Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Ranzed  
#1 Оставлено : 22 июня 2020 г. 16:44:04(UTC)
Ranzed

Статус: Участник

Группы: Участники
Зарегистрирован: 29.09.2015(UTC)
Сообщений: 10
Российская Федерация
Откуда: Ижевск

Сказал(а) «Спасибо»: 2 раз
Добрый день!
В нашем iOS приложении мы используем КриптоПро CSP 4.0 R4 (сборка 4.0.9963 Abel) https://www.cryptopro.ru...ts&m=97735#post97735 последнюю сертифицированную версию на момент выпуска версии нашего приложения.
Один из клиентов столкнулся с проблемой установки контейнера с закрытым ключом на мобильное устройство. При попытке импортировать контейнер по кнопке "Установить сертификаты из контейнеров" появляется алерт "Установка сертификатов - Ошибка при установке сертификатов". Контейнер перед этим копируется на устройство внутрь папки приложения по пути cprocsp\keys\mobile\10742050.0000
Контейнер корректный, не защищен пин-кодом. При тестировании этого контейнера при помощи КриптоПро CSP на десктопном компьютере с Windows ошибок не обнаружено. Версия ОС на планшете: iOS 13.5.1
test_kontejjnera.png (143kb) загружен 11 раз(а).
Ранее клиент (в начале года) выписывал нескольким своим пользователям сертификаты, но лишь один из них удалось установить на планшет пользователя (с остальными были такие же ошибки).
Недавно сертификаты были выписаны новые, и из них уже ни один не устанавливается. При этом старый ("удачный") устанавливаетcя корректно. По составу полей в сертификате они ничем не отличаются (кроме срока действия и того, что некоторые сертификаты выписаны на физ.лицо, а другие на юр.лицо). Цепочка сертификации вместе с корневым УЦ установлена на планшеты.
Мы в приложении используем для готовый PaneViewController, соответственно никаких сообщений в наш лог-файл не пишется.
У множества других клиентов, и у нас при тестировании с сертификатами от тестового УЦ всё работает корректно.

Подскажите, как можно анализировать такого рода ситуации? Как протестировать контейнер клиента, учитывая что нам передать они его не могут, и проверки производят на пользовательских устройствах (ПК/iPad).
Может быть есть перечень типичных ситуаций, в которых контейнер не может быть установлен? Сейчас мы не можем даже ответить клиенту что именно не так.
Offline Александр Лавник  
#2 Оставлено : 23 июня 2020 г. 14:56:17(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 1,990
Мужчина
Российская Федерация

Сказал «Спасибо»: 30 раз
Поблагодарили: 451 раз в 432 постах
Автор: Ranzed Перейти к цитате
Добрый день!
В нашем iOS приложении мы используем КриптоПро CSP 4.0 R4 (сборка 4.0.9963 Abel) https://www.cryptopro.ru...ts&m=97735#post97735 последнюю сертифицированную версию на момент выпуска версии нашего приложения.
Один из клиентов столкнулся с проблемой установки контейнера с закрытым ключом на мобильное устройство. При попытке импортировать контейнер по кнопке "Установить сертификаты из контейнеров" появляется алерт "Установка сертификатов - Ошибка при установке сертификатов". Контейнер перед этим копируется на устройство внутрь папки приложения по пути cprocsp\keys\mobile\10742050.0000
Контейнер корректный, не защищен пин-кодом. При тестировании этого контейнера при помощи КриптоПро CSP на десктопном компьютере с Windows ошибок не обнаружено. Версия ОС на планшете: iOS 13.5.1
test_kontejjnera.png (143kb) загружен 11 раз(а).
Ранее клиент (в начале года) выписывал нескольким своим пользователям сертификаты, но лишь один из них удалось установить на планшет пользователя (с остальными были такие же ошибки).
Недавно сертификаты были выписаны новые, и из них уже ни один не устанавливается. При этом старый ("удачный") устанавливаетcя корректно. По составу полей в сертификате они ничем не отличаются (кроме срока действия и того, что некоторые сертификаты выписаны на физ.лицо, а другие на юр.лицо). Цепочка сертификации вместе с корневым УЦ установлена на планшеты.
Мы в приложении используем для готовый PaneViewController, соответственно никаких сообщений в наш лог-файл не пишется.
У множества других клиентов, и у нас при тестировании с сертификатами от тестового УЦ всё работает корректно.

Подскажите, как можно анализировать такого рода ситуации? Как протестировать контейнер клиента, учитывая что нам передать они его не могут, и проверки производят на пользовательских устройствах (ПК/iPad).
Может быть есть перечень типичных ситуаций, в которых контейнер не может быть установлен? Сейчас мы не можем даже ответить клиенту что именно не так.

Здравствуйте.

Нужно проверить ситуацию, когда в cprocsp\keys\mobile\ присутствует только нужный ключевой контейнер.

При необходимости пусть сохранят на компьютере эту папку (резервную копию), а затем уже загрузят на iOS-устройство cprocsp так, чтобы в cprocsp\keys\mobile\ остался только нужный ключевой контейнер.
Техническую поддержку оказываем тут
Наша база знаний
Offline Ranzed  
#3 Оставлено : 25 июня 2020 г. 10:43:10(UTC)
Ranzed

Статус: Участник

Группы: Участники
Зарегистрирован: 29.09.2015(UTC)
Сообщений: 10
Российская Федерация
Откуда: Ижевск

Сказал(а) «Спасибо»: 2 раз
Проверили, так ранее и пробовали устанавливать - в папке cprocsp\keys\mobile\ только один контейнер, ничего другого нет.
Что ещё можно сделать?
Offline Александр Лавник  
#4 Оставлено : 25 июня 2020 г. 11:01:19(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 1,990
Мужчина
Российская Федерация

Сказал «Спасибо»: 30 раз
Поблагодарили: 451 раз в 432 постах
Автор: Ranzed Перейти к цитате
Проверили, так ранее и пробовали устанавливать - в папке cprocsp\keys\mobile\ только один контейнер, ничего другого нет.
Что ещё можно сделать?

Здравствуйте.

В имени ключевого контейнера есть кириллические символы?

Если да, то пусть переименуют его таким образом, чтобы этих символов не было.

После этого перенесут ключевой контейнер на iOS-устройство и проверят корректность установки сертификатов.
Техническую поддержку оказываем тут
Наша база знаний
Offline Ranzed  
#5 Оставлено : 25 июня 2020 г. 11:29:05(UTC)
Ranzed

Статус: Участник

Группы: Участники
Зарегистрирован: 29.09.2015(UTC)
Сообщений: 10
Российская Федерация
Откуда: Ижевск

Сказал(а) «Спасибо»: 2 раз
Уточните пожалуйста, имеется ввиду имя контейнера в виде папки с набором файлов, или то что мы видим в отчете о тестировании контейнера через КриптоПро CSP?
В первом сообщении указано, что имя контейнера в виде папки - 10742050.0000 т.е. в имени только цифры.
В отчете о тестировании указано "1074205002607 429141936 - копия", т.е. тут есть кириллица.
Цитата:
Контейнер закрытого ключа пользователя
имя 1074205002607 429141936 - копия
уникальное имя REGISTRY\\1074205002607 429141936 - копия
FQCN \\.\REGISTRY\1074205002607 429141936 - копия
проверка целостности контейнера успешно
Offline Александр Лавник  
#6 Оставлено : 25 июня 2020 г. 11:31:33(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 1,990
Мужчина
Российская Федерация

Сказал «Спасибо»: 30 раз
Поблагодарили: 451 раз в 432 постах
Автор: Ranzed Перейти к цитате
Уточните пожалуйста, имеется ввиду имя контейнера в виде папки с набором файлов, или то что мы видим в отчете о тестировании контейнера через КриптоПро CSP?
В первом сообщении указано, что имя контейнера в виде папки - 10742050.0000 т.е. в имени только цифры.
В отчете о тестировании указано "1074205002607 429141936 - копия", т.е. тут есть кириллица.
Цитата:
Контейнер закрытого ключа пользователя
имя 1074205002607 429141936 - копия
уникальное имя REGISTRY\\1074205002607 429141936 - копия
FQCN \\.\REGISTRY\1074205002607 429141936 - копия
проверка целостности контейнера успешно

В отчете.
Техническую поддержку оказываем тут
Наша база знаний
Offline Ranzed  
#7 Оставлено : 26 июня 2020 г. 13:16:58(UTC)
Ranzed

Статус: Участник

Группы: Участники
Зарегистрирован: 29.09.2015(UTC)
Сообщений: 10
Российская Федерация
Откуда: Ижевск

Сказал(а) «Спасибо»: 2 раз
Оказывается в первоначально отчете о тестировании был контейнер из реестра. Проверили корректный, тот что ставится в папку cprocsp\keys\mobile\ - кириллицы в наименовании нет.
test_kontejjnera2.png (30kb) загружен 4 раз(а).
Обратил внимание что в контейнере нет сертификата открытого ключа, присутствует только закрытый ключ.
Обязательно ли наличие сертификата открытого ключа в контейнере? Мы попросим добавить его и проверить снова, но хочется знать в принципе нужен ли он всегда.
Помимо наличия сертификата, в чем ещё может быть проблема?
Offline Александр Лавник  
#8 Оставлено : 26 июня 2020 г. 13:25:22(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 1,990
Мужчина
Российская Федерация

Сказал «Спасибо»: 30 раз
Поблагодарили: 451 раз в 432 постах
Автор: Ranzed Перейти к цитате
Оказывается в первоначально отчете о тестировании был контейнер из реестра. Проверили корректный, тот что ставится в папку cprocsp\keys\mobile\ - кириллицы в наименовании нет.
test_kontejjnera2.png (30kb) загружен 4 раз(а).
Обратил внимание что в контейнере нет сертификата открытого ключа, присутствует только закрытый ключ.
Обязательно ли наличие сертификата открытого ключа в контейнере? Мы попросим добавить его и проверить снова, но хочется знать в принципе нужен ли он всегда.
Помимо наличия сертификата, в чем ещё может быть проблема?

Здравствуйте.

Сертификат обязательно должен находиться внутри ключевого контейнера.

Соответствующая кнопка в панели КриптоПро CSP так и подписана: Установить сертификаты из контейнеров.

Сначала нужно проверить корректность установки сертификата, когда сертификат добавлен в ключевой контейнер.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
Ranzed оставлено 01.07.2020(UTC)
Offline Ranzed  
#9 Оставлено : 1 июля 2020 г. 10:41:14(UTC)
Ranzed

Статус: Участник

Группы: Участники
Зарегистрирован: 29.09.2015(UTC)
Сообщений: 10
Российская Федерация
Откуда: Ижевск

Сказал(а) «Спасибо»: 2 раз
Клиент установил в контейнер сертификат открытого ключа, и после этого удалось установить этот контейнер в мобильное приложение.
Большое спасибо за помощь!
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.