Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Взаимодействие с УЦ с другого сервера.
Статус: Участник
Группы: Участники
Зарегистрирован: 14.09.2017(UTC) Сообщений: 12 Откуда: Барнаул Поблагодарили: 2 раз в 1 постах
|
Здравствуйте. Интересует такой вопрос, могу ли я извне, получить доступ к апи УЦ. Допустим есть УЦ у которого доступ к api смотрит наружу, есть сервер на ос linux, в котором создаются запросы на создание сертификата, мне нужно реализовать автоматический выпуск сертификатов. Из руководства программиста я понял следующее: Мне нужно отправить запрос на сертификат по адресу https://{веб сервер УЦ}/ui/api/certreques POST запрос к ресурсу certrequest предназначен для подачи запроса на сертификат пользователя. POST запрос должен быть аутентифицирован. POST запрос может быть аутентифицирован сертификатом выданным УЦ пользователю или временным токеном и паролем пользователя. POST запрос должен содержать запрос PKCS#10, PKCS#10 вложенный в PKCS#7 или CMC. Ответ сервера на POST запрос содержит статус запроса и идентификатор запроса на сертификат То есть я извлекаю сертификат из ключа пользователю у которого есть доступ к методам апи, подписываю им запрос и всё по идее должно работать? Отредактировано пользователем 15 сентября 2017 г. 9:06:06(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Здравствуйте Цитата:То есть я извлекаю сертификат из ключа пользователю у которого есть доступ к методам апи, подписываю им запрос и всё по идее должно работать? Да. С единственным ограничением - отправлять запросы Вы сможете только для того пользователя, на чьем сертификате аутентифицировались. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 14.09.2017(UTC) Сообщений: 12 Откуда: Барнаул Поблагодарили: 2 раз в 1 постах
|
Отлично, но у меня ничего не выходит. Есть криптопро на виртуальной машине с осью: Код:
$ cat /etc/lsb-release
DISTRIB_ID=LinuxMint
DISTRIB_RELEASE=17.3
DISTRIB_CODENAME=rosa
DISTRIB_DESCRIPTION="Linux Mint 17.3 Rosa"
Крипто про: Код:
$ ./csptestf -keyset -verifycontext
CSP (Type:80) v4.0.9016 KC1 Release Ver:4.0.9914 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 32201363
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,010 sec
[ErrorCode: 0x00000000]
Сертификат: Код:
$ ./certmgr -list
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
=============================================================================
1-------
Issuer : E=email@gmail.com, OGRN=1234567890123, INN=001234567890, C=RU, S=22 Алтайский край, L=Барнаул, STREET="ул. Чеглецова, д. 25", OU=Модное подразделение, O="ООО ""Test""", CN=GENOZ_UC
Subject : CN=Test User
Serial : 0x00B21320270008B880E6110BE3BF60973C
SHA1 Hash : 4a74b0de09f92f1c9ea478b830dcf1512f156b8b
SubjKeyID : 62cbb2eb94784a6384e21e6a2610a7df7f6dd40e
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 25/01/2017 14:23:31 UTC
Not valid after : 25/01/2018 14:23:31 UTC
PrivateKey Link : No
CA cert URL : http://testuc/aia/93244961164c37bd9acbf2d38281cc2a286b7cd8.crt
CDP : http://testuc/cdp/93244961164c37bd9acbf2d38281cc2a286b7cd8.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.4
=============================================================================
[ErrorCode: 0x00000000]
Есть УЦ развернутая на другой виртуальной машине в этой же сети, обращаюсь к ней курлом Код:
$ /opt/cprocsp/bin/amd64/curl https://testuc/RA --cert-type CERT_SHA1_HASH_PROP_ID:CERT_SYSTEM_STORE_LOCAL_MACHINE --cert "4a74b0de09f92f1c9ea478b830dcf1512f156b8b" --verbose
* About to connect() to testuc port 443 (#0)
* Trying 192.168.60.150... connected
* Connected to testuc(192.168.60.150) port 443 (#0)
* Closing connection #0
* Problem with the local SSL certificate
curl: (58) Problem with the local SSL certificate
Можно ли как то с этим бороться? Отредактировано пользователем 15 сентября 2017 г. 13:21:46(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Здравствуйте.
Возможно не строится цепочка сертификатов или не проверяется цепочка сертификатов на отзыв. |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Цитата:PrivateKey Link : No У клиентского сертификата должна быть ссылка на закрытый ключ. |
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Взаимодействие с УЦ с другого сервера.
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close