Пакет программ для *nix подобных систем

20 янв 2018 17:27 #6565 от Blaze
Да, ошибка хранилища сертификатов пропала - спасибо rpm установочному скрипту. Скрипт демона переписать не проблема.

Вопрос к знатокам, что такое ключевое хранилище (ключевой контейнер) и что он из себя представляет?
У меня есть root.p7b (Уполномоченный Удостоверяющий Центр 2017) и user.cer (Сертификат Администратора Абоненттского пункта), а так же сертификаты пользователей СУФД вида ФИО.cer и контейнеры к ним вида abcdefgh.000 и abcdefgh.001 (этими сертификатами пользователи подписывают документы в СУФД)

Попробовал настроить в командной строке
cts add profile -name guest -server здесь_ip_адресс_сервера_доступа -cert_path /путь/к/сертификату/user.cer -user guest
Выдает
Обновить - 0
/mnt/sdc1 - 1
System - 2
Выберите ключевое хранилище: 2
Выберите ключевой контейнер: 2
Выберите ключевой контейнер: 2
Выберите ключевой контейнер: 1
в итоге не дает выбрать ключевой контейнер - так можно выбирать бесконечно.

0 - Обновить
1 - это USB-флешка
2 - это Локальное хранилище

Такая же история и в графическом интерфейсе КонтинентАП (скриншот см. в предыдущих сообщениях)

Если ввести команду cts --help подсказка такая:
Программа управления Континент-АП. 
Версия: 3.7.5-220
© ООО "Код Безопасности", 2008-2017. Все права защищены.
http://www.securitycode.ru 
support@securitycode.ru  
Список команд
         connect [auto] [-profile <NAME>] [-pass <PASSWD>]
         disconnect [-profile <NAME>] [-server <IP_ADDRESS>]
         request
         import
         events [-cat [INFO],[ERROR],[DEBUG] ] [-from dd.mm.yyyy:hh:mm:ss] [-to dd.mm.yyyy:hh:mm:ss] [-user <USERNAME>]
         show profile [-name <REG_EXP>] [-server <REG_EXP>] [-user <USERNAME>]
         show cert [-cert_type { user| ca }] [-subject_cn <REG_EXP>] [-subject_o <REG_EXP>] [-hide_expired] [-issuer_cn <REG_EXP>] [-issuer_o <REG_EXP>] [-user <USERNAME>]
         show parameter [-user <USERNAME>]
         show stats [-server <IP_ADDRESS>] [-user <USERNAME>]
         show all [-user <USERNAME>]
         version
         setparam [-mtu <DEF_MTU>] [-sp <SERVER_PORT>] [-lp <LOCAL_PORT>] [-ctc <DEF_CONNECT_TRY_COUNT {0-99}>] [-cti <DEF_CONNECT_TRY_INTERVAL_IN_SEC {1|3|5|10|30|60|120|300|600}>] [-rol <DEF_RECONNECT_ON_LOSS {0-99}>] [-dot {off | <TIMEOUT_IN_SEC {0|60|300|600|1200|1800|3600|7200|14400|28800|86400}>}] [-defprof <DEF_PROFILE> -pass <DEF_PASSWORD>[ -pin <DEF_PIN>]] [-ks {SYSTEM | RUTOKEN}] [-user <USERNAME>]
         resetparam [-user <USERNAME>]
         add profile -name <NAME> -server <SERVER_ADDRESS> -cert_path <USER_CERTIFICATE_PATH> -user <USERNAME> [-sp <SERVER_PORT>] [-lp <LOCAL_PORT>] [-mtu <MTU>] [-ctc <CONNECT_TRY_COUNT {0-99}>] [-cti <CONNECT_TRY_INTERVAL_IN_SEC {1|3|5|10|30|60|120|300|600}>] [-rol {on | off}] [-dot {off | <TIMEOUT_IN_SEC {0|60|300|600|1200|1800|3600|7200|14400|28800|86400}>}] [-proxy_ip <PROXY_ADDRESS> -proxy_port <PROXY_PORT> -proxy_auth {no|basic|ntlm} -proxy_login <PROXY_LOGIN> -proxy_pass <PROXY_PASSWORD>]
         modify profile -name <NAME> -user <USERNAME> [-server <SERVER_ADDRESS>] [-cert_path <USER_CERTIFICATE_PATH>] [-sp <SERVER_PORT>][-lp <LOCAL_PORT>] [-mtu <MTU>] [-ctc <CONNECT_TRY_COUNT {0-99}>] [-cti <CONNECT_TRY_INTERVAL_IN_SEC {1|3|5|10|30|60|120|300|600}>] [-rol {on | off}] [-dot {off | <TIMEOUT_IN_SEC {0|60|300|600|1200|1800|3600|7200|14400|28800|86400}>}] [-proxy_ip {<PROXY_ADDRESS>|off} -proxy_port <PROXY_PORT> -proxy_auth {no|basic|ntlm} -proxy_login <PROXY_LOGIN> -proxy_pass <PROXY_PASSWORD>]
         del profile -name <NAME> -user <USERNAME>
         del server -name <NAME>
         show serverlist
         add cert -cert_type {ca | as} -cert_path <CERTIFICATE_PATH>
         del cert -cert_type ca -subject_cn <REG_EXP>|-subject_o <REG_EXP>|-hide_expired|-issuer_cn <REG_EXP>|-issuer_o <REG_EXP>
В интернете нашел инструкцию Руководство администратора Linux Континент-АП 3.6

На 21 странице есть синтаксис ключей:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

01 фев 2018 20:48 #6664 от Никто не
Вот тут посмотри в документации к этой сборке files.apksh.net/s/docs?path=%2FСКЗИ%20Ко...%2F3.7.5.520%20(ФСБ)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

03 фев 2018 16:56 - 04 фев 2018 09:51 #6678 от Blaze
Большое спасибо за документацию!
Стало понятно в чем проблема. Сделанный мной ниже вывод может быть ошибочным.
Ключевой контейнер нужно генерировать с помощью Континет-АП 3.7 для Linux, или наше ТОФК, при создании запроса на новый сертификат, сгенерировало ключевой контейнер в старой версии Континет-АП. Проще говоря , нужно заново в Континет-АП 3.7 для Linux сгенерировать req запрос, заявку и ключевой контейнер. После чего ТОФК выдаст сертификат на основе req запроса и заявки.
Далее связываем сертификат с ключевым контейнером, настраиваем Континент-АП и работаем. А у меня выходит, что ключевой контейнер создан в старой версии Континент АП и поэтому у меня нет возможности полностью протестировать работоспособность Континет-АП 3.7 для Linux.

Казначейство выдало такой ключевой контейнер
abcdefgh.001
|-- header.key
|-- masks.key
|-- masks2.key
|-- name.key
|-- primary.key
`-- primary2.key
а так же user.cer и root.p7b

У Континет-АП 3.7 для Linux ключевой контейнер имеет другую структуру (о чем речь пойдет ниже).

Добавил корневой сертификат без проблем
cts add cert -cert_type ca -cert_path /tmp/root.p7b
Создаю запрос на новый сертификат и сохраняю его на флешку
cts request
Для создания запроса сертификата введите, пожалуйста, данные о пользователе: 
Имя сотрудника: Test
Организация: Test
Подразделение: Test
Регион: 48
Город: Test
e-mail: test@mail.ru
Криптопровайдер (s - Код Безопасности (по умолчанию) / c - Код Безопасности (режим совместимости с СД 3.6)):c
Формат файла запроса (d - DER / p - PEM):d
Укажите имя файла для запроса (.req): test
Сохранить копию запроса в печатной форме (y/n)?y
Обновить - 0
/mnt/sdc1 - 1
System - 2
Выберите ключевое хранилище: 1
Установите  пароль: 
Слишком короткий пароль (<6 символов) 
Установите  пароль: 

Генератор случайных чисел готов
Создание запроса...
Создание запроса успешно завершено




На USB Флешке создается ключевой контейнер
/mnt/sdc1/.cts
`-- key
    `-- 0000
        `-- key
внутри файла key
y>a░0_╢МЫ╡Лcр╢■▄ЫQI]ш'E°!╡Щ∙═BКЧr/Б┼?к\;[4SSkwн(вРокLcДа;тт∙Яb3╖YЁ5╧фе
TuЬ4LГё∙w╠?Р=KLф┼ЯЁRH/#╦1е╢┘╝iвMйtest_03_02_2018__18_43_58
и два файла
test.html - заявка
test.req - файл запроса

Добавляю профиль
cts add profile -name здесь_имя_профиля -server здесь_ip_адресс_сервера_доступа -cert_path /пудь/до/user.cer -user здесь_имя_пользователя_операционной_системы
Обновить - 0
/mnt/sdc1 - 1
System - 2
Выберите ключевое хранилище: 1
test_03_02_2018__18_43_58 - 1
Выберите ключевой контейнер: 1
Введите  пароль ключевого контейнера: 
Ошибка проверки сертификата на ключе
Если я копирую свой ключевой контейнер abcdefgh.001 в /mnt/sdc1/.cts/key/ - он не видется (не отображается в списке ключевых контейнеров)





Кстати, может кому будет полезно - ключевые контейнеры хранятся
USB-накопитель /mnt/sd**/.cts/key/
Локальное хранилище ~/.cts/key/

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

04 фев 2018 08:14 - 04 фев 2018 08:19 #6679 от Alex67

Blaze пишет: Казначейство выдало такой ключевой контейнер .....
а так же user.cer и root.p7b

У вас казначейство генерит контейнеры и запросы для КАП?
Чудеса.
Обычно клиент сам генерит контейнер и запрос req
Предоставляет запрос в казначейство и получает файлы user.cer и root.p7b

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

04 фев 2018 09:58 - 04 фев 2018 10:00 #6680 от Blaze
Пардон, уточнил у коллеги - он генерировал контейнер и запрос в Континент-АП 3.3.15.6 (в Microsoft Windows Server 2003 R2 SP2 Standart)
Абонентский пункт 
Версия 3.3.15.6
(С) 1998-2007 НИП "Информзащита"
На флешке передавал контейнер, req запрос, заполненную форму с подписями и печатью.
Поле чего он получил от ОРФК файлы user.cer и root.p7b для администратора абонентского пункта.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

04 фев 2018 10:41 #6681 от Alex67
Про перенос контейнера с Windows на Linux есть здесь:
Перенос контейнера с Win на Linux

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

05 фев 2018 06:59 #6684 от Blaze

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

05 фев 2018 07:29 - 05 фев 2018 07:40 #6685 от Alex67
3,3 как бы староват. Вроде ж казна 3,5 раздавала?
Есть такие версии КАП которые при создании ключа по умолчанию делают его неэкспортируемым.
Как раз именно 3,3 версия этим страдает.
А вот можно или нет в 3,3 при создании ключа по кнопке "подробно" либо "Детали" установить соответствующую галочку
v Экспортируемый закрытый ключ
я не помню

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

08 авг 2018 10:55 #8222 от Blaze
Похоже, что Континент-АП под Linux читает только контейнеры сгенерированные с помощью встроенного СЗИ Security CSP в Континент-АП, а КриптоПРО-шные не читает.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

28 март 2019 15:17 - 28 март 2019 15:20 #11574 от Blaze

ОФИЦИАЛЬНО!
______________________

Доводим до Вашего сведения, что в ПУ СД версии 3.7 нет возможности использовать сертификаты, сделанные на УЦ КриптоПро по 2012 ГОСТу. Эта возможность появится на СД в версии 4.

В случае необходимости использовать квалифицированные сертификаты, предлагаем использовать ГОСТ 2001 до конца 2019 года, с последующим обновлением АП и СД до версии 4.

Так же обращаем Ваше внимание, что согласно письму ФСБ РФ от 07.09.2018 №149/7/6-363 возможность использования схемы электронной подписи, соответствующей ГОСТ Р 34.10-2001, продлевается до 31.12.2019. Таким образом, можно оставаться на 2001 ГОСТ до конца 2019 года.

С самим уведомлением о переходе на 2012 ГОСТ Вы можете ознакомится по ссылке ниже:

sc.minsvyaz.ru/m..._perehoda_GOST2012_1.pdf


С уважением, Смирнов Дмитрий

Служба вендорской поддержки

Компании «Код Безопасности»

Континент АП под линуксом работает, но на своём криптопровайдере т.е. старые сертификаты сделанные на криптопро не подойдут. Ключи можно генерить в любой ОС но с криптопровайдером "Код безопасности"

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

28 март 2019 15:24 - 28 март 2019 15:24 #11575 от Alex67

Blaze пишет: Континент АП под линуксом работает, но на своём криптопровайдере т.е. старые сертификаты сделанные на криптопро не подойдут. Ключи можно генерить в любой ОС но с криптопровайдером "Код безопасности"

Ну, хоть какая то польза от добровольно-принудительного перехода на ихний криптопровайдер:
КАП+ КРИПТОПРОЭЦПБРАУЗЕРПЛАГИН=СУФД ??

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

28 март 2019 19:14 #11579 от Blaze
еще + СКЗИ КриптоПро CSP 5.0 = СУФД

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

11 июль 2019 18:36 #12872 от pilot_ffffff

Татьяна Савина пишет: Вот тут есть различные дистрибутивы под Linux

сейчас где можно найти дистрибутив под линукс?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

11 июль 2019 18:40 - 11 июль 2019 18:40 #12873 от Wmffre

pilot_ffffff пишет:

Татьяна Савина пишет: Вот тут есть различные дистрибутивы под Linux

сейчас где можно найти дистрибутив под линукс?

Посмотрите здесь .
Спасибо сказали: pilot_ffffff, клейпучка

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 июль 2019 07:54 #12969 от клейпучка
По какой-то странной причине на виртуальной машине под управлением Hyper-V Континент АП при создании профиля не видит контейнеров ни на одном из хранилищ. При этом если проводить процедуру импорта контейнера, то всё проходит идеально: файлы где надо появляются.
Испытал на всех представленных здесь версиях Континента. Брал дистрибутивы Debian и АльтЛинук версий х64. На испытательном стенде под VirtualBox`ом всё работает идеально.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.