ps/2 Опубликовано 9 января, 2016 · Жалоба Я запрашиваю у местного филиала ркн любопытно было б поиспользовать непосредственно механизм, которым контролируют Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
WhatTHE Опубликовано 13 января, 2016 · Жалоба Коллегам привет! Прошу помощи! Только получил новый EToken (продлил), и уже проблемы с получением PFX для конвертации в PEM. В месте где получал, говорят что там новый алгоритм или что-то еще изменилось в моем новом ключе. До этого конвертил утилитой P12FromGostCSP и проблем в прошлых годах не было. Сейчас она мне не помогает - PFX после конвертации этой утилитой теперь спрашивает всегда пароль, даже если его нет. Во общем, я с получением PFX в ступоре, может кто даст совет как действовать? Уже 3 дня бьюсь над вопросом, а старый ключ на днях прикажет долго жить и лапа РКН нависнет надо мной. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 13 января, 2016 · Жалоба конвертил утилитой P12FromGostCSP, 3 дня бьюсь над вопросом, а старый ключ на днях прикажет долго жить и лапа РКН нависнет надо мной А более банальные способы на 15 минут, типа скачать криптоарм и подписать с его помощью, не катят? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 14 января, 2016 · Жалоба Сейчас она мне не помогает - PFX после конвертации этой утилитой теперь спрашивает всегда пароль, даже если его нет. Я всегда экспортировал PFX с паролем, а переводил в PEM и подписывал с помощью сборки OpenSSL, в которой есть поддержка алгоритма ГОСТ. Можно попробовать так. Вот скрипт: #!/bin/sh ### Модуль для формирования закрытого ключа # Базовый каталог ERDI_BASE="/srv/erdi" # Полный путь к OpenSSL ERDI_SSL="${ERDI_BASE}/openssl/bin/openssl" # Полный путь к закрытому ключу сертификата ERDI_KEY="${ERDI_BASE}/key/provider.pem" echo "Create PEM private key from PKCS#12" if [ -z "$1" ]; then # Если запускается без параметров, выбрать последний pfx-файл pushd `dirname "${ERDI_KEY}"` >/dev/null FILE="`ls -br1 *.pfx | head -1`" FILE="`dirname "${ERDI_KEY}"`/$FILE" popd >/dev/null echo "Last version PKCS#12: $FILE" else # Если заданы аргументы, то использовать указанный в аргементах файл FILE="$1" echo "Current PKCS#12: $FILE" fi # Сгенерировать новый PEM-файл [ -e "${ERDI_KEY}" ] && rm -f "${ERDI_KEY}" "${ERDI_SSL}" pkcs12 -in "$FILE" -out "${ERDI_KEY}" -nodes -clcerts [ -e "${ERDI_KEY}" ] || { echo "Fail, file ${ERDI_KEY} not exists"; exit 1; } # Назначить права доступа на закрытый ключ chown autoerdi:autogrp "${ERDI_KEY}" chmod 400 "${ERDI_KEY}" При конвертации вручную вбивается пароль. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
WhatTHE Опубликовано 14 января, 2016 (изменено) · Жалоба Сейчас она мне не помогает - PFX после конвертации этой утилитой теперь спрашивает всегда пароль, даже если его нет. Я всегда экспортировал PFX с паролем, а переводил в PEM и подписывал с помощью сборки OpenSSL, в которой есть поддержка алгоритма ГОСТ. Можно попробовать так. Вот скрипт: #!/bin/sh FILE="`dirname "${ERDI_KEY}"`/$FILE" "${ERDI_SSL}" pkcs12 -in "$FILE" -out "${ERDI_KEY}" -nodes -clcerts [ -e "${ERDI_KEY}" ] || { echo "Fail, file ${ERDI_KEY} not exists"; exit 1; } # Назначить права доступа на закрытый ключ chown autoerdi:autogrp "${ERDI_KEY}" chmod 400 "${ERDI_KEY}" При конвертации вручную вбивается пароль. Спасибо за ответ. Но проблема только в экспорте PFХ. Как PEM получить - это дело давно решено. Я не могу никакими средствами получить нормальный PFХ, хоть с паролем, хоть без! То что получается при конвертации в PEM из PFХ получаемого сейчас, имеет внутри только строку: Bag Attributes localKeyID: 01 00 00 00 friendlyName: RaUser-0fe8ecff-ed04-4fa5-9b87-f033314eb9aa Microsoft CSP Name: Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider Ни ключа, ничего внутри нет.(( Значит сам PFХ какой-то не такой. Год назад все получалось на раз. Как и чем вы конвертируете в PFХ? Ключ обновляли в этом году? конвертил утилитой P12FromGostCSP, 3 дня бьюсь над вопросом, а старый ключ на днях прикажет долго жить и лапа РКН нависнет надо мной А более банальные способы на 15 минут, типа скачать криптоарм и подписать с его помощью, не катят? Банальные не катят, во всяком случае сейчас. Хоть КриптоПро, хоть КриптоАрм, это без разницы. Они используют один и тот же встроенный в винды мастер экспорта сертификатов. И PFХ полученный этим способом не хочет корректно конвертироваться в PEM. Как будто у PFХ сменился формат. Изменено 14 января, 2016 пользователем WhatTHE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
WhatTHE Опубликовано 14 января, 2016 · Жалоба Спасибо всем. Решил таки проблему. Новый ключ надо было без пароля экспортировать, и только с помощью P12FromGostCSP (винды не дают без пароля экспортировать). С паролем ничего не выходило. Ладно, будем ждать следующего года с его сюрпризами.) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 14 января, 2016 · Жалоба Спасибо всем. Решил таки проблему. Новый ключ надо было без пароля экспортировать, и только с P12FromGostCSP (винды не дают без пароля экспортировать). С паролем ничего не выходило. Странно, в декабре всё как обычно делал, с паролем, всё ок прошло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
WhatTHE Опубликовано 14 января, 2016 · Жалоба Спасибо всем. Решил таки проблему. Новый ключ надо было без пароля экспортировать, и только с P12FromGostCSP (винды не дают без пароля экспортировать). С паролем ничего не выходило. Странно, в декабре всё как обычно делал, с паролем, всё ок прошло. За три дня я изучил все, что только можно по этой теме.) Есть так же вариант, и где-то о нем писали, что некоторые УЦ вставляют в ключи некоторые "бяки", которые вставлять им не надо для нашего с вами счастья по получению желаемого PFX. Мой полученный несколько дней назад ключик, уже отличается от прошлогоднего всякими новыми штуками, в коих я не силен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 14 января, 2016 · Жалоба что некоторые УЦ вставляют в ключи некоторые "бяки" Ничего они не вставляют. Просто записанная в токен ЭЦП может быть неэкспортируемой. Некоторые УЦ по умолчанию делают неэкспортируемую ЭЦП, нужно отдельно указывать (в заявлении или при разговоре), что требуется возможность экспорта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
WhatTHE Опубликовано 14 января, 2016 (изменено) · Жалоба что некоторые УЦ вставляют в ключи некоторые "бяки" Ничего они не вставляют. Просто записанная в токен ЭЦП может быть неэкспортируемой. Некоторые УЦ по умолчанию делают неэкспортируемую ЭЦП, нужно отдельно указывать (в заявлении или при разговоре), что требуется возможность экспорта. Вставляют. Я не "чайник" в этом вопросе - у меня экспортируемый ключ. А в ТП УЦ мне ответили, что они добавили то ли новый алгоритм, то ли новый стандарт. Я не запомнил, что. Зачем голову загружать ненужной инфой. Ну вставили себе и вставили.) Когда у меня был неэкспортируемый вариант, я тоже его нормально раздерибанил.) Изменено 14 января, 2016 пользователем WhatTHE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 14 января, 2016 · Жалоба что некоторые УЦ вставляют в ключи некоторые "бяки" Ничего они не вставляют. Просто записанная в токен ЭЦП может быть неэкспортируемой. Некоторые УЦ по умолчанию делают неэкспортируемую ЭЦП, нужно отдельно указывать (в заявлении или при разговоре), что требуется возможность экспорта. Вставляют. Я не "чайник" в этом вопросе - у меня экспортируемый ключ. Ничего не могу сказать, просто продаваторы ЭЦП - это одно из наших подразделений. Что они делают, и как - мне по барабану. Директору пришло предупреждение о сроке истечения, он их напряг, я сбегал с флэшкой, и не заморачивась получил результат. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 14 января, 2016 · Жалоба А более банальные способы на 15 минут, типа скачать криптоарм и подписать с его помощью, не катят? Банальные не катят Они используют один и тот же встроенный в винды мастер экспорта сертификатов. И PFХ полученный этим способом не хочет корректно конвертироваться в PEM Я в рецепте написал: "подписать" и ничего не писал про "конвертировать и экспортировать". Вообщем, если кому жалко времени на эксперименты с PEM/PFX или у вас обычный (защищенный неэкспортируемый) ключ, то самый простой способ - подписать запрос с помощью криптоарм (можно триал или что там у вас есть в бухгалтерии для общения с налоговой). Это нужно сделать всего 1 раз и можно пользоваться. Протухнет он только через год, а к этому времени вы уже новый ключик получите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 15 января, 2016 · Жалоба Это нужно сделать всего 1 раз и можно пользоваться. Плохой совет. В файле-запросе ведь указывается дата и время запроса. Через месяц, например, определят срок действия в сутки и все перестанет работать. Мне РКН сообщил, что обработка запросов с устаревшей временной отметкой не гарантируется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 15 января, 2016 · Жалоба она не гарантируется уже не первый год, однако все работает. вот когда сломается, тогда нужно будет думать. А так, как минимум, безопаснее. на сервере не валяется безпарольный ключ (ну или с паролем лежащим рядом же). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 15 января, 2016 · Жалоба вот когда сломается, тогда нужно будет думать Тогда будет уже поздно. Потому что про это еще вспомнить нужно будет. А по факту скорее всего минимум неделю будут жалобы на РКН, что у них сервис сломался. А так, как минимум, безопаснее. на сервере не валяется безпарольный ключ На сервере он гораздо в большей безопасности, чем (уверен) на столе или в ящике стола, открывающимся скрепкой. В УЦ он тоже лежит на сервере. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 15 января, 2016 · Жалоба Мне РКН сообщил, что обработка запросов с устаревшей временной отметкой не гарантируется А время устаревания конечно забыли сообщить? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 15 января, 2016 · Жалоба Разумеется, разве РКН когда-нибудь дает официальные ответы с конкретикой по темам, которые не закреплены законодательно? Но лично я бы на месте РКН отклонял запросы старше 2 суток. Просто для порядка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 15 января, 2016 · Жалоба разве РКН когда-нибудь дает официальные ответы Зато дает (К давал) неофициальные. По процедуре ограничения срока согласен: скорее всего оно сначала появится в законодательстве, а потом его заинфорсят в РКН. Иначе это обзовут "произволом властей". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 15 января, 2016 · Жалоба Народ подскажите, Резолвлю хосты из реестра для последующей переправки трафика по IP на фильтровалку, Но у некоторых доменов TTL записей по одной минуте, через минуту он IP меняет. Есть ли выход, кроме как отзеркалить всё на фильтровалку или ручками сети забивать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 15 января, 2016 · Жалоба ну там по любому не 2^32 адресов. они меняются но всего адресов крутится не так много. Я кешу на неделю положительный результат ресолва. т.е. в фильтрующую систему проваливается то, чьи IP есть в выгрузке или куда хоть раз за прошедшую неделю что то сресолвилось по именам из выгрузки. за несколько итераций все или почти все их ip будут засвечены. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 15 января, 2016 · Жалоба за несколько итераций все или почти все их ip будут засвечены. не будут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 15 января, 2016 · Жалоба за несколько итераций все или почти все их ip будут засвечены. не будут Какой выход? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swelf Опубликовано 15 января, 2016 · Жалоба Ну для начала определить для себе критерии успеха, и из этого исходить. У нас ip ресолвятся(слово то какое дурацкое) 3 раза в сутки, процент открытых урл при вроверке ркн не больше 0.5, это и нас и их устраивает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 16 января, 2016 · Жалоба Народ подскажите, Резолвлю хосты из реестра для последующей переправки трафика по IP на фильтровалку, а whitelist'ы есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 16 января, 2016 · Жалоба ну там по любому не 2^32 адресов. они меняются но всего адресов крутится не так много. Я кешу на неделю положительный результат ресолва. побольше бы вас таких :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...