logo Обзор КриптоПро NGate для защищённого доступа к корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

9 Страницы«<789
Опции
К последнему сообщению К первому непрочитанному
Offline Андрей Солдатов  
#161 Оставлено : 20 марта 2019 г. 9:53:31(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 56
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 11 раз в 10 постах
Автор: sasha_86 Перейти к цитате
Помогите с этим плагином,что только не делал пишет "нет действующих сертификатов".Я в ifc.cfg менял конфигурацию,то плагин вылетает,то сертификата нет.Кто разобрался с этим подскажите как сделать.


Ознакомьтесь с инструкцией по настройке рабочего места для использования ЭП на портале Госуслуг.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Extremal1981  
#162 Оставлено : 13 апреля 2019 г. 21:23:45(UTC)
Extremal1981

Статус: Участник

Группы: Участники
Зарегистрирован: 02.12.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Омск

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 5 раз в 4 постах
У кого нибудь получилось войти через ЕСИА с ключами ГОСТ2012 ???
C ГОСТ2001 всё работало, но срок закончился, новый естессно выпустили по ГОСТ2012. Никак пока не получается войти. Сертификаты видит, портал запрашивает пин, но запрос пин через gui CryptoPro не появляется, и вываливается обратно на страницу авторизации.
Offline Lirein  
#163 Оставлено : 13 апреля 2019 г. 22:02:20(UTC)
Lirein

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.09.2015(UTC)
Сообщений: 77
Мужчина
Российская Федерация
Откуда: На работе

Сказал «Спасибо»: 17 раз
Поблагодарили: 48 раз в 37 постах
Автор: Extremal1981 Перейти к цитате
У кого нибудь получилось войти через ЕСИА с ключами ГОСТ2012 ???
C ГОСТ2001 всё работало, но срок закончился, новый естессно выпустили по ГОСТ2012. Никак пока не получается войти. Сертификаты видит, портал запрашивает пин, но запрос пин через gui CryptoPro не появляется, и вываливается обратно на страницу авторизации.


С новым плагином все работает. Проверено неоднократно.
--- Эльфиек на всех не хватает...
*** А всё таки, она вертится!
Offline Extremal1981  
#164 Оставлено : 16 апреля 2019 г. 16:50:48(UTC)
Extremal1981

Статус: Участник

Группы: Участники
Зарегистрирован: 02.12.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Омск

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 5 раз в 4 постах
Цитата:
С новым плагином все работает. Проверено неоднократно.

Второй день бьюсь, не выходит ничего.

Вот что имею на текущий момент

Версия CryptoPro:


Версия CadesPlugin 3.0.6.0

Сертификат:


На тестовой страницеCryptoPro с помощью CadesPlugin проверил. Всё подписывается на ура!

ifc.conf


IFC выхлоп вот такой в конце выдаёт



Тоесть ни в какую не хочет видеть закрытый ключ в контейнере. В чём подвох непойму, второй день уже бьюсь с этим.
Под виндой проверил уже сертификат с ключём, всё работает, думал уже может с ключем что не так

Отредактировано пользователем 16 апреля 2019 г. 17:13:00(UTC)  | Причина: Не указана

Offline Александр Лавник  
#165 Оставлено : 16 апреля 2019 г. 17:27:34(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 1,370
Мужчина
Российская Федерация

Сказал «Спасибо»: 17 раз
Поблагодарили: 297 раз в 288 постах
Автор: Extremal1981 Перейти к цитате
Цитата:
С новым плагином все работает. Проверено неоднократно.

Второй день бьюсь, не выходит ничего.

Вот что имею на текущий момент

Версия CryptoPro:


Версия CadesPlugin 3.0.6.0

Сертификат:


На тестовой страницеCryptoPro с помощью CadesPlugin проверил. Всё подписывается на ура!

ifc.conf


IFC выхлоп вот такой в конце выдаёт



Тоесть ни в какую не хочет видеть закрытый ключ в контейнере. В чём подвох непойму, второй день уже бьюсь с этим.
Под виндой проверил уже сертификат с ключём, всё работает, думал уже может с ключем что не так

Здравствуйте.

Попробуйте воспользоваться статьей в нашей базе знаний.
Техническую поддержку оказываем тут
Наша база знаний
Offline Lirein  
#166 Оставлено : 16 апреля 2019 г. 17:41:23(UTC)
Lirein

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.09.2015(UTC)
Сообщений: 77
Мужчина
Российская Федерация
Откуда: На работе

Сказал «Спасибо»: 17 раз
Поблагодарили: 48 раз в 37 постах
Очень похоже что у вас или не установлен пинкод, или библиотека cppkcs11 от версии R3 стоит.

Попробуйте поменять порядок загрузки модулей на такой:

{
name = "CPPKCS11_2012_512";
alias = "CPPKCS11_2012_512";
type = "pkcs11";
alg = "gost2012_512";
model = "CPPKCS 3";
lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
lib_mac = "/opt/cprocsp/lib/libcppkcs11.dylib";
},

{
name = "CPPKCS11_2012_256";
alias = "CPPKCS11_2012_256";
type = "pkcs11";
alg = "gost2012_256";
model = "CPPKCS 3";
lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
lib_mac = "/opt/cprocsp/lib/libcppkcs11.dylib";
},

{
name = "CPPKCS11_2001";
alias = "CPPKCS11_2001";
type = "pkcs11";
alg = "gost2001";
model = "CPPKCS 3";
lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
lib_mac = "/opt/cprocsp/lib/libcppkcs11.dylib";
}
--- Эльфиек на всех не хватает...
*** А всё таки, она вертится!
Offline Extremal1981  
#167 Оставлено : 16 апреля 2019 г. 17:41:34(UTC)
Extremal1981

Статус: Участник

Группы: Участники
Зарегистрирован: 02.12.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Омск

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 5 раз в 4 постах
Так по вашей статье всё и устанавливал. Не работает именно с IFCPlugin. Через CadesPlugin всё подписывает и работает. По какой-то причине он не может получить закрытый ключ из контейнера суда по выхлопу. Контейнер на локальном диске. Сертификат с ним связан. Это подтверждено корректной работой с CadesPlugin.
Offline Lirein  
#168 Оставлено : 16 апреля 2019 г. 17:45:46(UTC)
Lirein

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.09.2015(UTC)
Сообщений: 77
Мужчина
Российская Федерация
Откуда: На работе

Сказал «Спасибо»: 17 раз
Поблагодарили: 48 раз в 37 постах
Автор: Extremal1981 Перейти к цитате
Так по вашей статье всё и устанавливал. Не работает именно с IFCPlugin. Через CadesPlugin всё подписывает и работает. По какой-то причине он не может получить закрытый ключ из контейнера суда по выхлопу. Контейнер на локальном диске. Сертификат с ним связан. Это подтверждено корректной работой с CadesPlugin.


Ключ он получает, но подпись ставит формата ГОСТ 2001. Сталкивались с таким, лечится полной переустановкой криптопро R4, и проверьте что лицензия бьётся через /opt/cprocsp/sbin/amd64/cpconfig -license -view
--- Эльфиек на всех не хватает...
*** А всё таки, она вертится!
Offline Extremal1981  
#169 Оставлено : 16 апреля 2019 г. 17:52:46(UTC)
Extremal1981

Статус: Участник

Группы: Участники
Зарегистрирован: 02.12.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Омск

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 5 раз в 4 постах
Поменял местами как предложили выхлоп изменился но ошибка та же. Пробовал и местами менять, и оставлять только 2012_512 и 2012_256


Полностью переустанавливал вроде. Через ./uninstall.sh версия 9944. Потом руками добил всё что осталось в /etc/opt/cprocsp и /var/opt/cprocsp/ и /opt/cprocsp
Поставил CryptoPro CSP ver. 4.0.0.0.9963 которая тут по ссылке в статье фигурировала.
И да
License validity:

Expires: 3 month(s) 3 day(s)
License type: Server.

Итог пока такой что что-то ещё не хватает!

Отредактировано пользователем 16 апреля 2019 г. 17:57:10(UTC)  | Причина: Не указана

Offline Lirein  
#170 Оставлено : 16 апреля 2019 г. 18:01:53(UTC)
Lirein

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.09.2015(UTC)
Сообщений: 77
Мужчина
Российская Федерация
Откуда: На работе

Сказал «Спасибо»: 17 раз
Поблагодарили: 48 раз в 37 постах
Ещё, покажите что установлено в системе.
Код:
sudo dpkg -l | grep cpro


--- Эльфиек на всех не хватает...
*** А всё таки, она вертится!
thanks 1 пользователь поблагодарил Lirein за этот пост.
Extremal1981 оставлено 20.04.2019(UTC)
Offline Extremal1981  
#171 Оставлено : 19 апреля 2019 г. 15:16:43(UTC)
Extremal1981

Статус: Участник

Группы: Участники
Зарегистрирован: 02.12.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Омск

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 5 раз в 4 постах
Поставил уже и пятую версию, ничего не изменилось. Так же запрос пин и возврат на страницу аутентификации.

sudo dpkg -l | grep cpro


Пока в ступоре..
Offline Extremal1981  
#172 Оставлено : 20 апреля 2019 г. 7:38:21(UTC)
Extremal1981

Статус: Участник

Группы: Участники
Зарегистрирован: 02.12.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Омск

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 5 раз в 4 постах
Ура! Заработало.
Вобщем у меня всё было установлено и настроено, но вот один нюанс выяснился.
Проблема в том, что библиотека /opt/cprocsp/lib/amd64/libcppkcs11.so , которую использует ifcplugin не отдаёт label закрытого ключа
если сертификат не находится внутри контейнера с этим ключём.
Причём, как выяснилось, это характерно только для ГОСТ2012.
Увидеть это можно выполнив:


Вобщем проблема решаема, но она есть! Так как многие УЦ, в том числе и тот, что выдал мне ЭЦП, сертификат генерит отдельным файлом вне контейнера. И установить его в контейнер можно самостоятельно, но как я понимаю только с той машины где генерировался запрос на выдачу.
Если хотите чтобы работала связка Linux + CryptoPRO (ГОСТ2012) + ЕСИА обязательным условием является хранение сертификата в контейнере с ключём.
Думаю в мануале по настройке стоит указать этот факт, пока его не пофиксили.


PS. Выражаю огромный респект и благодарность Lirein! Который самым непосредственным образом помог разобраться!!!
Благодаря таким людям мир становится лучше Applause Applause Applause

Отредактировано пользователем 20 апреля 2019 г. 7:52:13(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил Extremal1981 за этот пост.
Александр Лавник оставлено 20.04.2019(UTC)
Offline dvfin  
#173 Оставлено : 22 мая 2019 г. 21:56:50(UTC)
dvfin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.08.2017(UTC)
Сообщений: 48
Российская Федерация

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 2 раз в 2 постах
Автор: Extremal1981 Перейти к цитате
сертификат генерит отдельным файлом вне контейнера.
Если хотите чтобы работала связка Linux + CryptoPRO (ГОСТ2012) + ЕСИА обязательным условием является хранение сертификата в контейнере с ключём.

Есть контейнер и отдельно сертификат по ГОСТ Р 34.11-2012 с корректной привязкой
Код:
PrivateKey Link     : Yes

А как в Linux-e сделать так, чтобы хранение сертификата было в контейнере с ключём?

Что происходит у меня - сертификат видится и выбирается в госуслугах, но после ввода пин кода данное окно закрывается и остается страница авторизации. И так по кругу.
Конфиг как в сообщении https://www.cryptopro.ru...&m=100645#post100645

/var/log/ifc/engine_logs/engine.log - почему-то везде всплывает pkcs11_engine-CPPKCS11_2001

Есть какие-либо соображения?

И еще, стоит-ли выполнять команды?
Код:
# Для корректной работы pkcs11, настройку слотов следует сделать явной:
cpconfig -ini '\config\PKCS11\slot17' -add string "ProvGOST" "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"
cpconfig -ini '\config\PKCS11\slot17' -add string "Firefox" "1"
cpconfig -ini '\config\PKCS11\slot17' -add string "reader" ""

Спасибо.

Отредактировано пользователем 22 мая 2019 г. 22:02:05(UTC)  | Причина: Не указана

Offline Александр Лавник  
#174 Оставлено : 23 мая 2019 г. 10:58:02(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 1,370
Мужчина
Российская Федерация

Сказал «Спасибо»: 17 раз
Поблагодарили: 297 раз в 288 постах
Автор: dvfin Перейти к цитате
Автор: Extremal1981 Перейти к цитате
сертификат генерит отдельным файлом вне контейнера.
Если хотите чтобы работала связка Linux + CryptoPRO (ГОСТ2012) + ЕСИА обязательным условием является хранение сертификата в контейнере с ключём.

Есть контейнер и отдельно сертификат по ГОСТ Р 34.11-2012 с корректной привязкой
Код:
PrivateKey Link     : Yes

А как в Linux-e сделать так, чтобы хранение сертификата было в контейнере с ключём?

Что происходит у меня - сертификат видится и выбирается в госуслугах, но после ввода пин кода данное окно закрывается и остается страница авторизации. И так по кругу.
Конфиг как в сообщении https://www.cryptopro.ru...&m=100645#post100645

/var/log/ifc/engine_logs/engine.log - почему-то везде всплывает pkcs11_engine-CPPKCS11_2001

Есть какие-либо соображения?

И еще, стоит-ли выполнять команды?
Код:
# Для корректной работы pkcs11, настройку слотов следует сделать явной:
cpconfig -ini '\config\PKCS11\slot17' -add string "ProvGOST" "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"
cpconfig -ini '\config\PKCS11\slot17' -add string "Firefox" "1"
cpconfig -ini '\config\PKCS11\slot17' -add string "reader" ""

Спасибо.

Здравствуйте.

1) Установить сертификат по ГОСТ Р 34.10-2012 в ключевой контейнер можно командой вида:

Код:
/opt/cprocsp/bin/amd64/certmgr -inst -inst_to_cont -provtype 80 -provname "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -cont '\\.\HDIMAGE\contname2012' -pin 11111111 -file ~/2012.cer

В данном примере сертификат находится по пути ~/2012.cer, ключевой контейнер с именем contname2012 хранится на жестком диске (\\.\HDIMAGE\contname2012), пин-код ключевого контейнера 11111111.

2) Для настройки входа на портал Госуслуг попробуйте воспользоваться инструкцией (написана по информации, собранной в данной теме форума).
Техническую поддержку оказываем тут
Наша база знаний
Offline dvfin  
#175 Оставлено : 23 мая 2019 г. 20:22:11(UTC)
dvfin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.08.2017(UTC)
Сообщений: 48
Российская Федерация

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 2 раз в 2 постах
Александр Лавник, спасибо за помощь! Зашел по 2012 ГОСТу.
Единственное при установке личного сертификата КриптоПро CSP "ругнулся" на параметр -inst_to_cont
Код:
WARNING: Legacy parameter: "-inst_to_cont"

Код:
ВНИМАНИЕ: Устаревший параметр: "-inst_to_cont"

поэтому я этот параметр "опустил" (исключил).
Offline Александр Лавник  
#176 Оставлено : 23 мая 2019 г. 22:48:54(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 1,370
Мужчина
Российская Федерация

Сказал «Спасибо»: 17 раз
Поблагодарили: 297 раз в 288 постах
Автор: dvfin Перейти к цитате
Александр Лавник, спасибо за помощь! Зашел по 2012 ГОСТу.
Единственное при установке личного сертификата КриптоПро CSP "ругнулся" на параметр -inst_to_cont
Код:
WARNING: Legacy parameter: "-inst_to_cont"

Код:
ВНИМАНИЕ: Устаревший параметр: "-inst_to_cont"

поэтому я этот параметр "опустил" (исключил).

Как раз использование этого параметра обеспечивает запись сертификата в ключевой контейнер.
Техническую поддержку оказываем тут
Наша база знаний
Offline finnugor83  
#177 Оставлено : 7 августа 2019 г. 17:54:57(UTC)
finnugor83

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.10.2017(UTC)
Сообщений: 2
Сао Томе и Принсипи
Откуда: L

На самих ГОСУСЛУГАХ в FAQ написано, что только аппаратные СКЗИ работают: "Только токены: Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta ГОСТ, JaCarta-2 ГОСТ, eToken ГОСТ" (С)
То есть без доп конфигурирования вроде как и не должно работать(( Непонятно, будут ли они в будущем поддерживать работу с КриптоПРО CSP без костылей на macOS/Linux...

Отредактировано пользователем 7 августа 2019 г. 17:55:39(UTC)  | Причина: Не указана

Offline Александр Лавник  
#178 Оставлено : 7 августа 2019 г. 18:06:21(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 1,370
Мужчина
Российская Федерация

Сказал «Спасибо»: 17 раз
Поблагодарили: 297 раз в 288 постах
Автор: finnugor83 Перейти к цитате
На самих ГОСУСЛУГАХ в FAQ написано, что только аппаратные СКЗИ работают: "Только токены: Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta ГОСТ, JaCarta-2 ГОСТ, eToken ГОСТ" (С)
То есть без доп конфигурирования вроде как и не должно работать(( Непонятно, будут ли они в будущем поддерживать работу с КриптоПРО CSP без костылей на macOS/Linux...

Здравствуйте.

Вот именно, что без дополнительных телодвижений на Linux/macOS работать не будет.

По сути проблема в том, что в конфигурационном файле плагина по умолчанию нет секции для КриптоПро CSP для Linux/macOS.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
Lirein оставлено 08.08.2019(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
9 Страницы«<789
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.