Статус: Новичок
Группы: Участники
Зарегистрирован: 02.11.2012(UTC)
Сообщений: 7
Откуда: Курск
|
Добрый день. Есть КриптоПро 3.6.1 для Linux (Ubuntu 12.10 x64) с демонстрационной лицензией. Код:/opt/cprocsp/bin/amd64/cryptcp -signf -der -nochain -cert -pin 12345678 1.txt
Выдает: Код:1.txt... Error: The card cannot be accessed because the wrong PIN was presented.
/dailybuilds/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:254: 0x8010006B
[ErrorCode: 0x8010006b]
если ввожу pin для контейнера вручную (то есть запускаю без параметра -pin), то все нормально подписывается: Код:/opt/cprocsp/bin/amd64/cryptcp -signf -der -nochain -cert 1.txt
Код:1.txt... CryptoPro CSP: Type pin-code for container "RaUser-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx"
Pin-code:
Signing the data...
Signed message is created.
[ReturnCode: 0]
Код:
CryptCP 3.39 (c) "Crypto-Pro", 2002-2012.
Command prompt Utility for file signature and encryption.
Supported commands:
Пожалуйста, подскажите в чем может быть проблема? Отредактировано пользователем 2 ноября 2012 г. 19:00:00(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
Здравствуйте. К сожалению, у меня проблема не воспроизводится: Код:root@test-x64-ub12:/home/user# /opt/cprocsp/bin/amd64/cryptcp -signf -der -nochain -cert -dn "CN=user5" -pin 12345678 /tmp/unity_support_test.1
CryptCP 3.39 (c) "Crypto-Pro", 2002-2012.
Command prompt Utility for file signature and encryption.
The following certificate will be used:
RDN:user5
Valid from 06.11.2012 12:33:58 to 04.10.2014 07:09:41
Folder '/tmp/':
/tmp/unity_support_test.1... Signing the data...
Signed message is created.
[ReturnCode: 0]
Код:
root@test-x64-ub12:/home/user# /opt/cprocsp/bin/amd64/cryptcp -signf -der -nochain -cert -dn "CN=user5" /tmp/unity_support_test.1
CryptCP 3.39 (c) "Crypto-Pro", 2002-2012.
Command prompt Utility for file signature and encryption.
The following certificate will be used:
RDN:user5
Valid from 06.11.2012 12:33:58 to 04.10.2014 07:09:41
Folder '/tmp/':
/tmp/unity_support_test.1... Signing the data...100%CryptoPro CSP: Type password for container "user5"
Password:
Signed message is created.
[ReturnCode: 0]
Код:
root@test-x64-ub12:/home/user# uname -a
Linux test-x64-ub12 3.5.0-17-generic #28-Ubuntu SMP Tue Oct 9 19:31:23 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
Код:
root@test-x64-ub12:/home/user# cat /etc/*release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=12.10
DISTRIB_CODENAME=quantal
DISTRIB_DESCRIPTION="Ubuntu 12.10"
NAME="Ubuntu"
VERSION="12.10, Quantal Quetzal"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu quantal (12.10)"
VERSION_ID="12.10"
Код:
root@test-x64-ub12:/home/user# dpkg -l |grep cpro
lsb-cprocsp-base 3.6.1-4 all Crypto-Pro CSP library. Build 7290.
lsb-cprocsp-capilite-64 3.6.1-4 amd64 CryptoAPI lite. Build 7290.
lsb-cprocsp-kc1-64 3.6.1-4 amd64 Crypto-Pro CSP library. Build 7290.
lsb-cprocsp-rdr-64 3.6.1-4 amd64 CryptoPro CSP readers. Build 7290.
Уточните пожалуйста: -откуда взят контейнер? Вы его сделали на этой же машине или где-то в другом месте? Если в другом, то какая там ОС и версия CSP? -какие из наших пакетов установлены? (dpkg -l |grep cpro) -что в журналах? (по умолчанию /var/log/auth.log) |
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 02.11.2012(UTC)
Сообщений: 7
Откуда: Курск
|
Татьяна написал:
Уточните пожалуйста:
-откуда взят контейнер? Вы его сделали на этой же машине или где-то в другом месте? Если в другом, то какая там ОС и версия CSP?
-какие из наших пакетов установлены? (dpkg -l |grep cpro)
-что в журналах? (по умолчанию /var/log/auth.log)
Добрый день, Татьяна. rutoken-s выдали в удостоверяющем центре, который и создавал контейнер. К сожалению не могу сказать, какая там версия CSP. Для текущей работы токен используется в windows xp и CSP (версия ядра 3.6.5355 KC2, версия продукта 3.6.5402) Код:
ii cprocsp-rdr-pcsc-64 3.6.1-4 amd64 PC/SC components for CryptoPro CSP readers. Build 7290.
ii lsb-cprocsp-base 3.6.1-4 all Crypto-Pro CSP library. Build 7290.
ii lsb-cprocsp-capilite-64 3.6.1-4 amd64 CryptoAPI lite. Build 7290.
ii lsb-cprocsp-kc1-64 3.6.1-4 amd64 Crypto-Pro CSP library. Build 7290.
ii lsb-cprocsp-pkcs11-64 3.6.1-4 amd64 CryptoPro PKCS11. Build 7290.
ii lsb-cprocsp-rdr-64 3.6.1-4 amd64 CryptoPro CSP readers. Build 7290.
Код:/opt/cprocsp/bin/amd64/cryptcp -signf -der -nochain -cert -pin 12345678 1.txt
в auth.log: Код:
Nov 2 14:17:21 amateratsu cprdr[16946]: cpcsp:!read_seq_file!rdr_file_read('header.key') fail (0x3005)!
Nov 2 14:17:21 amateratsu cprdr[16946]: 14:17:21.348644 support_an_fopen:83 p:16946 t:0x0x7f2d2147a3e0 support_an_fopen("/var/opt/cprocsp/users/root/policies.ini", "rb") = 0x(nil) fail Нет такого файла или каталога
Nov 2 14:17:21 amateratsu cprdr[16946]: capi20:!CryptAcquireCertificatePrivateKey!() export public key failed!!
Может автоматический ввод пина запрещен какими-то политиками на токене и cryptcp ими руководствуется? Сейчас перешел на centos 6.3 и там такая же проблема: Код:
lsb-cprocsp-kc1-64-3.6.1-4.x86_64
lsb-cprocsp-base-3.6.1-4.noarch
lsb-cprocsp-rdr-64-3.6.1-4.x86_64
lsb-cprocsp-capilite-64-3.6.1-4.x86_64
cprocsp-rdr-pcsc-64-3.6.1-4.x86_64
cprocsp-rdr-gui-64-3.6.1-4.x86_64
Вызываю Код:/opt/cprocsp/bin/amd64/cryptcp -signf -cert -der -pin 12345678 request.txt
: Код:
CryptCP 3.39 (c) "Crypto-Pro", 2002-2012.
Command prompt Utility for file signature and encryption.
The following certificate will be used:
RDN:xxxxxxxx
Valid from 29.11.2011 06:05:00 to 29.11.2012 06:14:00
Certificate chains are checked.
Folder './':
request.txt... Error: The card cannot be accessed because the wrong PIN was presented.
/dailybuilds/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:254: 0x8010006B
[ErrorCode: 0x8010006b]
В /var/log/syslog: Код:
Nov 7 11:54:36 otp cprdr[4966]: cpcsp:!read_seq_file!rdr_file_read('header.key') fail (0x3005)!
Nov 7 11:54:36 otp cprdr[4966]: 11:54:36.827097 support_an_fopen:83 p:4966 t:0x0x7f57619e2320 support_an_fopen("/var/opt/cprocsp/users/root/policies.ini", "rb")
Nov 7 11:54:37 otp cprdr[4966]: capi20:!CryptAcquireCertificatePrivateKey!() export public key failed!!
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,534
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 629 раз в 435 постах
|
А пришлите, как выглядят ссылки на закрытый ключ в сертификатах: Код:[root@hsm-x64-alt40 ~]# /opt/cprocsp/bin/amd64/csptestf -certkey -provt 75 -noch -store my -v
No changes will be made!
Src ProvType: 75
Src ProvName: (any)
New ProvName: Crypto-Pro GOST R 34.10-2001 KB2 CSP
Cert: CN=localhost
Cont: HDIMAGE\\localhos.000\13F1
Prov: Crypto-Pro GOST R 34.10-2001 KB2 CSP
Type: 75, Spec: 1, Flags: 0x0
Cert: CN=mail512b, E=mail512b@cryptopro.ru
Cont: HDIMAGE\\mail512b.000\E4CD
Prov: Crypto-Pro GOST R 34.10-2001 KB2 CSP
Type: 75, Spec: 1, Flags: 0x0
Cert: CN=cln512e, E=cln512e@cryptopro.ru
Cont: HDIMAGE\\cln512e.000\38EB
Prov: Crypto-Pro GOST R 34.10-2001 KB2 CSP
Type: 75, Spec: 1, Flags: 0x0
Total:
[ErrorCode: 0x00000000]
[root@hsm-x64-alt40 ~]#
И попробуйте проверить работу контейнера из соответствующей сертификату ссылки на закрытый ключ: Код:[root@hsm-x64-alt40 ~]# /opt/cprocsp/bin/amd64/csptestf -keys -cont 'HDIMAGE\\cln512s.000\B925' -check -pass 12345678
CSP (Type:75) v3.6.5363 KB2 Debug Ver:3.6.7335 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 6952323
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KB2 CSP
Container name: "cln512s"
Check header passed.
Signature key is available. HCRYPTKEY: 0x6a2923
Exchange key is not available.
Check container passed.
Check sign passed.
Check import passed.
Certificate in container matches AT_SIGNATURE key.
Certificate is valid from 20:12.38 18-11-2012
Certificate is valid to 2:52.38 19-11-2022
Keys in container:
signature key
Total:
[ErrorCode: 0x00000000]
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,534
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 629 раз в 435 постах
|
А пришлите, как выглядят ссылки на закрытый ключ в сертификатах: Код:[root@hsm-x64-alt40 ~]# /opt/cprocsp/bin/amd64/csptestf -certkey -provt 75 -noch -store my -v
No changes will be made!
Src ProvType: 75
Src ProvName: (any)
New ProvName: Crypto-Pro GOST R 34.10-2001 KB2 CSP
Cert: CN=localhost
Cont: HDIMAGE\\localhos.000\13F1
Prov: Crypto-Pro GOST R 34.10-2001 KB2 CSP
Type: 75, Spec: 1, Flags: 0x0
Cert: CN=mail512b, E=mail512b@cryptopro.ru
Cont: HDIMAGE\\mail512b.000\E4CD
Prov: Crypto-Pro GOST R 34.10-2001 KB2 CSP
Type: 75, Spec: 1, Flags: 0x0
Cert: CN=cln512e, E=cln512e@cryptopro.ru
Cont: HDIMAGE\\cln512e.000\38EB
Prov: Crypto-Pro GOST R 34.10-2001 KB2 CSP
Type: 75, Spec: 1, Flags: 0x0
Total:
[ErrorCode: 0x00000000]
[root@hsm-x64-alt40 ~]#
И попробуйте проверить работу контейнера из соответствующей сертификату ссылки на закрытый ключ: Код:[root@hsm-x64-alt40 ~]# /opt/cprocsp/bin/amd64/csptestf -keys -cont 'HDIMAGE\\cln512s.000\B925' -check -pass 12345678
CSP (Type:75) v3.6.5363 KB2 Debug Ver:3.6.7335 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 6952323
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KB2 CSP
Container name: "cln512s"
Check header passed.
Signature key is available. HCRYPTKEY: 0x6a2923
Exchange key is not available.
Check container passed.
Check sign passed.
Check import passed.
Certificate in container matches AT_SIGNATURE key.
Certificate is valid from 20:12.38 18-11-2012
Certificate is valid to 2:52.38 19-11-2022
Keys in container:
signature key
Total:
[ErrorCode: 0x00000000]
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 02.11.2012(UTC)
Сообщений: 7
Откуда: Курск
|
olin написал:А пришлите, как выглядят ссылки на закрытый ключ в сертификатах: Код:[root@hsm-x64-alt40 ~]# /opt/cprocsp/bin/amd64/csptestf -certkey -provt 75 -noch -store my -v
...
[root@hsm-x64-alt40 ~]#
И попробуйте проверить работу контейнера из соответствующей сертификату ссылки на закрытый ключ: Код:[root@hsm-x64-alt40 ~]# /opt/cprocsp/bin/amd64/csptestf -keys -cont 'HDIMAGE\\cln512s.000\B925' -check -pass 12345678
...
Код:
/opt/cprocsp/bin/amd64/csptestf -certkey -provt 75 -noch -store my -v
No changes will be made!
Src ProvType: 75
Src ProvName: (any)
New ProvName: Crypto-Pro GOST R 34.10-2001 KC1 CSP
Cert: (данные сертификата)
Cont: SCARD\rutoken_2d4b44dd\0A00\6BA3
Prov: Crypto-Pro GOST R 34.10-2001 KC1 CSP
Type: 75, Spec: 1, Flags: 0x0
Cert: (данные сертификата)
Cont: SCARD\rutoken_2945564b\0C00\9EA7
Prov: Crypto-Pro GOST R 34.10-2001 KC1 CSP
Type: 75, Spec: 1, Flags: 0x0
Cert: (данные сертификата)
Cont: SCARD\rutoken_2b4650f0\0A00\88F5
Prov: Crypto-Pro GOST R 34.10-2001 KC1 CSP
Type: 75, Spec: 1, Flags: 0x0
Total:
[ErrorCode: 0x00000000]
При выполнении команды, все-равно требует ввести пин код: Код:
/opt/cprocsp/bin/amd64/csptestf -keys -cont 'SCARD\rutoken_2b4650f0\0A00\88F5' -check -pass 12345678
CSP (Type:75) v3.6.5363 KC1 Release Ver:3.6.7290 OS:Linux CPU:AMD64 FastCode:READY:SSE2.
AcquireContext: OK. HCRYPTPROV: 33042851
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KC1 CSP
Container name: "RaUser-a8695933-eb7e-4ef3-9e86-c78242395558"
CryptoPro CSP: Type pin-code for container "RaUser-a8695933-eb7e-4ef3-9e86-c78242395558"
Pin-code:
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x1fb8503
Check container passed.
Check sign passed.
Check import passed.
Certificate in container matches AT_KEYEXCHANGE key.
Certificate is valid from 6:5.0 29-11-2011
Certificate is valid to 6:14.0 29-11-2012
Keys in container:
exchange key
Total:
[ErrorCode: 0x00000000]
Надеюсь данные сертификата не нужны для выявления проблемы. Привезли на днях другой ключ. На нём вышеописанной проблемы нет. Код:
/opt/cprocsp/bin/amd64/csptestf -keys -cont 'SCARD\rutoken_2d4b44dd\0A00\6BA3' -check -pass 12345678
CSP (Type:75) v3.6.5363 KC1 Release Ver:3.6.7290 OS:Linux CPU:AMD64 FastCode:READY:SSE2.
AcquireContext: OK. HCRYPTPROV: 12186019
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KC1 CSP
Container name: "RaUser-3cd130c1-9e7d-4316-8b60-385c5270a3ef"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0xbcf8a3
Check container passed.
Check sign passed.
Check import passed.
Certificate in container matches AT_KEYEXCHANGE key.
Certificate is valid from 5:56.0 15-11-2012
Certificate is valid to 6:5.0 15-11-2013
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/ctkey.c:1825:Decode PRIVATEKEY_USAGE_PERIOD failed.
Error number 0x57 (87).
The parameter is incorrect.
Keys in container:
exchange key
Total:
[ErrorCode: 0x00000000]
Код:
/opt/cprocsp/bin/amd64/cryptcp -dn "INN=004632040950" -signf -cert -der request.xml -pin 12345678
CryptCP 3.39 (c) "Crypto-Pro", 2002-2012.
Command prompt Utility for file signature and encryption.
The following certificate will be used:
(данные сертификата)
Certificate chains are checked.
Folder './':
request.xml... Signing the data...
Signed message is created.
[ReturnCode: 0]
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,534
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 629 раз в 435 постах
|
Проверка header.key обязана проходить без PIN-а. У вас это было не так: Код:Pin-code: ********
Check header passed.
Как правило, это говорит о неверной разметке карты: при разметке зачем-то указали, что доступ к header.key требует PIN. Карту размечает производитель, либо приложения от производителя. Так что вопросы к ним. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.01.2013(UTC) Сообщений: 15  Откуда: Москва
|
Здравствуйте. Аналогичная проблема с тем, что при добавлении сертификата в certmgr не подходит правильный пин от контейнера. Подскажите, можно ли как-то проверить привязку по файлу сертификата? И в чём может быть ошибка. Какие ещё данные выслать? Спасибо Версия: Код:csptestf -v
CSP (Type:75) v3.6.5363 KC1 Release Ver:3.6.7363 OS:Linux CPU:AMD64 FastCode:READY:AVX.
Client: Permanent license
Server: Permanent license
Total:
[ErrorCode: 0x00000000]
Генерация запроса на сертификат (лог вывода уже утерян, но в целом всё Ок): Код:cryptcp -creatrqst -dn "<data>" -sg -cont '\\.\FLASH\ftwin1' <path>.pem
Проверка контейнера: Код:csptestf -keys -cont '\\.\FLASH\ftwin1' -check -pass 1234567
CSP (Type:75) v3.6.5363 KC1 Release Ver:3.6.7363 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 15217059
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KC1 CSP
Container name: "ftwin1"
Check header passed.
Signature key is available. HCRYPTKEY: 0xefea03
Exchange key is not available.
Check container passed.
Check sign passed.
Check import passed.
Keys in container:
signature key
Total:
[ErrorCode: 0x00000000]
Попытка установки с привязкой к контейнеру: Код:certmgr -inst -store uMy -file <path>.cer -cont '\\.\FLASH\ftwin1' -pin 1234567
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
Install:
=============================================================================
1-------
Данные сертификата
=============================================================================
[b]Bad pin[/b]
Can not export public key info from container
[ErrorCode: 0x00000002]
Проверка привязки - её нет: Код:csptestf -certkey -provt 75 -noch -store my -v
No changes will be made!
Src ProvType: 75
Src ProvName: (any)
New ProvName: Crypto-Pro GOST R 34.10-2001 KC1 CSP
This certificate does not have private key link:
Subject: data
Valid : 25.01.2013 10:54:15 - 25.01.2014 11:04:15 (UTC)
Issuer : <Issuer>
Total:
[ErrorCode: 0x00000000]
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 01.08.2011(UTC)
Сообщений: 674
Откуда: Москва
Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 38 раз в 36 постах
|
Что вы указываете под выделенным значением?
cryptcp -creatrqst -dn "<data>" -sg -cont '\\.\FLASH\ftwin1' <path>.pem
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.01.2013(UTC) Сообщений: 15 Откуда: Москва
|
Путь к файлу запроса, например, /home/username/request.pem
Получилось установить сертификат через:
cryptcp -instcert -cont '\\.\FLASH\ftwin1' -askpin /media/username/certificate.cer
Насколько я понял из документации при переносе контейнера и сертификата на другой компьютер через cryptcp его установить уже не получится. Верно?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
