[ps/2]

Я запрашиваю у местного филиала ркн

любопытно было б поиспользовать непосредственно механизм, которым контролируют

[WhatTHE]

Коллегам привет! Прошу помощи!

Только получил новый EToken (продлил), и уже проблемы с получением PFX для конвертации в PEM. В месте где получал, говорят что там новый алгоритм или что-то еще изменилось в моем новом ключе. До этого конвертил утилитой P12FromGostCSP и проблем в прошлых годах не было. Сейчас она мне не помогает - PFX после конвертации этой утилитой теперь спрашивает всегда пароль, даже если его нет. Во общем, я с получением PFX в ступоре, может кто даст совет как действовать? Уже 3 дня бьюсь над вопросом, а старый ключ на днях прикажет долго жить и лапа РКН нависнет надо мной.

[DimaM]

конвертил утилитой P12FromGostCSP, 3 дня бьюсь над вопросом, а старый ключ на днях прикажет долго жить и лапа РКН нависнет надо мной

 

А более банальные способы на 15 минут, типа скачать криптоарм и подписать с его помощью, не катят?

[alibek]

Сейчас она мне не помогает - PFX после конвертации этой утилитой теперь спрашивает всегда пароль, даже если его нет.

Я всегда экспортировал PFX с паролем, а переводил в PEM и подписывал с помощью сборки OpenSSL, в которой есть поддержка алгоритма ГОСТ.

Можно попробовать так.

 

Вот скрипт:

#!/bin/sh

### Модуль для формирования закрытого ключа

# Базовый каталог
ERDI_BASE="/srv/erdi"

# Полный путь к OpenSSL
ERDI_SSL="${ERDI_BASE}/openssl/bin/openssl"

# Полный путь к закрытому ключу сертификата
ERDI_KEY="${ERDI_BASE}/key/provider.pem"

echo "Create PEM private key from PKCS#12"
if [ -z "$1" ]; then
   # Если запускается без параметров, выбрать последний pfx-файл
   pushd `dirname "${ERDI_KEY}"` >/dev/null
   FILE="`ls -br1 *.pfx | head -1`"
   FILE="`dirname "${ERDI_KEY}"`/$FILE"
   popd >/dev/null
   echo "Last version PKCS#12: $FILE"
else
   # Если заданы аргументы, то использовать указанный в аргементах файл
   FILE="$1"
   echo "Current PKCS#12: $FILE"
fi

# Сгенерировать новый PEM-файл
[ -e "${ERDI_KEY}" ] && rm -f "${ERDI_KEY}"
"${ERDI_SSL}" pkcs12 -in "$FILE" -out "${ERDI_KEY}" -nodes -clcerts
[ -e "${ERDI_KEY}" ] || { echo "Fail, file ${ERDI_KEY} not exists"; exit 1; }

# Назначить права доступа на закрытый ключ
chown autoerdi:autogrp "${ERDI_KEY}"
chmod 400 "${ERDI_KEY}"

При конвертации вручную вбивается пароль.

[WhatTHE]

Сейчас она мне не помогает - PFX после конвертации этой утилитой теперь спрашивает всегда пароль, даже если его нет.

Я всегда экспортировал PFX с паролем, а переводил в PEM и подписывал с помощью сборки OpenSSL, в которой есть поддержка алгоритма ГОСТ.

Можно попробовать так.

 

Вот скрипт:

#!/bin/sh


   FILE="`dirname "${ERDI_KEY}"`/$FILE"

"${ERDI_SSL}" pkcs12 -in "$FILE" -out "${ERDI_KEY}" -nodes -clcerts
[ -e "${ERDI_KEY}" ] || { echo "Fail, file ${ERDI_KEY} not exists"; exit 1; }

# Назначить права доступа на закрытый ключ
chown autoerdi:autogrp "${ERDI_KEY}"
chmod 400 "${ERDI_KEY}"

При конвертации вручную вбивается пароль.

 

Спасибо за ответ. Но проблема только в экспорте PFХ. Как PEM получить - это дело давно решено. Я не могу никакими средствами получить нормальный PFХ, хоть с паролем, хоть без! То что получается при конвертации в PEM из PFХ получаемого сейчас, имеет внутри только строку:

 

Bag Attributes

localKeyID: 01 00 00 00

friendlyName: RaUser-0fe8ecff-ed04-4fa5-9b87-f033314eb9aa

Microsoft CSP Name: Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider

 

Ни ключа, ничего внутри нет.(( Значит сам PFХ какой-то не такой. Год назад все получалось на раз. Как и чем вы конвертируете в PFХ? Ключ обновляли в этом году?

 

конвертил утилитой P12FromGostCSP, 3 дня бьюсь над вопросом, а старый ключ на днях прикажет долго жить и лапа РКН нависнет надо мной

 

А более банальные способы на 15 минут, типа скачать криптоарм и подписать с его помощью, не катят?

 

Банальные не катят, во всяком случае сейчас. Хоть КриптоПро, хоть КриптоАрм, это без разницы. Они используют один и тот же встроенный в винды мастер экспорта сертификатов. И PFХ полученный этим способом не хочет корректно конвертироваться в PEM. Как будто у PFХ сменился формат.

Изменено 14 января, 2016 пользователем WhatTHE

[WhatTHE]

Спасибо всем. Решил таки проблему. Новый ключ надо было без пароля экспортировать, и только с помощью P12FromGostCSP (винды не дают без пароля экспортировать). С паролем ничего не выходило. Ладно, будем ждать следующего года с его сюрпризами.)

[YuryD]

Спасибо всем. Решил таки проблему. Новый ключ надо было без пароля экспортировать, и только с P12FromGostCSP (винды не дают без пароля экспортировать). С паролем ничего не выходило.

Странно, в декабре всё как обычно делал, с паролем, всё ок прошло.

[WhatTHE]

Спасибо всем. Решил таки проблему. Новый ключ надо было без пароля экспортировать, и только с P12FromGostCSP (винды не дают без пароля экспортировать). С паролем ничего не выходило.

Странно, в декабре всё как обычно делал, с паролем, всё ок прошло.

 

За три дня я изучил все, что только можно по этой теме.) Есть так же вариант, и где-то о нем писали, что некоторые УЦ вставляют в ключи некоторые "бяки", которые вставлять им не надо для нашего с вами счастья по получению желаемого PFX. Мой полученный несколько дней назад ключик, уже отличается от прошлогоднего всякими новыми штуками, в коих я не силен.

[alibek]

что некоторые УЦ вставляют в ключи некоторые "бяки"

Ничего они не вставляют.

Просто записанная в токен ЭЦП может быть неэкспортируемой.

Некоторые УЦ по умолчанию делают неэкспортируемую ЭЦП, нужно отдельно указывать (в заявлении или при разговоре), что требуется возможность экспорта.

[WhatTHE]

что некоторые УЦ вставляют в ключи некоторые "бяки"

Ничего они не вставляют.

Просто записанная в токен ЭЦП может быть неэкспортируемой.

Некоторые УЦ по умолчанию делают неэкспортируемую ЭЦП, нужно отдельно указывать (в заявлении или при разговоре), что требуется возможность экспорта.

 

Вставляют. Я не "чайник" в этом вопросе - у меня экспортируемый ключ. А в ТП УЦ мне ответили, что они добавили то ли новый алгоритм, то ли новый стандарт. Я не запомнил, что. Зачем голову загружать ненужной инфой. Ну вставили себе и вставили.) Когда у меня был неэкспортируемый вариант, я тоже его нормально раздерибанил.)

Изменено 14 января, 2016 пользователем WhatTHE

[YuryD]

что некоторые УЦ вставляют в ключи некоторые "бяки"

Ничего они не вставляют.

Просто записанная в токен ЭЦП может быть неэкспортируемой.

Некоторые УЦ по умолчанию делают неэкспортируемую ЭЦП, нужно отдельно указывать (в заявлении или при разговоре), что требуется возможность экспорта.

 

Вставляют. Я не "чайник" в этом вопросе - у меня экспортируемый ключ.

Ничего не могу сказать, просто продаваторы ЭЦП - это одно из наших подразделений. Что они делают, и как - мне по барабану. Директору пришло предупреждение о сроке истечения, он их напряг, я сбегал с флэшкой, и не заморачивась получил результат.

[DimaM]

А более банальные способы на 15 минут, типа скачать криптоарм и подписать с его помощью, не катят?

 

Банальные не катят Они используют один и тот же встроенный в винды мастер экспорта сертификатов. И PFХ полученный этим способом не хочет корректно конвертироваться в PEM

 

Я в рецепте написал: "подписать" и ничего не писал про "конвертировать и экспортировать".

Вообщем, если кому жалко времени на эксперименты с PEM/PFX или у вас обычный (защищенный неэкспортируемый) ключ,

то самый простой способ - подписать запрос с помощью криптоарм (можно триал или что там у вас есть в бухгалтерии для общения с налоговой).

Это нужно сделать всего 1 раз и можно пользоваться. Протухнет он только через год, а к этому времени вы уже новый ключик получите.

[alibek]

Это нужно сделать всего 1 раз и можно пользоваться.

Плохой совет. В файле-запросе ведь указывается дата и время запроса.

Через месяц, например, определят срок действия в сутки и все перестанет работать.

Мне РКН сообщил, что обработка запросов с устаревшей временной отметкой не гарантируется.

[st_re]

она не гарантируется уже не первый год, однако все работает. вот когда сломается, тогда нужно будет думать. А так, как минимум, безопаснее. на сервере не валяется безпарольный ключ (ну или с паролем лежащим рядом же).

[alibek]

вот когда сломается, тогда нужно будет думать

Тогда будет уже поздно.

Потому что про это еще вспомнить нужно будет.

А по факту скорее всего минимум неделю будут жалобы на РКН, что у них сервис сломался.

 

А так, как минимум, безопаснее. на сервере не валяется безпарольный ключ

На сервере он гораздо в большей безопасности, чем (уверен) на столе или в ящике стола, открывающимся скрепкой.

В УЦ он тоже лежит на сервере.

[DimaM]

Мне РКН сообщил, что обработка запросов с устаревшей временной отметкой не гарантируется

 

А время устаревания конечно забыли сообщить? :)

[alibek]

Разумеется, разве РКН когда-нибудь дает официальные ответы с конкретикой по темам, которые не закреплены законодательно?

Но лично я бы на месте РКН отклонял запросы старше 2 суток. Просто для порядка.

[DimaM]

разве РКН когда-нибудь дает официальные ответы

 

Зато дает (К давал) неофициальные. По процедуре ограничения срока согласен:

скорее всего оно сначала появится в законодательстве, а потом его заинфорсят в РКН.

Иначе это обзовут "произволом властей".

[Стич]

Народ подскажите,

Резолвлю хосты из реестра для последующей переправки трафика по IP на фильтровалку,

Но у некоторых доменов TTL записей по одной минуте, через минуту он IP меняет.

Есть ли выход, кроме как отзеркалить всё на фильтровалку или ручками сети забивать.

[st_re]

ну там по любому не 2^32 адресов. они меняются но всего адресов крутится не так много. Я кешу на неделю положительный результат ресолва. т.е. в фильтрующую систему проваливается то, чьи IP есть в выгрузке или куда хоть раз за прошедшую неделю что то сресолвилось по именам из выгрузки. за несколько итераций все или почти все их ip будут засвечены.

[DimaM]

за несколько итераций все или почти все их ip будут засвечены.

 

не будут

[Стич]

за несколько итераций все или почти все их ip будут засвечены.

 

не будут

Какой выход?

[swelf]

Ну для начала определить для себе критерии успеха, и из этого исходить. У нас ip ресолвятся(слово то какое дурацкое) 3 раза в сутки, процент открытых урл при вроверке ркн не больше 0.5, это и нас и их устраивает.

[^rage^]

Народ подскажите,

Резолвлю хосты из реестра для последующей переправки трафика по IP на фильтровалку,

а whitelist'ы есть?

[^rage^]

ну там по любому не 2^32 адресов. они меняются но всего адресов крутится не так много. Я кешу на неделю положительный результат ресолва.

побольше бы вас таких :)