Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
PrivateKey Link : Certificate from container. No link to key, как сделать Yes? - Не получается привязать сертификат к контейнеру, Linux CentOS
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Alexander.7777777  
#1 Оставлено : 28 января 2019 г. 13:19:50(UTC)
Alexander.7777777

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.01.2019(UTC)
Сообщений: 3

Почему PrivateKey Link:Certificate from container. No link to key?
Как сделать: Yes?

Порядок моих действий....


Переписал закрытые ключи в папку
/var/opt/cprocsp/keys/root

Смотрю список:
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq

>>
CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 12540547
\\.\HDIMAGE\c03fccea-0dd8-4406-bb4c-4ffdea9f4ecd


Привязываю сертификат:

/opt/cprocsp/bin/amd64/certmgr -inst -file /var/opt/cprocsp/keys/testuser2019_GOST2012.cer -cont '\\.\HDIMAGE\c03fccea-0dd8-4406-bb4c-4ffdea9f4ecd'

Смотрю список сертификатов в контейнере:
/opt/cprocsp/bin/amd64/certmgr -list -cont '\\.\HDIMAGE\c03fccea-0dd8-4406-bb4c-4ffdea9f4ecd'


1-------
Issuer : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
Subject : E=admins@bki-okb.ru, T=Тестовый пользователь, O="ЗАО ""ОКБ""", L=Москва, C=RU, CN=Тестовый пользователь 2019
Serial : 0x010C06B500D5A9CBB6430450318E87DE1F
SHA1 Hash : 533ac353b8401e309b5f83c058bd929f18765e35
SubjKeyID : 166f8253a75971eae4727ff8dc4da2e5ac921903
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 512 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 14/01/2019 10:49:05 UTC
Not valid after : 14/01/2024 10:59:05 UTC
PrivateKey Link : Certificate from container. No link to key
OCSP URL : http://ocsp.cryptopro.ru/ocsp2012/ocsp.srf
CA cert URL : http://cpca20.cryptopro....695f722a7a1709b09a37.crt
CDP : http://cdp.cryptopro.ru/...695f722a7a1709b09a37.crl
CDP : http://cpca20.cryptopro....695f722a7a1709b09a37.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.4
1.2.643.2.2.34.6


Почему PrivateKey Link : Certificate from container. No link to key?
Как сделать Yes?
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Александр Лавник  
#2 Оставлено : 28 января 2019 г. 13:31:06(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,404
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 779 раз в 721 постах
Автор: Alexander.7777777 Перейти к цитате

Почему PrivateKey Link:Certificate from container. No link to key?
Как сделать: Yes?

Порядок моих действий....


Переписал закрытые ключи в папку
/var/opt/cprocsp/keys/root

Смотрю список:
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq

>>
CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 12540547
\\.\HDIMAGE\c03fccea-0dd8-4406-bb4c-4ffdea9f4ecd


Привязываю сертификат:

/opt/cprocsp/bin/amd64/certmgr -inst -file /var/opt/cprocsp/keys/testuser2019_GOST2012.cer -cont '\\.\HDIMAGE\c03fccea-0dd8-4406-bb4c-4ffdea9f4ecd'

Смотрю список сертификатов в контейнере:
/opt/cprocsp/bin/amd64/certmgr -list -cont '\\.\HDIMAGE\c03fccea-0dd8-4406-bb4c-4ffdea9f4ecd'


1-------
Issuer : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
Subject : E=admins@bki-okb.ru, T=Тестовый пользователь, O="ЗАО ""ОКБ""", L=Москва, C=RU, CN=Тестовый пользователь 2019
Serial : 0x010C06B500D5A9CBB6430450318E87DE1F
SHA1 Hash : 533ac353b8401e309b5f83c058bd929f18765e35
SubjKeyID : 166f8253a75971eae4727ff8dc4da2e5ac921903
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 512 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 14/01/2019 10:49:05 UTC
Not valid after : 14/01/2024 10:59:05 UTC
PrivateKey Link : Certificate from container. No link to key
OCSP URL : http://ocsp.cryptopro.ru/ocsp2012/ocsp.srf
CA cert URL : http://cpca20.cryptopro....695f722a7a1709b09a37.crt
CDP : http://cdp.cryptopro.ru/...695f722a7a1709b09a37.crl
CDP : http://cpca20.cryptopro....695f722a7a1709b09a37.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.4
1.2.643.2.2.34.6


Почему PrivateKey Link : Certificate from container. No link to key?
Как сделать Yes?

Добрый день.

Private Link будет иметь значение Yes только при просмотре сертификата в хранилище my (Личное), после установки сертификата с привязкой к закрытому ключу:
Код:
/opt/cprocsp/bin/amd64/certmgr -list
Техническую поддержку оказываем тут
Наша база знаний
Вверх
Offline Alexander.7777777  
#3 Оставлено : 28 января 2019 г. 13:48:53(UTC)
Alexander.7777777

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.01.2019(UTC)
Сообщений: 3
Да, при команде
/opt/cprocsp/bin/amd64/certmgr -list
в сертификате из My
PrivateKey Link : Yes
Container : HDIMAGE\\c03fccea.000\B5F2

далее я создал хранилище:

trust.store
куда положил корневой сертификат cacer.p7b
и скопировал туда сертификат из ключа
Делал в ControlPanel

После выполнения скрипта на отправку
идут ошибки:

Jan 28, 2019 5:45:27 PM ru.CryptoPro.ssl.SSLContextImpl$DefaultSSLContext <init>
INFO: DefaultSSLContext initialized.
Jan 28, 2019 5:45:33 PM ru.CryptoPro.ssl.cl_38 a
WARNING: %% No alias is match
Jan 28, 2019 5:45:33 PM ru.CryptoPro.ssl.cl_38 a
WARNING: %% No alias is match
Jan 28, 2019 5:45:33 PM ru.CryptoPro.ssl.cl_38 a
WARNING: %% No alias is match

и в итоге
ERROR:java.io.IOException: Server returned HTTP response code: 403 for URL:

Под Windows с этим сертификатом все нормально.

Куда примерно смотреть?
Вверх
Offline Евгений Афанасьев  
#4 Оставлено : 28 января 2019 г. 14:51:37(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,927
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 691 раз в 652 постах
Здравствуйте.
Связь между ключом и сертификатом в CSP не требуется при работе cpSSL из состава JCP. В последнем случае требуется, чтобы у пользователя, запускающего код подключения по TLS, был доступ к требуемому контейнеру с сертификатом/цепочкой сертификатов внутри (если на сервере включена клиентская аутентификация и нужен контейнер, или если запускается сервер, использующий серверный контейнер), с соответствующими требованиями к сертификату (об этом можно почитать в руководстве разработчика JTLS в папке Doc дистрибутива JCP).
Предупреждение "%% No alias is match" означает, что либо нет ни одного контейнера в папке с ключами (/var/opr/cprocsp/keys/<user>) с данным паролем, либо они есть, но ни один из сертификатов в контейнере не подходит. Для более полной картины можно приложить лог SSLLogger с уровнем ALL, собранный с помощью настроек https://support.cryptopr...lirovnija-kriptopro-jtls (для сервера может быть другой logging.properties). По этой причине (не передается сертификат) получена ошибка 403.

Отредактировано пользователем 28 января 2019 г. 15:07:32(UTC)  | Причина: Не указана

Тех. поддержка
База знаний
Логирование JCP
Логирование JTLS
Тест JCP и сбор диаг. информации
Скачать JCP, JCSP и JTLS
Скачать Android CSP + SDK
Вверх
Offline Alexander.7777777  
#5 Оставлено : 28 января 2019 г. 18:11:45(UTC)
Alexander.7777777

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.01.2019(UTC)
Сообщений: 3
Да, все получилось, не указал пароль к контейнеру.
После ввода пароля, все заработало.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET