Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline promcalc  
#1 Оставлено : 31 августа 2021 г. 17:15:28(UTC)
promcalc

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 24
Российская Федерация
Откуда: Moscow

Добрый день.

Прислали сертификат в файле, в нем следующее:



Пробую сделать запрос через curl:

Цитата:

$ /opt/cprocsp/bin/amd64/curl -X POST https://reports.nbki.ru/products/B2BRequestServlet -d @/tmp/request.xml -cert /tmp/nbki_2side_auth_2021.cer -H "Content-Type: text/xml; charset=windows-1251" --output /tmp/response.xml.sign
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
curl: (58) Problem with the local SSL certificate
curl: (3) <url> malformed



Что нужно поправить, чтобы запрос проходил?

Само соединение вроде без ошибок устанавливается:



И я не понимаю, как csptestf указать, какой клиентский сертификат использовать (для случая, когда сертификат в файле, а не установлен в контейнер)?
В выводе команды csptestf указан клиентский тестовый сертификат.
Команда его как-то выбрала.
А я могу указать, с каким именно сертификатом проводить проверку соединения?
Online Андрей *  
#2 Оставлено : 31 августа 2021 г. 17:25:31(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,562
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1585 раз в 1221 постах
Здравствуйте.

Почему сертификат без ссылки на закрытый ключ?
Цитата:

PrivateKey Link : No
Техническую поддержку оказываем тут
Наша база знаний
Offline promcalc  
#3 Оставлено : 31 августа 2021 г. 18:57:46(UTC)
promcalc

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 24
Российская Федерация
Откуда: Moscow

Потому что это единственное, что есть (файл сертификата, контейнера для него нет).

НБКИ говорит, что будут использовать следующие способы:

• использовании выданной в любом аккредитованном удостоверяющем центре квалифицированной электронной подписи (КЭП);

• использовании выданной в Удостоверяющем центре ООО «Крипто Про» неквалифицированной электронной подписи;

• использовании выданном в соответствии с соглашением об электронном документообороте (далее – соглашение об ЭДО) сертификате удаленного защищенного доступа, не являющимся сертификатом ключа проверки электронной подписи.

Это как раз последний вариант, насколько я понимаю.
Online Андрей *  
#4 Оставлено : 31 августа 2021 г. 20:09:03(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,562
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1585 раз в 1221 постах
Автор: promcalc Перейти к цитате
Потому что это единственное, что есть (файл сертификата, контейнера для него нет).

НБКИ говорит, что будут использовать следующие способы:

• использовании выданной в любом аккредитованном удостоверяющем центре квалифицированной электронной подписи (КЭП);

• использовании выданной в Удостоверяющем центре ООО «Крипто Про» неквалифицированной электронной подписи;

• использовании выданном в соответствии с соглашением об электронном документообороте (далее – соглашение об ЭДО) сертификате удаленного защищенного доступа, не являющимся сертификатом ключа проверки электронной подписи.

Это как раз последний вариант, насколько я понимаю.


Ещё раз...

Аутентификация клиента - по сертификату?
Сертификат - без контейнера?
В Subject - ваши данные?

Если на все вопросы Да - то нужен контейнер с закрытым ключом.
Техническую поддержку оказываем тут
Наша база знаний
Online Андрей *  
#5 Оставлено : 31 августа 2021 г. 20:10:38(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,562
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1585 раз в 1221 постах
https://reports.nbki.ru/products/B2BRequestServlet - требует клиентский сертификат.
Сертификат кто прислал и почему без контейнера? Или сами сформировали запрос, получили сертификат, но не установили корректно?
Техническую поддержку оказываем тут
Наша база знаний
Offline promcalc  
#6 Оставлено : 1 сентября 2021 г. 10:55:38(UTC)
promcalc

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 24
Российская Федерация
Откуда: Moscow

Сертификат выдал НБКИ.

Без контейнера.

Поэтому аутентификации клиента без него не будет. Правильно?

У меня остался всего один вопрос: как csptest выбирает клиентский сертификат для проверки установления соединения? Как мне указать конкретный?

Из первого сообщения я так понял, что это вот эти строки:

Цитата:
Client certificate:
Subject: E=support@nbki.ru, C=RU, S=Регион, L=Город, O=ПАО Тестбанк, OU=0101BB, CN=Тестовый НБКИ - 2021
Valid : 22.07.2021 09:07:51 - 22.07.2026 09:17:51 (UTC)
Issuer : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
PrivKey: 22.07.2021 09:07:51 - 22.07.2022 09:07:51 (UTC)
Online Андрей *  
#7 Оставлено : 1 сентября 2021 г. 11:11:33(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,562
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1585 раз в 1221 постах
Автор: Андрей * Перейти к цитате
Здравствуйте.

Почему сертификат без ссылки на закрытый ключ?
Цитата:

PrivateKey Link : No


Не заметил, что было просто чтение из файла.

В Личном хранилище - у этого сертификата есть ссылка?
/opt/cprocsp/bin/amd64/certmgr -list -cert -store uMy
Техническую поддержку оказываем тут
Наша база знаний
Online Андрей *  
#8 Оставлено : 1 сентября 2021 г. 11:13:23(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,562
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1585 раз в 1221 постах
из лога: есть
Цитата:
PrivKey: 22.07.2021 09:07:51 - 22.07.2022 09:07:51 (UTC)

..
Техническую поддержку оказываем тут
Наша база знаний
Offline promcalc  
#9 Оставлено : 1 сентября 2021 г. 11:36:39(UTC)
promcalc

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 24
Российская Федерация
Откуда: Moscow

Автор: Андрей * Перейти к цитате

Не заметил, что было просто чтение из файла.

В Личном хранилище - у этого сертификата есть ссылка?
/opt/cprocsp/bin/amd64/certmgr -list -cert -store uMy



Цитата:
$ /opt/cprocsp/bin/amd64/certmgr -list -cert -store uMy -thumbprint 48...a2

Certmgr 1.1 (c) "Crypto-Pro", 2007-2019.
program for managing certificates, CRLs and stores

=============================================================================
Empty certificate list

The requested certificate does not exist.
[ErrorCode: 0x8010002c]


В хранилище нет. Только в файле.

Надо его установить?
Offline promcalc  
#10 Оставлено : 1 сентября 2021 г. 11:56:14(UTC)
promcalc

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 24
Российская Федерация
Откуда: Moscow

Попробовал установить:

Цитата:
$ /opt/cprocsp/bin/amd64/certmgr -install -all -store uMy -file /tmp/nbki_2side_auth_2021.cer

Certmgr 1.1 (c) "Crypto-Pro", 2007-2019.
program for managing certificates, CRLs and stores

Installing:
=============================================================================
1-------
Issuer : E=vpnca@cryptopro.ru, C=RU, L=Moscow, O="LLC ""Crypto-Pro""", CN=CryptoPro VPN CA GOST 2012
Subject : E=..., OU=..., O=..., S=.., C=RU, CN=...
Serial : 0x02...2A
SHA1 Hash : 48...a2
SubjKeyID : bd...a7
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 16/08/2021 12:07:29 UTC
Not valid after : 16/08/2022 12:17:29 UTC
PrivateKey Link : No
CA cert URL : http://vpnca.cryptopro.r...c27dc50e70c7e06aa7d7.crt
CDP : http://cdp.cryptopro.ru/...c27dc50e70c7e06aa7d7.crl
CDP : http://vpnca.cryptopro.r...c27dc50e70c7e06aa7d7.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.8.2.2
=============================================================================

[ErrorCode: 0x00000000]


В списке появился. Ожидаемо без контейнера:

Цитата:
$ /opt/cprocsp/bin/amd64/certmgr -list -cert -store uMy -thumbprint 48...a2
Certmgr 1.1 (c) "Crypto-Pro", 2007-2019.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer : E=vpnca@cryptopro.ru, C=RU, L=Moscow, O="LLC ""Crypto-Pro""", CN=CryptoPro VPN CA GOST 2012
Subject : E=..., OU=..., O=..., S=.., C=RU, CN=...
Serial : 0x02...2A
SHA1 Hash : 48...a2
SubjKeyID : bd...a7
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 16/08/2021 12:07:29 UTC
Not valid after : 16/08/2022 12:17:29 UTC
PrivateKey Link : No
CA cert URL : http://vpnca.cryptopro.r...c27dc50e70c7e06aa7d7.crt
CDP : http://cdp.cryptopro.ru/...c27dc50e70c7e06aa7d7.crl
CDP : http://vpnca.cryptopro.r...c27dc50e70c7e06aa7d7.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.8.2.2
=============================================================================

[ErrorCode: 0x00000000]


При запросе ошибка.

Цитата:
$ /opt/cprocsp/bin/amd64/curl -X POST https://reports.nbki.ru/products/B2BRequestServlet -d @/tmp/request.xml -E 48...a2 -H "Content-Type: text/xml; charset=windows-1251" --output /tmp/response.xml.sign
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
curl: (58) Problem with the local SSL certificate
Offline promcalc  
#11 Оставлено : 1 сентября 2021 г. 12:00:10(UTC)
promcalc

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 24
Российская Федерация
Откуда: Moscow

Автор: Андрей * Перейти к цитате
из лога: есть
Цитата:
PrivKey: 22.07.2021 09:07:51 - 22.07.2022 09:07:51 (UTC)

..


Это от тестового сертификата. У тестового есть и сертификат и контейнер. Сертификат установлен в контейнер.

И мой оставшийся вопрос как раз про то, возможно ли программе csptest указать, какой клиентский сертификат использовать для проверки соединения?
Offline promcalc  
#12 Оставлено : 2 сентября 2021 г. 13:32:14(UTC)
promcalc

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 24
Российская Федерация
Откуда: Moscow

И еще один вопрос - можно ли консольной командой в линукс посмотреть сертификат в файле pfx и имя контейнера ?

Команда дает ошибку:

Цитата:
/opt/cprocsp/bin/amd64/certmgr -list -file /tmp/data.pfx
Certmgr 1.1 (c) "Crypto-Pro", 2007-2019.
program for managing certificates, CRLs and stores

Invalid data in file /tmp/data.pfx

Ошибка при чтении или записи в файл.
[ErrorCode: 0x80092003]

Отредактировано пользователем 2 сентября 2021 г. 13:33:47(UTC)  | Причина: Добавлена команда для примера

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.