Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline SergeyAv  
#1 Оставлено : 21 июня 2017 г. 18:00:29(UTC)
SergeyAv

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.06.2017(UTC)
Сообщений: 1

Сказал(а) «Спасибо»: 1 раз
Привет! Есть ли какие-нибудь гайды как развернуть CryptoPro 4 в Docker на Linux, или примерный алгоритм чтобы понимать куда копать?
Навскидку вот вопросы которые на поверхности:
- Лицензия - можно ли не боятся о инвалидации ключа если его ставить при каждом старте контейнера?
- Контейнеры для сертификата - как генерить при билде образа docker'a. При создании в консоли контейнера сертификата просит жать кнопки
для signature key, ввсести пароль и тд, в общем как-то это обойти можно что не требовало участия пользователя?
- Класть ли сертификаты прямо в образ докера или как-то по сети отдельно подцеплять?

В идеале хочется чтобы был готовый образ который я бы пулял в облако или поднимал локально и все работало само.
Offline Русев Андрей  
#2 Оставлено : 22 июня 2017 г. 8:00:44(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,260

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 442 раз в 322 постах
  • Лицензия обычно предусматривает установку на одно рабочее место или один сервер. Поднятие двух виртуалок в докере с одной лицензией будет нарушением. Устанавливать одну лицензию в одну виртуалку можно неограниченно.
  • Контейнеры - это папки с файлами, их можно создать один раз и заливать в образ.
  • Хранилища сертификатов - это файлы - их можно создать один раз и заливать в образ.
  • Если нужно создавать ключи без интерактива, можно использовать ДСЧ "КриптоПро Исходный Материал" (КПИМ) -"CryptoPro Source Data" (CPSD): сперва накопить случайные числа в файлы, а потом тратить эти файлы. Подробнее в доке на "АРМ выработки внешней гаммы" (см. также genkpim)
  • Официальная техподдержка. Официальная база знаний.
    thanks 1 пользователь поблагодарил Русев Андрей за этот пост.
    SergeyAv оставлено 22.06.2017(UTC)
    Offline iErroRi  
    #3 Оставлено : 31 июля 2017 г. 13:11:51(UTC)
    iErroRi

    Статус: Участник

    Группы: Участники
    Зарегистрирован: 18.07.2017(UTC)
    Сообщений: 13
    Российская Федерация
    Откуда: Краснодар

    Сказал(а) «Спасибо»: 2 раз
    Поблагодарили: 2 раз в 2 постах
    А ктонибуть поднимал CryptoPro4 в докере?
    Так чтобы работал демон, какая у него точка входа?
    Offline iErroRi  
    #4 Оставлено : 7 августа 2017 г. 11:41:44(UTC)
    iErroRi

    Статус: Участник

    Группы: Участники
    Зарегистрирован: 18.07.2017(UTC)
    Сообщений: 13
    Российская Федерация
    Откуда: Краснодар

    Сказал(а) «Спасибо»: 2 раз
    Поблагодарили: 2 раз в 2 постах
    Докер образ с плагином для PHP

    https://github.com/taigasys/CryptoProCSP
    thanks 1 пользователь поблагодарил iErroRi за этот пост.
    FERMA666 оставлено 14.04.2019(UTC)
    Offline ShurikEv  
    #5 Оставлено : 21 сентября 2017 г. 12:30:14(UTC)
    ShurikEv

    Статус: Активный участник

    Группы: Участники
    Зарегистрирован: 05.08.2013(UTC)
    Сообщений: 67
    Российская Федерация
    Откуда: Новосибирск

    Сказал(а) «Спасибо»: 2 раз
    Поблагодарили: 2 раз в 2 постах
    Меня тоже волнует этот вопрос. Сейчас споткнулся на ровном месте. Ставлю на винду. Dockerfile до конца не выполняется, т.к. спотыкается на строчке

    RUN ["msiexec.exe", "/i", "csp-3_9R2-x64-kc2-eng.msi", "/qn", "/norestart", "/L*v", "install.log"]

    Без "/norestart" похожая проблема: returned a non-zero code: 3010/1641

    Что нужно еще дописать, чтобы этот шаг прошёл успешно?
    Offline basid  
    #6 Оставлено : 21 сентября 2017 г. 12:49:46(UTC)
    basid

    Статус: Активный участник

    Группы: Участники
    Зарегистрирован: 21.11.2010(UTC)
    Сообщений: 1,037

    Сказал(а) «Спасибо»: 7 раз
    Поблагодарили: 140 раз в 126 постах
    3010 - код, означающий необходимость перезагрузки.

    P.S. А что за мания упихивать невпихуемое?
    Offline ShurikEv  
    #7 Оставлено : 21 сентября 2017 г. 15:59:02(UTC)
    ShurikEv

    Статус: Активный участник

    Группы: Участники
    Зарегистрирован: 05.08.2013(UTC)
    Сообщений: 67
    Российская Федерация
    Откуда: Новосибирск

    Сказал(а) «Спасибо»: 2 раз
    Поблагодарили: 2 раз в 2 постах
    Автор: basid Перейти к цитате
    3010 - код, означающий необходимость перезагрузки.

    P.S. А что за мания упихивать невпихуемое?


    Почему мания? Нужен Docker-контейнер для разработки. Лицензия есть. Сейчас всё крутится на одном сервере. Бывает ситуация, что сервер надо переустановить/обновить. Делать по-старому - это долго и муторно, но делаем. А с Докером налицо экономия времени. Осталось только 1 раз Dockerfile правильно написать. Что сильно упростит тестирование ПО на нескольких платформах: протестировал на одной, удалил, создал новую. Вроде не нарушаем лицензионное соглашение.
    Offline basid  
    #8 Оставлено : 22 сентября 2017 г. 5:55:06(UTC)
    basid

    Статус: Активный участник

    Группы: Участники
    Зарегистрирован: 21.11.2010(UTC)
    Сообщений: 1,037

    Сказал(а) «Спасибо»: 7 раз
    Поблагодарили: 140 раз в 126 постах
    Как человек, приготовивший немало образов, могу обоснованно утверждать, что:
    1. Развёртывание системы из готового образа занимает не более четверти часа из которых минут десять-двенадцать тратится на развёртывание образа и три-пять - на мини-установку. Быстрые хранилище и целевой диск позволяют ускорить процедуру развёртывания образа ещё минуты на три-четыре;
    2. Закатать в образ все нужные приложения - гораздо проще, чем возиться с автоматической установкой этих приложений на развёрнутую, но "голую" систему;
    3. Конкретно КРИПТОПРО CSP закатывается в образ без каких-либо проблем. Ввод лицензий до развёртывания я не проверял, т.к. образы делались для конечных пользователей;
    Учитывая, что образ отдаётся, всё-таки, не конечному пользователю, а вполне квалифицированному специалисту - докер становится настолько избыточной сущностью, что это даже обсуждать не хочется.
    Offline ShurikEv  
    #9 Оставлено : 22 сентября 2017 г. 6:07:07(UTC)
    ShurikEv

    Статус: Активный участник

    Группы: Участники
    Зарегистрирован: 05.08.2013(UTC)
    Сообщений: 67
    Российская Федерация
    Откуда: Новосибирск

    Сказал(а) «Спасибо»: 2 раз
    Поблагодарили: 2 раз в 2 постах
    Автор: basid Перейти к цитате
    Как человек, приготовивший немало образов, могу обоснованно утверждать, что:
    1. Развёртывание системы из готового образа занимает не более четверти часа из которых минут десять-двенадцать тратится на развёртывание образа и три-пять - на мини-установку. Быстрые хранилище и целевой диск позволяют ускорить процедуру развёртывания образа ещё минуты на три-четыре;
    2. Закатать в образ все нужные приложения - гораздо проще, чем возиться с автоматической установкой этих приложений на развёрнутую, но "голую" систему;
    3. Конкретно КРИПТОПРО CSP закатывается в образ без каких-либо проблем. Ввод лицензий до развёртывания я не проверял, т.к. образы делались для конечных пользователей;
    Учитывая, что образ отдаётся, всё-таки, не конечному пользователю, а вполне квалифицированному специалисту - докер становится настолько избыточной сущностью, что это даже обсуждать не хочется.

    Давайте не будем разводить войны: докер-недокер. Именно сейчас у нас так (из образов) и происходит развертывание. Тема была поднята не из-за докера, а с целью иметь на руках один инструмент, а не зоопарк. Понятно что всё можно делать "руками" как в "до докеревой период" :) Но если есть возможность сделать проще, то почему бы и нет. Докер используется, в частности, для горизонтального масштабирования.
    Что касаемо КриптоПро, то установить его на винду без перезагрузки не получится. С "невиндой" проблем нет. Но наше ПО крутится на винде, поэтому придётся использовать существующий способ.
    Offline basid  
    #10 Оставлено : 25 сентября 2017 г. 7:29:30(UTC)
    basid

    Статус: Активный участник

    Группы: Участники
    Зарегистрирован: 21.11.2010(UTC)
    Сообщений: 1,037

    Сказал(а) «Спасибо»: 7 раз
    Поблагодарили: 140 раз в 126 постах
    Ну и в чём проблема - выкинуть из докеризации этап "установка КРИПТОПРО CSP", закатав требуемое в раскатываемый "оркестровкой" образ?
    RSS Лента  Atom Лента
    Пользователи, просматривающие эту тему
    Быстрый переход  
    Вы не можете создавать новые темы в этом форуме.
    Вы не можете отвечать в этом форуме.
    Вы не можете удалять Ваши сообщения в этом форуме.
    Вы не можете редактировать Ваши сообщения в этом форуме.
    Вы не можете создавать опросы в этом форуме.
    Вы не можете голосовать в этом форуме.