Статус: Новичок
Группы: Участники
Зарегистрирован: 23.10.2023(UTC) Сообщений: 8 Откуда: Российская Федерация
|
Доброго времени суток. На борту Astra Linux версии 1.7.4 Криптопро версии 5.0.11823. Криптопро установлен под учетной записью администратора, эксплуатация осуществляется с учетной записи пользователя для доступа к сервисам федерального казначейства. С недавнего времени сервисы казначейства перестали функционировать, опытным путем было выявлено, что причиной является неустановленный список отозванных сертификатов (хотя он должен автоматически подтягиваться с ресурсов казначейства). Причем данная проблема воспроизводится на ряде машин, не у меся одного, т.е. проблема массовая. Ладно, для упрощения восстановления работоспособности казначейских сервисов был написан скрипт на баше, который подтягивает списки отозванных из интернета, и устанавливает их. Однако - раньше вручную командой /opt/cprocsp/bin/amd64/certmgr -inst -crl - file 12345.crl -store CA список отозванных спокойно ставился, проходил код ошибки 0х00000000 и список был установлен в необходимый контейнер промежуточных сертификатов, но теперь выбирая контейнер CA или mca или uca получаю ошибку 0х80070005 - отказано в доступе. Я понимаю, что CA - это старый параметр, в uca должны храниться промежуточные сертификаты пользователя, а в mca должны храниться промежуточные сертификаты машины в целом. Из под учетной записи администратора я могу установить сертификаты в контейнер mca, однако в контейнер uca я так же не могу установить списки отозванных. Что могло пойти не так и как мне добиться того, чтобы пользователь без прав администратора мог добавить необходимые списки отозванных uca? P.S. я правильно же понимаю, что крипто про сначала ищет промежуточные (как и корневые) сначала в пользовательском хранилище, а потом в хранилище машины?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,844
Сказал(а) «Спасибо»: 455 раз Поблагодарили: 312 раз в 294 постах
|
Автор: fanpriest Криптопро версии 5.0.11823 А, почему именно эта версия, а не сертифицированная "5.0.12000", или, если допускает использование крайняя/ актуальная "5.0.12900"? Автор: fanpriest опытным путем было выявлено, что причиной является неустановленный список отозванных сертификатов (хотя он должен автоматически подтягиваться с ресурсов казначейства). Причем данная проблема воспроизводится на ряде машин, не у меня одного, т.е. проблема массовая. В организации используется прокси? Автор: fanpriest Из под учетной записи администратора я могу установить сертификаты в контейнер mca, однако в контейнер uca я так же не могу установить списки отозванных. Если у Вас не возникает проблем с установкой списков отзывов/ промежуточных сертификатов в mCA, то о uCA можно и не вспоминать. Автор: fanpriest правильно же понимаю, что крипто про сначала ищет промежуточные (как и корневые) сначала в пользовательском хранилище, а потом в хранилище машины? Насколько помню, происходит "маппирование" системных хранилищ на пользовательские. В любом случае можно погрепать хранилища mCA, uCA, mcahce, ucache на предмет наличия нужного списка отзывов/ промежуточного сертификата и убедиться в его наличии/ отсутствии в указанных хранилищах.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.10.2023(UTC) Сообщений: 8 Откуда: Российская Федерация
|
Автор: nickm Автор: fanpriest Криптопро версии 5.0.11823 А, почему именно эта версия, а не сертифицированная "5.0.12000", или, если допускает использование крайняя/ актуальная "5.0.12900"? Автор: fanpriest опытным путем было выявлено, что причиной является неустановленный список отозванных сертификатов (хотя он должен автоматически подтягиваться с ресурсов казначейства). Причем данная проблема воспроизводится на ряде машин, не у меня одного, т.е. проблема массовая. В организации используется прокси? Автор: fanpriest Из под учетной записи администратора я могу установить сертификаты в контейнер mca, однако в контейнер uca я так же не могу установить списки отозванных. Если у Вас не возникает проблем с установкой списков отзывов/ промежуточных сертификатов в mCA, то о uCA можно и не вспоминать. Автор: fanpriest правильно же понимаю, что крипто про сначала ищет промежуточные (как и корневые) сначала в пользовательском хранилище, а потом в хранилище машины? Насколько помню, происходит "маппирование" системных хранилищ на пользовательские. В любом случае можно погрепать хранилища mCA, uCA, mcahce, ucache на предмет наличия нужного списка отзывов/ промежуточного сертификата и убедиться в его наличии/ отсутствии в указанных хранилищах. 1. Потому что централизованно дали эту версию, могу попробовать обновить, если это необходимо. 2. Прокси не используется, нас несколько филиалов и у всех данная проблема, мы даже физически удалены друг от друга. 3. Для установки в контейнер mCA нужны права администратора. Тоесть мне физически надо пойти к арм (а у пользователей прав администратора быть не должно) и заниматься этим. Причем учитывая периодичность обновления данных списков раз в неделю.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,844
Сказал(а) «Спасибо»: 455 раз Поблагодарили: 312 раз в 294 постах
|
Автор: fanpriest 1. Потому что централизованно дали эту версию, могу попробовать обновить, если это необходимо. Отсутствует смысл использования версии СКЗИ ниже сертифицированной. Если у Вс допускается использование не сертифицированного СКЗИ, то крайняя версия это лучший выбор - это исправление найденных багов, это новые/ добавленные фичи и баги, и это в любом случае намного лучше чем трёх-годовалая версия; Автор: fanpriest 2. Прокси не используется, нас несколько филиалов и у всех данная проблема, мы даже физически удалены друг от друга. Проверьте загрузку проблемного CRL с помощью curl, например: Код: $ /opt/cprocsp/bin/amd64/curl http://crl.roskazna.ru/crl/ucfk_2022.crl -o /tmp/tmp.crl
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 7072k 100 7072k 0 0 8242k 0 --:--:-- --:--:-- --:--:-- 8232k
или: Код:$ /opt/cprocsp/bin/amd64/curl http://crl.roskazna.ru/crl/ucfk_2023.crl -o /tmp/tmp.crl
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 1124k 100 1124k 0 0 2450k 0 --:--:-- --:--:-- --:--:-- 2445k
Автор: fanpriest 3. Для установки в контейнер mCA нужны права администратора. Тоесть мне физически надо пойти к арм (а у пользователей прав администратора быть не должно) и заниматься этим. Причем учитывая периодичность обновления данных списков раз в неделю. Оформите сценарием это дело, но лучше разобраться с автоматической погрузкой CRL, конечно.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.10.2023(UTC) Сообщений: 8 Откуда: Российская Федерация
|
я все это понимаю, я уже написал скрипт на баше который должен как скачивать списки с помощью wget, так и устанавливать списки на машину. У меня еще есть армы на которых используется ведомственная сеть, не имеющая доступа к интернету, и эти списки необходимо вручную переносить на целевой АРМ и соответственно устанавливать. Главный мой вопрос: почему пользователь под своей учетной записью не имеет прав добавить промежуточные сертификаты в контейнер uca. Хотя должен их иметь...
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,844
Сказал(а) «Спасибо»: 455 раз Поблагодарили: 312 раз в 294 постах
|
Автор: fanpriest Главный мой вопрос: почему пользователь под своей учетной записью не имеет прав добавить промежуточные сертификаты в контейнер uca. Хотя должен их иметь... Смотрите права доступа на файлы хранилищ в: Код:$ ls -l /var/opt/cprocsp/users/$USER/stores/
итого 18632
-rw-r--r-- 1 nickm пользователи домена 14965 окт 23 08:51 addressbook.sto
-rw-r--r-- 1 nickm пользователи домена 18759340 окт 17 10:10 cache.sto
-rw-r--r-- 1 nickm пользователи домена 17999 авг 3 14:19 ca.sto
-rw-r--r-- 1 nickm пользователи домена 0 апр 25 2022 cryptoprotrustedstore.sto
-rw-r--r-- 1 nickm пользователи домена 149124 окт 23 08:50 my.sto
-rw-r--r-- 1 nickm пользователи домена 126034 окт 13 09:36 request.sto
-rw-r--r-- 1 nickm пользователи домена 1429 мая 6 2022 root.sto
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.10.2023(UTC) Сообщений: 8 Откуда: Российская Федерация
|
Автор: nickm Автор: fanpriest Главный мой вопрос: почему пользователь под своей учетной записью не имеет прав добавить промежуточные сертификаты в контейнер uca. Хотя должен их иметь... Смотрите права доступа на файлы хранилищ в: Код:$ ls -l /var/opt/cprocsp/users/$USER/stores/
итого 18632
-rw-r--r-- 1 nickm пользователи домена 14965 окт 23 08:51 addressbook.sto
-rw-r--r-- 1 nickm пользователи домена 18759340 окт 17 10:10 cache.sto
-rw-r--r-- 1 nickm пользователи домена 17999 авг 3 14:19 ca.sto
-rw-r--r-- 1 nickm пользователи домена 0 апр 25 2022 cryptoprotrustedstore.sto
-rw-r--r-- 1 nickm пользователи домена 149124 окт 23 08:50 my.sto
-rw-r--r-- 1 nickm пользователи домена 126034 окт 13 09:36 request.sto
-rw-r--r-- 1 nickm пользователи домена 1429 мая 6 2022 root.sto
На все хранилища стоят права -rwxr-xr-x , владелец - пользователь, группа тоже пользователя
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,844
Сказал(а) «Спасибо»: 455 раз Поблагодарили: 312 раз в 294 постах
|
Автор: fanpriest На все хранилища стоят права -rwxr-xr-x , владелец - пользователь, группа тоже пользователя Проверяйте права на и каталоги, явно, что что-то тут не так, и следует задуматься: x - это "не нормально", ага.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.10.2023(UTC) Сообщений: 8 Откуда: Российская Федерация
|
Автор: nickm Автор: fanpriest На все хранилища стоят права -rwxr-xr-x , владелец - пользователь, группа тоже пользователя Проверяйте права на и каталоги, явно, что что-то тут не так, и следует задуматься: x - это "не нормально", ага. Почему? x же права на исполнение файла, конечно они тут не нужны, но как минимум на чтение и на запись от учетной записи пользователя стоят. Каталоги сейчас посмотрю
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,844
Сказал(а) «Спасибо»: 455 раз Поблагодарили: 312 раз в 294 постах
|
Автор: fanpriest Почему? x же права на исполнение файла Автор: fanpriest они тут не нужны Автор: fanpriest Каталоги сейчас посмотрю Как вариант, от пользователя попробовать создать файл в указанном каталоге, что получите в ответ? И да, Вы ведь не показали, какая ошибка у Вас воспроизводится при: Автор: fanpriest почему пользователь под своей учетной записью не имеет прав добавить промежуточные сертификаты в контейнер uca. ,не привели ни единого вывода, и пока всё выглядит голословно.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close