у нас используется довольно скверный механизм поиска закрытого ключа, а именно поиск закрытого ключа по сертификату, а поиск сертификата по подстроке. В данном случае inkey подстрока имени сертификата. Например для сертификата с именем "some.test.local", правильными строками будет и полная строка "some.test.local" так и ее часть, например "some.test". В моем случае пустая строка не помогла. gost_capi file version: 4.0.10152.3509 crypto pro csp product version: 4.0.9708 Отредактировано пользователем 13 июля 2016 г. 11:02:13(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,537
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 501 раз в 355 постах
|
Автор: lunicon Что я упустил? Может ключи нужно в другой контейнер переносить? 1) Опишите задачу, которую вы хотите решить 2) Опишите последовательность действий, которая приводит к ошибке при решении вашей задачи |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.07.2016(UTC) Сообщений: 5 Поблагодарили: 1 раз в 1 постах
|
Автор: pd
1) Опишите задачу, которую вы хотите решить
2) Опишите последовательность действий, которая приводит к ошибке при решении вашей задачи
A пытался запустить Apache на тестовом сертификате. Проблема, видимо в том что, ключ ищется только в контейнерах текущего пользователя. И никак не видит ключи сохраненные для машины. Пришлось запускать сервис Apache от определенного пользователя и ему переносить/перевыпускать ключ. Последовательность такая: делаем сертификат https://www.cryptopro.ru/certsrv/certrqma.aspи ставим галочку "Использовать локальное хранилище компьютера для сертификата..."
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,537
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 501 раз в 355 постах
|
Автор: lunicon A пытался запустить Apache на тестовом сертификате.
...
Пришлось запускать сервис Apache от определенного пользователя и ему переносить/перевыпускать ключ. 1) Речь идёт про работу Apache на сертификатах ГОСТ в Windows? 2) Вы успешно пропатчили и собрали mod_ssl согласно инструкции в FAQ? 3) Из последнего сообщения мы делаем вывод, что более ошибок нет |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.07.2016(UTC) Сообщений: 5 Поблагодарили: 1 раз в 1 постах
|
Автор: pd 1) Речь идёт про работу Apache на сертификатах ГОСТ в Windows?
2) Вы успешно пропатчили и собрали mod_ssl согласно инструкции в FAQ?
3) Из последнего сообщения мы делаем вывод, что более ошибок нет
Было бы странно на форуме КриптоПро обсуждать не гост сертификаты :) Да, я собрал httpd с вашим патчем, но ошибка никуда не пропала и описана выше. Мне ее удалось обойти, но надеюсь будет исправлена в будущем...
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,537
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 501 раз в 355 постах
|
Автор: lunicon Мне ее удалось обойти, но надеюсь будет исправлена в будущем... К сожалению, ваш случай остался загадкой, но мы рады, что у вас всё получилось. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.07.2016(UTC) Сообщений: 5 Поблагодарили: 1 раз в 1 постах
|
Автор: pd Автор: lunicon Мне ее удалось обойти, но надеюсь будет исправлена в будущем... К сожалению, ваш случай остался загадкой, но мы рады, что у вас всё получилось. Я готов ответить на любые вопросы. В чем загадка? Делаем запрос сертификата устанавливаем ключ в локальное хранилище машины. И чтобы вы не делали gost_capi не видит этот ключ (ENGINE_load_private_key fail). Даже без apache можно же проверить командой подписания (openssl -inkey <name>)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,537
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 501 раз в 355 постах
|
Автор: lunicon Делаем запрос сертификата устанавливаем ключ в локальное хранилище машины.
И чтобы вы не делали gost_capi не видит этот ключ (ENGINE_load_private_key fail).
Даже без apache можно же проверить командой подписания (openssl -inkey <name>) Вы говорите о базовых принципах работы КриптоПро CSP: любой пользователь имеет доступ только к своим ключам. Если хотите получить доступ к ключам системы ("локальное хранилище машины"), запускайте соответствующее приложение от имени системы. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.07.2016(UTC) Сообщений: 5 Поблагодарили: 1 раз в 1 постах
|
Автор: pd Вы говорите о базовых принципах работы КриптоПро CSP: любой пользователь имеет доступ только к своим ключам.
Если хотите получить доступ к ключам системы ("локальное хранилище машины"), запускайте соответствующее приложение от имени системы.
Apache запущенный как сервис системы не видит ключи. Под какой учеткой вы советуете запускать "NT AUTHORITY\LOCAL SERVICE" или "NT AUTHORITY\SYSTEM" ?
|
 1 пользователь поблагодарил lunicon за этот пост.
|
pd оставлено 15.07.2016(UTC)
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,537
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 501 раз в 355 постах
|
Автор: lunicon Apache запущенный как сервис системы не видит ключи. Спасибо, разобрались, при поиске сертификата использовалось только хранилище CERT_SYSTEM_STORE_CURRENT_USER. Поэтому вне зависимости от пользователя, поиск в LOCAL_MACHINE не осуществлялся в принципе. Добавили поиск в CERT_SYSTEM_STORE_LOCAL_MACHINE и соответствующую поддержку (CRYPT_MACHINE_KEYSET) при загрузке ключа, сейчас обновим версию в FAQ. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
