Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Shadow373a  
#1 Оставлено : 15 августа 2011 г. 16:30:11(UTC)
Shadow373a

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.01.2011(UTC)
Сообщений: 3
Откуда: Москва

добрый день, уважаемые форумчане.

если можно, хотелось бы получить совет по настройке CSP под Snow Leopard 10.6.8 и работе хотя бы с примерами из SDK, а то что-то не получается у меня ничего.
вот мои действия:
1. по ссылке ftp://ftp.cryptopro.ru/pub/MacOS/110510/ скачал все, что там имелось.
2. далее, руководствуясь документом ЖТЯИ.00050-02 90 02-03. Руководство администратора безопасности. FreeBSD.pdf установил все в порядке, описанном в п. 4. все встало и даже не вякнуло о каких либо ошибках. для инсталляции использовал команду "sudo /opt/cprocsp/sbin/ia32/cpconfig/cpropkg -i <archive_name.tar.gz>"
3. немного побаловался с переименованием имен и ников, установленных по умолчанию (sudo /opt/cprocsp/sbin/ia32/cpconfig -defprov -setdef -provtype 75 -provname GOST2001' ),
а после этого для проверки установки последовательно выполнил следующие команды:
Цитата:

3.1.
команда: 'sudo /opt/cprocsp/sbin/ia32/cpconfig -hardware reader -view'
результат:
Nick name: FLASH
Connect name:
Reader name: FLASH

... пропущены 4 рутокена ...

Nick name: HDIMAGE
Connect name:
Reader name: Hard Disk

3.2.
команда: 'sudo /opt/cprocsp/sbin/ia32/cpconfig -defprov -view_type'
Listing Available Provider Types:
Provider type Provider Type Name
_____________ _____________________________________
71 GOST94
75 GOST2001


4.
"ну, кажется все в порядке," - подумал я, и для проверки решил с помощью тестового УЦ сделать себе тестовый же сертификат
Цитата:
4.1
команда: sudo /opt/cprocsp/bin/ia32/cryptcp -creatrqst -dn 'E=cprotest.test.ru, CN= CPROcsp Test' -provtype 75 -provname 'GOST2001' -exprt -sg -cont '\\.\HDIMAGE\MY' -pin '12345' -certusage '1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.3' /opt/cprocsp/cert_req_MY.base64
результат: в /opt/cprocsp/ появился файл запроса cert_req_MY.base64
закинул его на тестовый УЦ и получил вожделенный сертификат /opt/cprocsp/cprocsp/cert_new_MY.cer. быстрая проверка на винде показала, что таки да - это сертификат!
4.2.
команда: sudo /opt/cprocsp/bin/ia32/cryptcp -instcert -provtype 75 -provname 'GOST2001' -cont '\\.\HDIMAGE\MY' -pin '12345' /opt/cprocsp/cert_new_MY.cer
результат:
Утилита командной строки для защиты данных.
Ошибка: Invalid provider specified. (0x80090013)
[ErrorCode: 0x80090013]


-гммм! - промычал я и решил для совсем полного подтверждения своего нубства скомпилировать и запустить пример ./SDK/CSP/CreatingKeyContainer/CreatingKeyContainer.c
пропущу возню с gcc/g++ и пыхтение над исходником, но в конце концов программа скомпилировалась и даже соизволила запуститься.
Цитата:
4.3.
команда: 'sudo ./SDK/CSP/CreatingKeyContainer/CreatingKeyContainer '\\.\HDIMAGE\TEST1''
результат:
Error number : 0x80090013
Error description: Could not create a new key container.


в результате был я жестоко обломан по всем позициям и побежал сюда жаловаться и просить вашей помощи :(
пожалуйста, если вам не трудно, развернуто прокомментируйте мои действия и ткните носом в ошибки. я начинающий маковод и чем более подробны будут ваши объяснения, тем большим будет мое "спасибо" :)
а еще хотелось бы знать каким образом сохранить имеющиеся настройки в в пока еще не существующий ini-файл, а то я этого тоже не понял, увы :(

С уважением,
Shadow373.

p.s. если через форум неудобно, то можно и через скайп. имя в скайпе - shadow373_.
p.p.s. заранее благодарен за ответы и консультации.
Offline Татьяна  
#2 Оставлено : 15 августа 2011 г. 17:41:48(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
1. Какие пакеты ставили? Если поставили kc2, то биологический датчик случайных чисел работать не будет а иной Вы, скорее всего, не настроили. Скорее всего проблема в этом.

2. Посмотрите список настроенных ДСЧ командой

/opt/cprocsp/sbin/ia32/cpconfig -hardware rndm -view

3. Проверьте функцию генерации ключей при помощи команды

/opt/cprocsp/bin/ia32/csptest -keyset -newkeyset -cont '\\.\HDIMAGE\MY'

4. Что написано в секциях [Defaults\Provider] и [Defaults\"Provider Types"] из /etc/opt/cprocsp/config.ini ?
Татьяна
ООО Крипто-Про
Offline Shadow373a  
#3 Оставлено : 15 августа 2011 г. 21:07:26(UTC)
Shadow373a

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.01.2011(UTC)
Сообщений: 3
Откуда: Москва

добрый день, татьяна.

Татьяна написал:
1. Какие пакеты ставили? Если поставили kc2, то биологический датчик случайных чисел работать не будет а иной Вы, скорее всего, не настроили. Скорее всего проблема в этом.

2. Посмотрите список настроенных ДСЧ командой

/opt/cprocsp/sbin/ia32/cpconfig -hardware rndm -view

3. Проверьте функцию генерации ключей при помощи команды

/opt/cprocsp/bin/ia32/csptest -keyset -newkeyset -cont '\\.\HDIMAGE\MY'

4. Что написано в секциях [Defaults\Provider] и [Defaults\"Provider Types"] из /etc/opt/cprocsp/config.ini ?


1. ставил kc1, все пакеты. основные пакеты устанавливал согласно п.4. "ЖТЯИ.00050-02 90 02-03. Руководство администратора безопасности. FreeBSD.pdf", остальные в порядке как они описаны в том же документе.

2.
Цитата:
sudo /opt/cprocsp/sbin/ia32/cpconfig -hardware rndm -view'

Nick name: CPSD
Connect name:
Rndm name: ????
Rndm level: 3

Nick name: BIO_TUI
Connect name:
Rndm name: Console BioRNG
Rndm level: 5


3.
Цитата:
sudo /opt/cprocsp/bin/ia32/csptest -keyset -newkeyset -cont '\\.\HDIMAGE\MY'

An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/tmain.c:1111:Can not get CSP param: AcquireContext failed.
Error number 0x80090013 (-2146893805).
Invalid provider specified.
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/ctkey.c:742:AcquireContext("\\.\HDIMAGE\MY")
Error number 0x80090013 (-2146893805).
Invalid provider specified.
Total:
[ErrorCode: 0x80090013]


4.
/etc/opt/cprocsp/config.ini
Цитата:

[Defaults\Provider]
# Провайдеры. Описание провайдера должно содержать поля:
# "Image Path" = путь до разделяемой библиотеки провайдера
# "Type"= тип провайдера (71, 75)

[Defaults\Provider\"Crypto-Pro GOST R 34.10-2001 KC1 CSP"]
"Image Path" = "/opt/cprocsp/lib/ia32/libcsp.dylib"
Type = 75

[Defaults\Provider\"Crypto-Pro GOST R 34.10-94 KC1 CSP"]
"Image Path" = "/opt/cprocsp/lib/ia32/libcsp.dylib"
Type = 71
[Defaults\"Provider Types"]
# Типы провайдеров. Описание типа провайдера должно содержать поля:
# "Name"= имя провайдера по умолчанию для данного типа

[Defaults\"Provider Types"\"Type 071"]
Name = "GOST94"

[Defaults\"Provider Types"\"Type 075"]
Name = "GOST2001"


так, чует моя пятая точка, что надо переставить весь пакет. или есть надежда?

С уважением,
Shadow373
Offline Shadow373a  
#4 Оставлено : 16 августа 2011 г. 14:48:40(UTC)
Shadow373a

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.01.2011(UTC)
Сообщений: 3
Откуда: Москва

кажется, я разобрался. во всяком случае все, что нужно создается. и даже заработали примеры из SDK.
достиглось это все просто тупой переустановкой. видимо, когда в первый раз игрался, где-то как-то накосячил.
остался последний вопрос: как зачистить (удалить) все контейнеры (а где они располагаются физически?) и ключевые пары, которые я создал во время тренировки?
Offline Татьяна  
#5 Оставлено : 16 августа 2011 г. 15:39:27(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
ошибка была в секции конфига
[Defaults\"Provider Types"\"Type 071"]
Name = "GOST94"

[Defaults\"Provider Types"\"Type 075"]
Name = "GOST2001"


должно быть

[Defaults\"Provider Types"\"Type 071"]
Name = "Crypto-Pro GOST R 34.10-94 KC1 CSP"

[Defaults\"Provider Types"\"Type 075"]
Name = "Crypto-Pro GOST R 34.10-2001 KC1 CSP"

Отредактировано пользователем 16 августа 2011 г. 15:42:15(UTC)  | Причина: Не указана

Татьяна
ООО Крипто-Про
Offline Татьяна  
#6 Оставлено : 16 августа 2011 г. 15:41:49(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
контейнеры находятся в /var/opt/cprocsp/keys сертификаты в /var/opt/cprocsp/users
Татьяна
ООО Крипто-Про
Offline rus77  
#7 Оставлено : 26 октября 2011 г. 16:05:41(UTC)
rus77

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.08.2011(UTC)
Сообщений: 82

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах

На Mac OS X была установлена Крипто ПРО последней версии.
На e-token сертификат присутствует и SafeNet обнаруживает e-token.
Просматриваем список считывателей:

# /opt/cprocsp/bin/ia32/list_proc
available reader: AKS VR 00 00
available reader: AKS Ifdh 00 00

"AKS Ifdh 00 00" - наше устройство.

Пытаемся добавить считыватель в Mac OS X.

# /opt/cprocsp/sbin/ia32/cpconfig -hardware reader -add "AKS Ifdh 00 00"
Adding new reader:
Nick name : AKS Ifdh 00 00
Failed, code:0x1008
Error code:4104, Connection error.

Что мы делаем не правильно и как нам добавить считыватель?
Как загрузить сертификат в контейнер с e-token (на примере загрузки Windows XP)?
Какой vpn-клиент под Mac OS умеет работать с e-token?
Offline Татьяна  
#8 Оставлено : 26 октября 2011 г. 16:34:22(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
А в /var/log/system.log ошибки есть?
Какие пакеты и каких версий ставили для работы с pcsc? Драйверы для токена и все пакеты 32-разрядные?

Кроме того, есть два вида устройств, связанные с работой со смарт-картами: считыватель(reader) и носитель(media). Если устройство в форм-факторе карточки, то носитель -- карточка, считыватель -- штука, в которую его пихают. Если устройство в виде usb-брелока, то оно представляет собой и считыватель и носитель; но в любом случае настраивать надо и то и другое.
То есть, после настройки считывателя понадобится ещё настроить носитель. Для этого нужен будет модуль поддержки носителя от производителя токена. Для линукса он выглядит как отдельный rpm-пакет(в etoken pki не входит), содержит в себе библиотеку для поддержки етокена в КриптоПро CPS. Он есть? Если этого модуля нет, то работать всё равно ничего не будет.
Татьяна
ООО Крипто-Про
Offline chikory  
#9 Оставлено : 17 ноября 2011 г. 19:14:22(UTC)
chikory

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.11.2011(UTC)
Сообщений: 35
Откуда: Екатеринбург

Добрый день.
Как и rus77 пытался настроить носители e-Token в криптопро на Mac. Результаты собственно точно такие же.
Правильно ли я понимаю, что поддержки носителей e-Token в КриптоПро CSP пока не реализовано? Aladdin не дает ответа по поводу модуля поддержки носителей в криптопро csp ссылаясь на отсутствие официальной версии криптопро csp для mac os.
Offline Dmitry-support  
#10 Оставлено : 6 февраля 2012 г. 19:28:47(UTC)
Dmitry-support

Статус: Участник

Группы: Участники
Зарегистрирован: 06.02.2012(UTC)
Сообщений: 21

Поблагодарили: 1 раз в 1 постах
Аладдин говорит, что будут разрабатывать модуль поддержки только когда версия для mac os получит сертификат соответствия. Правда непонятна их логика, т.к. их модуль тогда не войдет в сертифицированную сборку.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.