Atom Лента - Форум КриптоПро - Тема:Linux и CryptoPro 4. - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:LinuxiCryptoPro4.-10:1Copyright 2024 Форум КриптоПро2024-03-29T14:34:03Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.ruEvstafievhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=45807&name=EvstafievEvstafievhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=45807&name=EvstafievEvstafievhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=45807&name=EvstafievРусев Андрейhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=428&name=Русев АндрейEvstafievhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=45807&name=EvstafievАндрей Емельяновhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=29493&name=Андрей ЕмельяновEvstafievhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=45807&name=EvstafievYetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid81519:1Linux и CryptoPro 4.<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: olin <a href="/forum2/default.aspx?g=posts&m=81517#post81517"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>В наших стендах на штатных установках следующих ОС эта проблема не наблюдается:<br /><ul><br /><li> Ubuntu 10<br /><li> Ubuntu 12<br /><li> ALTLinux 6<br /><li> CentOS 6<br /><li> CentOS 7<br /><li> FreeBSD 9<br /></ul><br />Вероятно, у вас по умолчанию включены жёсткие правила запретов в polkit-е:<br /><a rel="nofollow" href="https://access.redhat.com/blogs/766093/posts/1976313" title="https://access.redhat.com/blogs/766093/posts/1976313">https://access.redhat.co...ogs/766093/posts/1976313</a></div></div><br /><br />У меня Fedora 25.x64. В ней вообще нет (я не нашел ни в /etc/polkit-1, ни в /usr/share/polkit-1) установленных правил для pcscd. Видимо, он работает без этих правил, по умолчанию. А там - только рут или консоль. За ссылку - спасибо. Буду над ней думать. <br /><br />Вероятно (на будущее) имеет смысл включить в поставляемый пакет (rpm) и правильные правила, которые позволят работать с токеном, точнее с pcsd, обычному юзеру, а не только руту. Или написать это дело большими красными буквами в соответствующей инструкции, чтобы у тупого сисадмина проблем не возникало.<br /> <br />====================================<br /><br />Спасибо за ссылку еще раз. Поставил нужные правила. Юзер токен увидел. Буду "развлекаться" с этим делом дальше. Теперь осталось понять, почему оно цепочку сертификатов проверить не может. Или прикостылить алиасную команду с ключиком --nochain.</td></tr></table>2017-07-10T11:33:49+03:002017-07-10T11:33:49+03:00Evstafiev<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: olin <a href="/forum2/default.aspx?g=posts&m=81517#post81517"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>В наших стендах на штатных установках следующих ОС эта проблема не наблюдается:<br /><ul><br /><li> Ubuntu 10<br /><li> Ubuntu 12<br /><li> ALTLinux 6<br /><li> CentOS 6<br /><li> CentOS 7<br /><li> FreeBSD 9<br /></ul><br />Вероятно, у вас по умолчанию включены жёсткие правила запретов в polkit-е:<br /><a rel="nofollow" href="https://access.redhat.com/blogs/766093/posts/1976313" title="https://access.redhat.com/blogs/766093/posts/1976313">https://access.redhat.co...ogs/766093/posts/1976313</a></div></div><br /><br />У меня Fedora 25.x64. В ней вообще нет (я не нашел ни в /etc/polkit-1, ни в /usr/share/polkit-1) установленных правил для pcscd. Видимо, он работает без этих правил, по умолчанию. А там - только рут или консоль. За ссылку - спасибо. Буду над ней думать. <br /><br />Вероятно (на будущее) имеет смысл включить в поставляемый пакет (rpm) и правильные правила, которые позволят работать с токеном, точнее с pcsd, обычному юзеру, а не только руту. Или написать это дело большими красными буквами в соответствующей инструкции, чтобы у тупого сисадмина проблем не возникало.<br /> <br />====================================<br /><br />Спасибо за ссылку еще раз. Поставил нужные правила. Юзер токен увидел. Буду "развлекаться" с этим делом дальше. Теперь осталось понять, почему оно цепочку сертификатов проверить не может. Или прикостылить алиасную команду с ключиком --nochain.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid81518:1Linux и CryptoPro 4.<table class="content postContainer" width="100%"><tr><td>И в продолжение проблемы. Если программы КриптоПро запускать через sudo, то они нормально общаются с токеном. В общем-то, это ожидаемо, но непонятно, зачем криптопрошному демону лезть к токену (через pcscd) от имени юзера, если он по политикам пускает в себя только рута. Ядро криптопрошное запускается от рута, ведь все вызовы к аппаратуре через него должны идти, как я понимаю, зачем полномочия то снижать до юзерских? <br /></td></tr></table>2017-07-10T10:59:09+03:002017-07-10T10:59:09+03:00Evstafiev<table class="content postContainer" width="100%"><tr><td>И в продолжение проблемы. Если программы КриптоПро запускать через sudo, то они нормально общаются с токеном. В общем-то, это ожидаемо, но непонятно, зачем криптопрошному демону лезть к токену (через pcscd) от имени юзера, если он по политикам пускает в себя только рута. Ядро криптопрошное запускается от рута, ведь все вызовы к аппаратуре через него должны идти, как я понимаю, зачем полномочия то снижать до юзерских? <br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid81517:1Linux и CryptoPro 4.<table class="content postContainer_Alt" width="100%"><tr><td>В наших стендах на штатных установках следующих ОС эта проблема не наблюдается:<br /><ul><br /><li> Ubuntu 10<br /><li> Ubuntu 12<br /><li> ALTLinux 6<br /><li> CentOS 6<br /><li> CentOS 7<br /><li> FreeBSD 9<br /></ul><br />Вероятно, у вас по умолчанию включены жёсткие правила запретов в polkit-е:<br /><a rel="nofollow" href="https://access.redhat.com/blogs/766093/posts/1976313" title="https://access.redhat.com/blogs/766093/posts/1976313">https://access.redhat.co...ogs/766093/posts/1976313</a></td></tr></table>2017-07-10T10:57:39+03:002017-07-10T10:57:39+03:00Русев Андрей<table class="content postContainer_Alt" width="100%"><tr><td>В наших стендах на штатных установках следующих ОС эта проблема не наблюдается:<br /><ul><br /><li> Ubuntu 10<br /><li> Ubuntu 12<br /><li> ALTLinux 6<br /><li> CentOS 6<br /><li> CentOS 7<br /><li> FreeBSD 9<br /></ul><br />Вероятно, у вас по умолчанию включены жёсткие правила запретов в polkit-е:<br /><a rel="nofollow" href="https://access.redhat.com/blogs/766093/posts/1976313" title="https://access.redhat.com/blogs/766093/posts/1976313">https://access.redhat.co...ogs/766093/posts/1976313</a></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid81504:1Linux и CryptoPro 4.<div class="quote"><span class="quotetitle">Цитата:</span><blockquote># CP_PRINT_CHAIN_DETAIL=1 /opt/cprocsp/bin/amd64/cryptcp -copycert -dn "E=my@email.com" -df my.cer -der<br />CryptCP 4.0 (c) "Crypto-Pro", 2002-2017.<br />Command prompt Utility for file signature and encryption.<br /><br />The following certificate will be used:<br />RDN:*******Мыши сгрызли**********************************************<br />Valid from 16.01.2017 07:00:53 to 16.01.2018 07:10:53<br /><br />1.Find path for:<br /> Subject:'STREET="*****************************************"<br /> AltName:ALTNAME=<DIRECTORY_NAME><br /> Issuer:'E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=ru, S=76 /@>A;02A:0O >1;0ABL, L=/@>A;02;L, STREET=>A:>2A:89 ?@>A?5:B 4.12, OU=#4>AB>25@ONI89 F5=B@, O= ><?0=8O "5=7>@, CN=TENSORCA5'<br /><br />Found at store 0x1ae6bc0:<br /> Subject:'E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=ru, S=76 /@>A;02A:0O >1;0ABL, L=/@>A;02;L, STREET=>A:>2A:89 ?@>A?5:B 4.12, OU=#4>AB>25@ONI89 F5=B@, O= ><?0=8O "5=7>@, CN=TENSORCA5'<br /> Issuer:'INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 3. >A:20 C;. "25@A:0O 4.7, O=8=:><A2O7L >AA88, L=>A:20, S=77 3. >A:20, C=ru, CN=#& 1 ! #&'<br /><br />2.Find path for:<br /> Subject:'E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=ru, S=76 /@>A;02A:0O >1;0ABL, L=/@>A;02;L, STREET=>A:>2A:89 ?@>A?5:B 4.12, OU=#4>AB>25@ONI89 F5=B@, O= ><?0=8O "5=7>@, CN=TENSORCA5'<br /> Issuer:'INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 3. >A:20 C;. "25@A:0O 4.7, O=8=:><A2O7L >AA88, L=>A:20, S=77 3. >A:20, C=ru, CN=#& 1 ! #&'<br /><br />There is no valid issuer.<br />There is no valid issuer.<br />----------- Error chain -----------<br />Chain status:IS_PARTIAL_CHAIN<br />Revocation reason:unspecified<br />1. <br /> Subject:'E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=ru, S=76 /@>A;02A:0O >1;0ABL, L=/@>A;02;L, STREET=>A:>2A:89 ?@>A?5:B 4.12, OU=#4>AB>25@ONI89 F5=B@, O= ><?0=8O "5=7>@, CN=TENSORCA5'<br /> Issuer:'INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 3. >A:20 C;. "25@A:0O 4.7, O=8=:><A2O7L >AA88, L=>A:20, S=77 3. >A:20, C=ru, CN=#& 1 ! #&'<br /> Cert status:CERT_TRUST_NO_ERROR<br />2. <br /> Subject:'STREET="?@. OB8;5B>:, 3, 163", S=78 3. !0=:B-5B5@1C@3, L=!0=:B-5B5@1C@3, C=ru, G=20= ;048<8@>28G, SN=52=5@>2, CN=52=5@>2 20= ;048<8@>28G, T=?@54?@8=8<0B5;L, OU=0, O= 52=5@>2 20= ;048<8@>28G, UnstructuredName="INN=78*********", E=******, INN=******, OGRNIP=*******, SNILS=**********'<br /> AltName:ALTNAME=<DIRECTORY_NAME><br /> Issuer:'E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=ru, S=76 /@>A;02A:0O >1;0ABL, L=/@>A;02;L, STREET=>A:>2A:89 ?@>A?5:B 4.12, OU=#4>AB>25@ONI89 F5=B@, O= ><?0=8O "5=7>@, CN=TENSORCA5'<br /> Cert status:CERT_TRUST_NO_ERROR<br /><br />Certificate chain is not checked for this certificate:<br />RDN:************************************************************************************<br />Valid from 16.01.2017 07:00:53 to 16.01.2018 07:10:53<br /><br />Error: Certificate chain is not checked for this certificate (error code 10000):<br />/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:357: 0x20000133<br />Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?CC<br /><br />Error: Canceled by user.<br />/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:373: 0x20000066<br />[ErrorCode: 0x20000066]<br /><br /></div></div>2017-07-07T16:04:00+03:002017-07-07T16:04:00+03:00Evstafiev<div class="quote"><span class="quotetitle">Цитата:</span><blockquote># CP_PRINT_CHAIN_DETAIL=1 /opt/cprocsp/bin/amd64/cryptcp -copycert -dn "E=my@email.com" -df my.cer -der<br />CryptCP 4.0 (c) "Crypto-Pro", 2002-2017.<br />Command prompt Utility for file signature and encryption.<br /><br />The following certificate will be used:<br />RDN:*******Мыши сгрызли**********************************************<br />Valid from 16.01.2017 07:00:53 to 16.01.2018 07:10:53<br /><br />1.Find path for:<br /> Subject:'STREET="*****************************************"<br /> AltName:ALTNAME=<DIRECTORY_NAME><br /> Issuer:'E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=ru, S=76 /@>A;02A:0O >1;0ABL, L=/@>A;02;L, STREET=>A:>2A:89 ?@>A?5:B 4.12, OU=#4>AB>25@ONI89 F5=B@, O= ><?0=8O "5=7>@, CN=TENSORCA5'<br /><br />Found at store 0x1ae6bc0:<br /> Subject:'E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=ru, S=76 /@>A;02A:0O >1;0ABL, L=/@>A;02;L, STREET=>A:>2A:89 ?@>A?5:B 4.12, OU=#4>AB>25@ONI89 F5=B@, O= ><?0=8O "5=7>@, CN=TENSORCA5'<br /> Issuer:'INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 3. >A:20 C;. "25@A:0O 4.7, O=8=:><A2O7L >AA88, L=>A:20, S=77 3. >A:20, C=ru, CN=#& 1 ! #&'<br /><br />2.Find path for:<br /> Subject:'E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=ru, S=76 /@>A;02A:0O >1;0ABL, L=/@>A;02;L, STREET=>A:>2A:89 ?@>A?5:B 4.12, OU=#4>AB>25@ONI89 F5=B@, O= ><?0=8O "5=7>@, CN=TENSORCA5'<br /> Issuer:'INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 3. >A:20 C;. "25@A:0O 4.7, O=8=:><A2O7L >AA88, L=>A:20, S=77 3. >A:20, C=ru, CN=#& 1 ! #&'<br /><br />There is no valid issuer.<br />There is no valid issuer.<br />----------- Error chain -----------<br />Chain status:IS_PARTIAL_CHAIN<br />Revocation reason:unspecified<br />1. <br /> Subject:'E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=ru, S=76 /@>A;02A:0O >1;0ABL, L=/@>A;02;L, STREET=>A:>2A:89 ?@>A?5:B 4.12, OU=#4>AB>25@ONI89 F5=B@, O= ><?0=8O "5=7>@, CN=TENSORCA5'<br /> Issuer:'INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 3. >A:20 C;. "25@A:0O 4.7, O=8=:><A2O7L >AA88, L=>A:20, S=77 3. >A:20, C=ru, CN=#& 1 ! #&'<br /> Cert status:CERT_TRUST_NO_ERROR<br />2. <br /> Subject:'STREET="?@. OB8;5B>:, 3, 163", S=78 3. !0=:B-5B5@1C@3, L=!0=:B-5B5@1C@3, C=ru, G=20= ;048<8@>28G, SN=52=5@>2, CN=52=5@>2 20= ;048<8@>28G, T=?@54?@8=8<0B5;L, OU=0, O= 52=5@>2 20= ;048<8@>28G, UnstructuredName="INN=78*********", E=******, INN=******, OGRNIP=*******, SNILS=**********'<br /> AltName:ALTNAME=<DIRECTORY_NAME><br /> Issuer:'E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=ru, S=76 /@>A;02A:0O >1;0ABL, L=/@>A;02;L, STREET=>A:>2A:89 ?@>A?5:B 4.12, OU=#4>AB>25@ONI89 F5=B@, O= ><?0=8O "5=7>@, CN=TENSORCA5'<br /> Cert status:CERT_TRUST_NO_ERROR<br /><br />Certificate chain is not checked for this certificate:<br />RDN:************************************************************************************<br />Valid from 16.01.2017 07:00:53 to 16.01.2018 07:10:53<br /><br />Error: Certificate chain is not checked for this certificate (error code 10000):<br />/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:357: 0x20000133<br />Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?CC<br /><br />Error: Canceled by user.<br />/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:373: 0x20000066<br />[ErrorCode: 0x20000066]<br /><br /></div></div>urn:https:--www-cryptopro-ru:ftPosts:st1:meid81503:1Linux и CryptoPro 4.<table class="content postContainer_Alt" width="100%"><tr><td>Добрый день.<br />Установку базовых пакетов производили скриптом install.sh?<br />Переустановите CSP. <br />Выполните:<br /><div class="code"><strong>Код:</strong><div class="innercode"><pre class="line-numbers"><code class="language-bash"># ./uninstall.sh
# rm -rf /etc/opt/cprocsp/</code></pre>
</div></div><br /><br />Далее произведите установку:<br /><div class="code"><strong>Код:</strong><div class="innercode"><pre class="line-numbers"><code class="language-bash"># ./install.sh</code></pre>
</div></div><br /><br />Из дополнительных пакетов дистрибутива CSP установите минимальный набор, для проверки Вашего Rutoken S <br /><div class="code"><strong>Код:</strong><div class="innercode"><pre class="line-numbers"><code class="language-bash">cprocsp-rdr-gui-gtk-64-4.0.0-5.x86_64 (или cprocsp-rdr-gui-64-4.0.0-5.x86_64, если нужен)
cprocsp-rdr-pcsc-64-4.0.0-5.x86_64
ifd-rutokens-1.0.1-1.x86_64
cprocsp-rdr-rutoken-64-4.0.0-5.x86_64</code></pre>
</div></div><br /><br />Никаких дополнительных действий для добавления считывателей/носителей проводить не нужно. <br />Проверьте виден ли Rutoken S от пользователя, или только под root? <br /><br />Для того, чтобы строилась цепочка - в хранилище uRoot поставьте сертификат "Головного удостоверяющего центра", можно скачать с сайта <a rel="nofollow" href="https://e-trust.gosuslugi.ru/MainCA" title="https://e-trust.gosuslugi.ru/MainCA">https://e-trust.gosuslugi.ru/MainCA</a> <br /><br /><br /></td></tr></table>2017-07-07T15:09:41+03:002017-07-07T15:09:41+03:00Андрей Емельянов<table class="content postContainer_Alt" width="100%"><tr><td>Добрый день.<br />Установку базовых пакетов производили скриптом install.sh?<br />Переустановите CSP. <br />Выполните:<br /><div class="code"><strong>Код:</strong><div class="innercode"><pre class="line-numbers"><code class="language-bash"># ./uninstall.sh
# rm -rf /etc/opt/cprocsp/</code></pre>
</div></div><br /><br />Далее произведите установку:<br /><div class="code"><strong>Код:</strong><div class="innercode"><pre class="line-numbers"><code class="language-bash"># ./install.sh</code></pre>
</div></div><br /><br />Из дополнительных пакетов дистрибутива CSP установите минимальный набор, для проверки Вашего Rutoken S <br /><div class="code"><strong>Код:</strong><div class="innercode"><pre class="line-numbers"><code class="language-bash">cprocsp-rdr-gui-gtk-64-4.0.0-5.x86_64 (или cprocsp-rdr-gui-64-4.0.0-5.x86_64, если нужен)
cprocsp-rdr-pcsc-64-4.0.0-5.x86_64
ifd-rutokens-1.0.1-1.x86_64
cprocsp-rdr-rutoken-64-4.0.0-5.x86_64</code></pre>
</div></div><br /><br />Никаких дополнительных действий для добавления считывателей/носителей проводить не нужно. <br />Проверьте виден ли Rutoken S от пользователя, или только под root? <br /><br />Для того, чтобы строилась цепочка - в хранилище uRoot поставьте сертификат "Головного удостоверяющего центра", можно скачать с сайта <a rel="nofollow" href="https://e-trust.gosuslugi.ru/MainCA" title="https://e-trust.gosuslugi.ru/MainCA">https://e-trust.gosuslugi.ru/MainCA</a> <br /><br /><br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid81495:1Linux и CryptoPro 4.<table class="content postContainer" width="100%"><tr><td>Добрый день, отцы моих побед!<br /><br />Стоит задача в операционной системе Linux (точнее - Russian Fedora Remix 25) связать 1С:Бухгалтерия с CryptoPro на предмет подключения к ЭДО. КриптоПро, естественно, выбран последний на сегодняшний день (4.0.0-5, CSP (Type:80) v4.0.9016 KC1 Release Ver:4.0.9914 OS:Linux CPU:AMD64).<br />Для работы установлены следующие пакеты:<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote># rpm -qa | grep cprocsp<br />lsb-cprocsp-base-4.0.0-5.noarch<br />cprocsp-rdr-gui-gtk-64-4.0.0-5.x86_64<br />cprocsp-rdr-esmart-64-4.0.0-5.x86_64<br />cprocsp-rdr-novacard-64-4.0.0-5.x86_64<br />cprocsp-curl-64-4.0.0-5.x86_64<br />cprocsp-rdr-gui-64-4.0.0-5.x86_64<br />lsb-cprocsp-rdr-64-4.0.0-5.x86_64<br />cprocsp-rdr-inpaspot-64-4.0.0-5.x86_64<br />cprocsp-rdr-rutoken-64-4.0.0-5.x86_64<br />cprocsp-rdr-jacarta-64-3.6.408.676-4.x86_64<br />lsb-cprocsp-kc1-64-4.0.0-5.x86_64<br />cprocsp-rdr-emv-64-4.0.0-5.x86_64<br />cprocsp-rdr-mskey-64-4.0.0-5.x86_64<br />cprocsp-rdr-pcsc-64-4.0.0-5.x86_64<br />lsb-cprocsp-capilite-64-4.0.0-5.x86_64<br /></div></div><br /><br />И соответствующий драйвер RuToken'а. RuToken к компьютеру подключен:<br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>$ lsusb<br />................<br />Bus 001 Device 004: ID 0a89:0020 Aktiv Rutoken S<br />................<br /></div></div><br />Проблемы следующие - <br />А: КриптоПро видит контейнеры на RuTokene только если смотреть от рута. А именно:<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote># /opt/cprocsp/bin/amd64/csptest -card -enum -v -v<br />Aktiv Co. Rutoken S 00 00<br /> Card present, ATR=3B 6F 00 FF 00 56 72 75 54 6F 6B 6E 73 30 20 00 00 90 00 <br /> CSP-applet<br />Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,100 sec<br />[ErrorCode: 0x00000000]</div></div><br />Работать же в 1С будет никак не рут, а конкретный юзер. А вот этому юзеру RuToken ничего не отдаёт. А именно:<br />1. Юзер не может получить список подключенных считывателей:<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>$ /opt/cprocsp/bin/amd64/list_pcsc<br />ERROR: SCardEstablishContext()<br /></div></div><br />2. Юзер не может добавить считыватель:<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>$ /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add 'Aktiv Co. Rutoken S 00 00'<br />Adding new reader:<br />Nick name: Aktiv Co. Rutoken S 00 00<br />Adding Aktiv Co. Rutoken S 00 00 failed<br />Connection error.<br /></div></div><br />И так далее, вплоть до того, что он не может прочитать из рутокена сертификат и собственные ключи для подписи-шифрования. Всё это работает только от рута.<br /><br />B: Если работаем от рута, то, несмотря на то, что загружен СА центра сертификации в хранилище root, утилита подписывания пишет, что не может проверить цепочку подписания пользовательского сертификата. Пишет, что <br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Error: Certificate chain is not checked for this certificate (error code 10000):<br />/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:357: 0x20000133<br /></div></div><br /><br />и затем начинаются разного рода "разговоры". Конечно, ключик --nochain спасает, но это, все-таки не есть правильно. <br /><br />Это сертификат СА удостоверяющего центра:<br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote># /opt/cprocsp/bin/amd64/certmgr -list -cert -store uRoot<br />Certmgr 1.0 (c) "CryptoPro", 2007-2010.<br />program for managing certificates, CRLs and stores<br /><br /> /opt/cprocsp/bin/amd64/certmgr -list -cert -store uRoot<br />=============================================================================<br />1-------<br />Issuer : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ<br /><strong>Subject : E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=RU, S=76 Ярославская область, L=Ярославль, STREET=Московский проспект д.12, OU=Удостоверяющий центр, O=ООО Компания Тензор, CN=TENSORCA5</strong><br />Serial : 0x742524550003000007E9<br />SHA1 Hash : 69adfd7a4615cade5eae812c652d37c3275d0600<br />SubjKeyID : 3690170894ac83db31857a26fab5a6ea770ac0f1<br />Signature Algorithm : ГОСТ Р 34.11/34.10-2001<br />PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)<br />Not valid before : 14/11/2016 07:00:00 UTC<br />Not valid after : 14/11/2026 07:10:00 UTC<br />PrivateKey Link : No <br />CA cert URL : <a rel="nofollow" href="http://rostelecom.ru/cdp/vguc1_4.crt" title="http://rostelecom.ru/cdp/vguc1_4.crt">http://rostelecom.ru/cdp/vguc1_4.crt</a><br />CA cert URL : <a rel="nofollow" href="http://reestr-pki.ru/cdp/vguc1_4.crt" title="http://reestr-pki.ru/cdp/vguc1_4.crt">http://reestr-pki.ru/cdp/vguc1_4.crt</a><br />CDP : <a rel="nofollow" href="http://rostelecom.ru/cdp/vguc1_4.crl" title="http://rostelecom.ru/cdp/vguc1_4.crl">http://rostelecom.ru/cdp/vguc1_4.crl</a><br />CDP : <a rel="nofollow" href="http://reestr-pki.ru/cdp/vguc1_4.crl" title="http://reestr-pki.ru/cdp/vguc1_4.crl">http://reestr-pki.ru/cdp/vguc1_4.crl</a><br />===================================================<br /></div></div><br />Это - пользовательскимй сертификат:<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote># /opt/cprocsp/bin/amd64/certmgr -list -cert -store uMy<br />=============================================================================<br />1-------<br /><strong>Issuer : E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=RU, S=76 Ярославская область, L=Ярославль, STREET=Московский проспект д.12, OU=Удостоверяющий центр, O=ООО Компания Тензор, CN=TENSORCA5<br /></strong><br />.....................................<br />===============================================================================</div></div><br /><br />Скажите, что я неправильно делаю и где ошибаюсь?<br /><br />############<br /><br />Источник проблемы, вроде нарыл, pcscd сообщает, что:<br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>00011421 auth.c:137:IsClientAuthorized() Process 26371 (user: 1001) is NOT authorized for action: access_pcsc<br />00000170 winscard_svc.c:332:ContextThread() Rejected unauthorized PC/SC client<br /></div></div><br /><br />В общем, знатоки, выручайте, как настроить pcscd для того, чтобы он пускал юзера (1001) к девайсу, а не только рута?</td></tr></table>2017-07-07T12:43:42+03:002017-07-07T12:43:42+03:00Evstafiev<table class="content postContainer" width="100%"><tr><td>Добрый день, отцы моих побед!<br /><br />Стоит задача в операционной системе Linux (точнее - Russian Fedora Remix 25) связать 1С:Бухгалтерия с CryptoPro на предмет подключения к ЭДО. КриптоПро, естественно, выбран последний на сегодняшний день (4.0.0-5, CSP (Type:80) v4.0.9016 KC1 Release Ver:4.0.9914 OS:Linux CPU:AMD64).<br />Для работы установлены следующие пакеты:<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote># rpm -qa | grep cprocsp<br />lsb-cprocsp-base-4.0.0-5.noarch<br />cprocsp-rdr-gui-gtk-64-4.0.0-5.x86_64<br />cprocsp-rdr-esmart-64-4.0.0-5.x86_64<br />cprocsp-rdr-novacard-64-4.0.0-5.x86_64<br />cprocsp-curl-64-4.0.0-5.x86_64<br />cprocsp-rdr-gui-64-4.0.0-5.x86_64<br />lsb-cprocsp-rdr-64-4.0.0-5.x86_64<br />cprocsp-rdr-inpaspot-64-4.0.0-5.x86_64<br />cprocsp-rdr-rutoken-64-4.0.0-5.x86_64<br />cprocsp-rdr-jacarta-64-3.6.408.676-4.x86_64<br />lsb-cprocsp-kc1-64-4.0.0-5.x86_64<br />cprocsp-rdr-emv-64-4.0.0-5.x86_64<br />cprocsp-rdr-mskey-64-4.0.0-5.x86_64<br />cprocsp-rdr-pcsc-64-4.0.0-5.x86_64<br />lsb-cprocsp-capilite-64-4.0.0-5.x86_64<br /></div></div><br /><br />И соответствующий драйвер RuToken'а. RuToken к компьютеру подключен:<br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>$ lsusb<br />................<br />Bus 001 Device 004: ID 0a89:0020 Aktiv Rutoken S<br />................<br /></div></div><br />Проблемы следующие - <br />А: КриптоПро видит контейнеры на RuTokene только если смотреть от рута. А именно:<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote># /opt/cprocsp/bin/amd64/csptest -card -enum -v -v<br />Aktiv Co. Rutoken S 00 00<br /> Card present, ATR=3B 6F 00 FF 00 56 72 75 54 6F 6B 6E 73 30 20 00 00 90 00 <br /> CSP-applet<br />Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,100 sec<br />[ErrorCode: 0x00000000]</div></div><br />Работать же в 1С будет никак не рут, а конкретный юзер. А вот этому юзеру RuToken ничего не отдаёт. А именно:<br />1. Юзер не может получить список подключенных считывателей:<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>$ /opt/cprocsp/bin/amd64/list_pcsc<br />ERROR: SCardEstablishContext()<br /></div></div><br />2. Юзер не может добавить считыватель:<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>$ /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add 'Aktiv Co. Rutoken S 00 00'<br />Adding new reader:<br />Nick name: Aktiv Co. Rutoken S 00 00<br />Adding Aktiv Co. Rutoken S 00 00 failed<br />Connection error.<br /></div></div><br />И так далее, вплоть до того, что он не может прочитать из рутокена сертификат и собственные ключи для подписи-шифрования. Всё это работает только от рута.<br /><br />B: Если работаем от рута, то, несмотря на то, что загружен СА центра сертификации в хранилище root, утилита подписывания пишет, что не может проверить цепочку подписания пользовательского сертификата. Пишет, что <br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Error: Certificate chain is not checked for this certificate (error code 10000):<br />/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:357: 0x20000133<br /></div></div><br /><br />и затем начинаются разного рода "разговоры". Конечно, ключик --nochain спасает, но это, все-таки не есть правильно. <br /><br />Это сертификат СА удостоверяющего центра:<br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote># /opt/cprocsp/bin/amd64/certmgr -list -cert -store uRoot<br />Certmgr 1.0 (c) "CryptoPro", 2007-2010.<br />program for managing certificates, CRLs and stores<br /><br /> /opt/cprocsp/bin/amd64/certmgr -list -cert -store uRoot<br />=============================================================================<br />1-------<br />Issuer : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ<br /><strong>Subject : E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=RU, S=76 Ярославская область, L=Ярославль, STREET=Московский проспект д.12, OU=Удостоверяющий центр, O=ООО Компания Тензор, CN=TENSORCA5</strong><br />Serial : 0x742524550003000007E9<br />SHA1 Hash : 69adfd7a4615cade5eae812c652d37c3275d0600<br />SubjKeyID : 3690170894ac83db31857a26fab5a6ea770ac0f1<br />Signature Algorithm : ГОСТ Р 34.11/34.10-2001<br />PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)<br />Not valid before : 14/11/2016 07:00:00 UTC<br />Not valid after : 14/11/2026 07:10:00 UTC<br />PrivateKey Link : No <br />CA cert URL : <a rel="nofollow" href="http://rostelecom.ru/cdp/vguc1_4.crt" title="http://rostelecom.ru/cdp/vguc1_4.crt">http://rostelecom.ru/cdp/vguc1_4.crt</a><br />CA cert URL : <a rel="nofollow" href="http://reestr-pki.ru/cdp/vguc1_4.crt" title="http://reestr-pki.ru/cdp/vguc1_4.crt">http://reestr-pki.ru/cdp/vguc1_4.crt</a><br />CDP : <a rel="nofollow" href="http://rostelecom.ru/cdp/vguc1_4.crl" title="http://rostelecom.ru/cdp/vguc1_4.crl">http://rostelecom.ru/cdp/vguc1_4.crl</a><br />CDP : <a rel="nofollow" href="http://reestr-pki.ru/cdp/vguc1_4.crl" title="http://reestr-pki.ru/cdp/vguc1_4.crl">http://reestr-pki.ru/cdp/vguc1_4.crl</a><br />===================================================<br /></div></div><br />Это - пользовательскимй сертификат:<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote># /opt/cprocsp/bin/amd64/certmgr -list -cert -store uMy<br />=============================================================================<br />1-------<br /><strong>Issuer : E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=RU, S=76 Ярославская область, L=Ярославль, STREET=Московский проспект д.12, OU=Удостоверяющий центр, O=ООО Компания Тензор, CN=TENSORCA5<br /></strong><br />.....................................<br />===============================================================================</div></div><br /><br />Скажите, что я неправильно делаю и где ошибаюсь?<br /><br />############<br /><br />Источник проблемы, вроде нарыл, pcscd сообщает, что:<br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>00011421 auth.c:137:IsClientAuthorized() Process 26371 (user: 1001) is NOT authorized for action: access_pcsc<br />00000170 winscard_svc.c:332:ContextThread() Rejected unauthorized PC/SC client<br /></div></div><br /><br />В общем, знатоки, выручайте, как настроить pcscd для того, чтобы он пускал юзера (1001) к девайсу, а не только рута?</td></tr></table>