Jump to content
Калькуляторы

Привет всем.
Срок действия сертификата ЭЦП подходит к концу, следовательно и действие моей pkcs12 скоро также закончится. Уже не помню как и каким образом я получил эту открепленную подпись и от этого только хуже. Решил попробовать одну из софтин в интернете, но ее стоимость - 3К в год. Собственно это меня не радует и вопрос встает сам собой. Есть ли возможность получить pkcs12 бесплатно из контейнера CSP или каким-то еще образом? Как-то не хочется отдавать 3К за ПО, которым я в лучшем случае 2 раза в год воспользуюсь. Может есть какие решения?

Спасибо.

 

P.S. Просьба не советовать мне покупать ПО за 3000 мотивируя это тем, что штраф дороже. Я и так слишком много отдаю своей стране.

Edited by default_vlan

Share this post


Link to post
Share on other sites

Если для выгрузки РКН, то вот уже много лет подписывается 1 запрос в год на другой машине и кормится в РКН этот подписанный  запрос.. Я вообще в руках ключа не держал и даже его не видел ни  разу. директор получил ключ, подписал готовый файл запроса и подпись отдал мне.. повторять раз в 365 дней. 

Share this post


Link to post
Share on other sites
21 минуту назад, st_re сказал:

Если для выгрузки РКН, то вот уже много лет подписывается 1 запрос в год

У меня такое не получилось и мы за это огребли.

Share this post


Link to post
Share on other sites
1 час назад, default_vlan сказал:

У меня такое не получилось и мы за это огребли.

Что не получилось ?

Share this post


Link to post
Share on other sites
44 минуты назад, st_re сказал:

Что не получилось ?

 Ну вечные хождения по граблям, описано многократно здесь. Пусть автор поиском пользуется....

Share this post


Link to post
Share on other sites
2 часа назад, st_re сказал:

Что не получилось ?

Фокус такой не удался.

 

2 часа назад, YuryD сказал:

Пусть автор поиском пользуется....

Мне гугл не помог, а вы о поиске по форуму(((

Share this post


Link to post
Share on other sites
1 час назад, default_vlan сказал:

Фокус такой не удался.

 

 

Како фокус то ? запихивать одинажды подписанный реквест каждый раз вместо подписывать каждый раз ? Ну да, таки бином ньютона для нечеловеческого разума....

купите вынималку за 3000р и не парьтесь....

Share this post


Link to post
Share on other sites
2 часа назад, default_vlan сказал:

Фокус такой не удался.

 

Мне гугл не помог, а вы о поиске по форуму(((

я подтверждаю, работает.

не факт конечно что будет всегда работать. Надо на мониторинг поставить успешность обновлений

 

Share this post


Link to post
Share on other sites
6 часов назад, LostSoul сказал:

я подтверждаю, работает.

не факт конечно что будет всегда работать. Надо на мониторинг поставить успешность обновлений

 

 Ну значит мне одному не везет, из рчц предупреждают заранее, что эцп скоро протухнет. Ну и подписать можно и протухшей, только вот на той стороне такой запрос от меня отвергают.

Share this post


Link to post
Share on other sites
7 часов назад, st_re сказал:

запихивать одинажды подписанный реквест каждый раз вместо подписывать каждый раз ?

Именно. 
Я такое делал и получил предписание для устранения. Я уже писал об этом в других ветках форума.

 

7 часов назад, st_re сказал:

купите вынималку за 3000р и не парьтесь

Бесплатных решений на базе openssl и чего-то подобного не бывает?

Share this post


Link to post
Share on other sites
38 минут назад, default_vlan сказал:

Именно. 
Я такое делал и получил предписание для устранения. Я уже писал об этом в других ветках форума.

 

Бесплатных решений на базе openssl и чего-то подобного не бывает?

есть openssl с гост.   представитель компании , выпускающей пакеты тут на форуме сидит.

они вроде бы есть с коммерческой поддержкой, а есть и бесплатный вариант ( без поддержки )

 

 

54 минуты назад, YuryD сказал:

Ну значит мне одному не везет, из рчц предупреждают заранее, что эцп скоро протухнет. Ну и подписать можно и протухшей, только вот на той стороне такой запрос от меня отвергают.

ну так это наверное робот делает.

просто меняй файл запроса вовремя

 

Share this post


Link to post
Share on other sites
1 час назад, LostSoul сказал:

выпускающей пакеты тут на форуме сидит.

Можете его контакт дать?
Спасибо.

Share this post


Link to post
Share on other sites
6 часов назад, default_vlan сказал:

Именно. 
Я такое делал и получил предписание для устранения. Я уже писал об этом в других ветках форума.

 

 

Устранения ЧЕГО ? подпись валидна с-по. запрос подписан в этом периоде, период еще не кончился, проверка подписи проходит, ключ выдан на компанию с верным ИНН, есть живая лицензия на соотв. услуги для получения выгрузки.. Что устранять то предполагается? Да, за сертификатом своим надо следить и перевыпускать заранее и заранее подписывать новый реквест. раз в году руками и класть куда надо, ДО окончания действия старого. Если вы пропускаете дату, ну да, проблема, точно такая же как и то, что ваш ключ просто протух и вы не смогли им подписать новый запрос, или подписали когда не протух, но пытаетесь получить выгрузку после даты протухания. что так что так вы не получите выгрузку, не отметитесь в их системе, что выгрузка получена и (т.к. выгрузка просрочена) у вас будут пропуски по новый ресурсам. У меня есть чекалка в нагиосе (тупо дата валидности купленного сертификата в конфиге вписана руками, -30 дней до неё варнинг и -15 критикал, чтобы не забыть.). Но это не единственный способ не забыть перевыпустить сертификат. Вон, в телефон вписать будильник за 2 недели до срока

 

 

Share this post


Link to post
Share on other sites
1 час назад, st_re сказал:

Устранения ЧЕГО ?

того, что в запросе некорректная метка времени?

В их инструкции написано что метка должна быть актуальная.

 

скорее всего, многократная передача одинаковых данных снижает криптостойкость канала ну и прочие заморочки.

Если вы в ноябре шлете запрос с меткой времени от января , то явно тут что-то не так.

У них просто руки в РКН не дошли отказывать на запросы с меткой времени старше 10 минут, или там дважды по одной и той же метке не выдавать.

 

 

5 часов назад, default_vlan сказал:

Можете его контакт дать?

я не помню.

по в гугле есть куча инфы по словам openssl gost

https://www.altlinux.org/ГОСТ_в_OpenSSL

 

а по словам openssl gost nag вы вероятно отыщите и сотрудника.

 

Share this post


Link to post
Share on other sites
9 часов назад, LostSoul сказал:

ну так это наверное робот делает.

просто меняй файл запроса вовремя

 

 Им пофиг наверное на время в файле запроса, а подпись в запросе проверяют, и если она протухла - сразу отлуп. Про платную экспортилку я писал, купить несложно электронно, действует год, практически можно воспользоваться дважды, если новую эцп пораньше перевыпустить.

Share this post


Link to post
Share on other sites
13 минут назад, YuryD сказал:

 Им пофиг наверное на время в файле запроса,

роботу пока пофиг. а если сотрудник вручную смотрел по какой-то надобности то вполне мог сделать ай-ай-ай

Share this post


Link to post
Share on other sites
2 часа назад, LostSoul сказал:

того, что в запросе некорректная метка времени?

В их инструкции написано что метка должна быть актуальная.

 

скорее всего, многократная передача одинаковых данных снижает криптостойкость канала ну и прочие заморочки.

Если вы в ноябре шлете запрос с меткой времени от января , то явно тут что-то не так.

У них просто руки в РКН не дошли отказывать на запросы с меткой времени старше 10 минут, или там дважды по одной и той же метке не выдавать.

 

 

 

где прочитать про 10 минут ? в моем понимании запрос сгенерирванный в период действия подписи - актуален. пока никто не напишет в иструкции какогото другого диапазона или... а 10 минут, там запросы то временами дольше обрабатываются. пускай тогда крестик снимают...

 

А так, дальше можно слать всех кто подписывает опенсслем, т.к. оно не сертифицировано вообще. и с точки зрения закона оно просто не подпписано и не шифровано, если сертификата на средства нетути. А серверный лицензии на тот же криптопро уже не 3000 а 30к..

Share this post


Link to post
Share on other sites
1 минуту назад, st_re сказал:

где прочитать про 10 минут ? в моем понимании запрос сгенерирванный в период действия подписи - актуален. пока никто не напишет в иструкции какогото другого диапазона или... а 10 минут, там запросы то временами дольше обрабатываются. пускай тогда крестик снимают...

 

 Прочитать нигде, проверить можно. Подписать и через n минут отправить запрос. Если примут - то нет ограничений. Могу и сам проверить, но завтра.

Share this post


Link to post
Share on other sites

В инструкции вот тут ,   https://vigruzki.rkn.gov.ru/docs/description_for_operators_actual.pdf

 

написано следующее

 

Цитата

Оператор связи формирует xml-файл запроса на получение выгрузки в формате: 2012-01-01T01:01:01.000+04:00 Наименование оператора 1234567890 1234567890123 email@email.ru requestTime – дата и время формирования запроса с указанием временной зоны;

 

 

и далее чуть ниже

 

Цитата

В качестве параметров передаются файл запроса и файл подписи, сформированные на этапах 1-2. В ответ метод возвращает статус обработки запроса (принят или не принят), а также уникальный текстовый код, присвоенный данному запросу – в случае его принятия. 

Исходя из моей логики чтения технических документов , тут вполне понятно написано, что запрос должен быть уникальным.

А не одним и тем-же , раз за разом.

Хотя, конечно, прямого запрета использовать один и тот же заранее подготовленный файл запроса буквально не прописано.

 

Но лично я эти требования понимаю так , нужно формировать уникальные запросы с актуальной датой.

 

Share this post


Link to post
Share on other sites
41 минуту назад, LostSoul сказал:

Исходя из моей логики чтения технических документов , тут вполне понятно написано, что запрос должен быть уникальным.

А не одним и тем-же , раз за разом.

 

 Расширенно трактуете. Ответ с кодом от них - уникальный, по нему затем забираются результаты.

 Отсюда несколько выводов. 1. Зная код ответа, результат(выгрузку) сможет получить любой желающий(эцп не требуется). 2. Выгрузка будет засчитана только подписанту запроса по факту принятия запроса. 3. Неявный результат разглашения кода последнего запроса дает возможность получит доступ к личному кабинету ревизора :) (Это они сами рекомендуют такой способ попадания в свой ЛК первый раз :)

Share this post


Link to post
Share on other sites

Блин, у меня тоже P12FromGostCSP перестал работать - на новом сертификате крашится.

Чего вы тут - просто подписываете на машине с Крипто-Про ? Надо тоже попробовать.

 

UPD:

я подписал крипто-прошной утилитой (требуется установленный Крипто-Про):

https://www.cryptopro.ru/products/other/cryptcp

 

утилита

https://www.cryptopro.ru/sites/default/files/products/cryptcp/5.0.10804/cryptcp.x64.exe

временная лицензия (на странице дают)

https://www.cryptopro.ru/sites/default/files/products/cryptcp/licence.pdf

 

Пример запуска (сертификат берётся из "Личного" хранилища пользователя)

cryptcp.x64.exe -sign request.xml -der [-q]

 

На выходе request.xml.sig

 

Тут проверяется, что .sig нормальный https://www.gosuslugi.ru/pgu/eds/

 

Выгрузка забирается

Share this post


Link to post
Share on other sites
26 минут назад, Urs_ak сказал:

Блин, у меня тоже P12FromGostCSP перестал работать - на новом сертификате крашится.

Чего вы тут - просто подписываете на машине с Крипто-Про ? Надо тоже попробовать.

 Дедушка старый, мне пох... До перевыпуска по осени еще надо дожить, а там и лиссисофт что-нибудь продаст... Главное чтобы патчи в openssl были. Создать один раз подписанный запрос - это конечно идея. Проверить из дома понятно не смогу, но завтра, под страхом айяй - ну были демоны, самоликвидировались, попытаюсь проверить....

 

 Про криптопро - она немного бесплатна даже, только столько в винду пихает, что вернуть её в бесплатное состояние непросто. Хинт- или создайте образ, или кочку восстановления системы, с бакапом своего.

Share this post


Link to post
Share on other sites
4 часа назад, YuryD сказал:

 Прочитать нигде, проверить можно. Подписать и через n минут отправить запрос. Если примут - то нет ограничений. Могу и сам проверить, но завтра.

еще раз по буквам. у меня это работет, с какого там нам придумали эту развлекуху, 2014, кажется, года, или раньше, но в общем с самого начала. Было подписано ровно столько раз сколько покупалось ключей на 1 год каждый. подписано 1 раз свеже полученным ключем лично директором, оба файла положены на сервере и скармливаются каждый цикл забора весь оставшийся год без какого либо изменения как файла запроса, так и оторванной подписи. Сейчас успешно, судя по новым дампам, отдается запрос подписанный в июле 2018. В июле планируется операцию повторить снова, т.е получить ключ, подписать, пользоваться результатами пожписи следующий год. На сервере забирающем выгрузки слова ГОСТ вообще не знают. И закрытого ключа там отродясь небыло.

 

Ну в общем я не настаиваю.. можно дальше искать, чем выгружать.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now