Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Solaris -> Linux - Миграция CproCSP
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline 303.303  
#1 Оставлено : 23 сентября 2020 г. 11:20:55(UTC)
303.303

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.02.2019(UTC)
Сообщений: 5
Российская Федерация
Откуда: Москва
Добрый день.

Планируется миграция с SUN Solaris на Linux.
Как правильно осуществить перенос всех ключей и настроек?
Может быть есть дока по переносу между серверами?
На Solaris сейчас установлены пакеты
bash-3.00# pkginfo | grep CPRO
application CPRObase CryptoPro base
application CPROcplx CSP CryptoAPI lite (64 bit)
application CPROkc1x CSP library (KC1 64 bit)
application CPROrdrx CryptoPro readers (64 bit)

Версия 4.0
bash-3.00# cat /etc/opt/cprocsp/release
CryptoPro CSP ver. 4.0.0.0.9963.
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Андрей Русев  
#2 Оставлено : 24 сентября 2020 г. 15:32:11(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,268

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 445 раз в 324 постах
Здравствуйте.
Поделитесь, пожалуйста, (хотя бы в личку) какая организация мигрирует с Solaris и с какого железа (Intel/Sparc)? Мы вслед за Ораклом планируем свернуть поддержку Intel Solaris, хочется, чтобы никто при этом не пострадал.

Непосредственно миграции нет, но внутреннее устройство простое, поэтому рецепт будет таким:
1. Составить список пакетов КриптоПро CSP на исходной платформе
2. Установить такой же набор пакетов на целевой платформе. У вас минимальный набор, поэтому рекоменую просто запустить install.sh - он поставит тот же минимум + пакет lsb-cprocsp-ca-certs с корневыми сертификатами ГУЦа/Минкомсвязи. Для простоты изложения ставьте ту же версию CSP 4.0.9963, чтобы вопрос обновления был отдельным.
3. Настройки находятся в /etc/opt/cprocsp/*.ini, но их нельзя просто скопировать как файлы, так как файлы платформозависимы (особенно если у вас был Sparc). Поэтому можно сделать архив, чтобы можно было в дальнейшем diff-ом сравнить.
4. Ключи всех пользователей (кроме тех, что на сменных ностителях) находятся в /var/opt/cprocsp/keys. Если пользователь был не один, то надо обеспечить, чтобы владельцы и права после копирования получились правильными. Например, если пользователь был один, то после копирования достаточно:
Код:
chown -R THE_USER /var/opt/cprocsp/keys/THE_USER
chmod -R go-rwx /var/opt/cprocsp/keys/THE_USER

Напомню, что, согласно руководствам безопасности, после копирования надо не забыть удалить ключи на исходной машине штатным способом (операция необратима):
Код:
csptest -keyset -delete -verifyco -pattern '\\.\HDIMAGE'

Если вы переносили ключи с помощью архивов, то их следует безопасно удалять входящим в состав CSP приложения /opt/cprocsp/bin/*/wipefile
5. Хранилища сертификатов всех пользователей - в /var/opt/cprocsp/users. При копировании также надо обеспечить правильные права. Файлы не требуют безопасного удаления.

Удобней всего, когда ключи на сменных носителях и сертификаты этих ключей установлены в контейнеры. Тогда (с учётом того, что настройка обычно не требуется), вам нужно в новом месте только:
* поставить пакеты
* ввести серийный номер лицензии
* вставить носитель
* под нужным пользователем установить личные сертификаты в хранилище
Код:
/opt/cprocsp/bin/*/csptest -absorb -certs -autoprov


Обновление.
Обычно делается с помощью удаления и установки. Удаление сохраняет ключи и сертификаты, но не настройки. Их надо "запомнить" самому. К счастью, таких людей единицы.
На Linux также можно использовать штатную процедуру обновления пакетов, в том числе из репозитория. Наш репозиторий можно использовать только в тестовых целях, но можно поднять свой локальный, куда залиты дистрибутивы, полученные безопасным способом (см. доверенное распространение через интернет).
Официальная техподдержка. Официальная база знаний.
Вверх
thanks 1 пользователь поблагодарил Русев Андрей за этот пост.
Санчир Момолдаев оставлено 24.09.2020(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET