Автор Тема: вход на торговую площадку https://zakupki.mos.ru/ по ЭЦП, используя криптопро  (Прочитано 16534 раз)

Оффлайн woronin

  • Давно тут
  • **
  • Сообщений: 289
    • Email

Установил и настроил по инструкции.

Ладно, я тоже тогда решил пройти по инструкции. Сделал все как там написано .
Но на шаге
$  cpconfig -hardware reader -add HDIMAGE storeОн мне ругается, что
Adding new reader:
Nick name: HDIMAGE
Adding HDIMAGE failed
Operation is not permitted.

Ну и соотвественно уже не может сгенерить test5.req файл
$ cryptcp -creatrqst -dn "cn=Test User5,e=cas@altlinux.org" -provtype 75 -nokeygen -cont '\\.\HDIMAGE\test' -certusage "1.3.6.1.5.5.7.3.4,1.3.6.1.5.5.7.3.2" test5.req
CryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.
Ошибка: ���� �� ����������./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:441: 0x8009000D
[ErrorCode: 0x8009000d]

Что это за странная ошибка у него выскакивает? КАк ее победить?

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 4 825
Так у вас есть ЭЦП или нет? Российские УЦ в основном не работают с запросами за подпись сгенерированного пользователем сертификата.

Под виндой вы можете зайти в закрытую часть этого сайта при помощи имеющегося у вас сертификата? Вот его и надо зарегистрировать в cryptopro (token-manager) и заходить на сайт. Если у вас cryptopro не 4.0R4, то потребуется разрешить работу по 2001 ГОСТ'у в 2019 году.

Оффлайн NickM

  • Давно тут
  • **
  • Сообщений: 364
    • Email

Установил и настроил по инструкции.

Ладно, я тоже тогда решил пройти по инструкции. Сделал все как там написано .
Но на шаге
$  cpconfig -hardware reader -add HDIMAGE storeОн мне ругается, что
Adding new reader:
Nick name: HDIMAGE
Adding HDIMAGE failed
Operation is not permitted.

Что это за странная ошибка у него выскакивает? КАк ее победить?

Здесь Вы пытаетесь добавить хранилище не имея на то права.

Выполняйте добавление от root

Оффлайн woronin

  • Давно тут
  • **
  • Сообщений: 289
    • Email
Так у вас есть ЭЦП или нет? Российские УЦ в основном не работают с запросами за подпись сгенерированного пользователем сертификата.


Да у меня есть мой личный ЭЦП - сгенеренный рутокен. Синенький такой. В в инде с ним проблем нет, все нормально работает там.
Беда в linux-e в том, что до рутокена дело не доходит..
Т.е. еще на этапе тестирования  всей этой конструкции ДО использования рутокена, выскакивают траблы которые мы здесь и обсуждаем.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 17 020
    • Домашняя страница
    • Email
Все проблемы от невнимательного чтения инструкции, авторов которой Вы так знатно опустили.
« Последнее редактирование: 13.01.2019 21:47:44 от Skull »
Андрей Черепанов (cas@)

Оффлайн woronin

  • Давно тут
  • **
  • Сообщений: 289
    • Email
Все проблемы от невнимательного чтения инструкции, авторов котрой Вы так знатно опустили.
Увы, но  мне кажется, что эта инструкция для тех кому она не очень то и  не нужна...
Для нуждающихся в ней там  масса непонятного и встречаются ошибки.
Я постарался сделать на ее основе свою - ПОНЯТНУЮ инструкцию.
http://wiki.laser.ru/index.php/%D0%AD%D1%86%D0%BF
Дело пошло на лад, но все равно еще не все с ее помощью получается достигнуть.
Мне удалось дойти до тестовой страницы в браузере и увидеть сертификаты. Но теперь выдает ошибку при проверке цепочки сертификатов.
Что это может быть, как лечить - подскажите плз!
Очень жду ответа от NickM

Оффлайн NickM

  • Давно тут
  • **
  • Сообщений: 364
    • Email
Но теперь выдает ошибку при проверке цепочки сертификатов.
Что это может быть, как лечить - подскажите плз!
Очень жду ответа от NickM

Нужно установить корневые сертификаты УЦ и другие с помощью КриптоПро, например в хранилище mRoot.

Какие именно нужны корневые сертификаты Вы можете узнать просмотрев издателя сертификата пользователя.
После на странице:
- найти, например по ОГРН;
- скачать тот сертификат, у которого данные "Кому выдан" в точности совпадают с полем "Issuer" пользовательского сертификата;
- и установить.
Также следует найти, скачать и установить те сертификаты, которые окажутся в цепочке сертификатов (смотреть "Кем выдан") вплоть до ГУЦ.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 17 020
    • Домашняя страница
    • Email
Достаточно последнего в цепочке. И это вполне возможно сделать, установив пакет lsb-cprocsp-ca-certs из последней версии КриптоПро (по крайней мере, он так называется в 4.0.9929). В версии 5.0 цепочка автоматически скачивается (если нет, то можно попробовать установить cprocsp-curl-64).
Андрей Черепанов (cas@)

Оффлайн woronin

  • Давно тут
  • **
  • Сообщений: 289
    • Email
Достаточно последнего в цепочке. И это вполне возможно сделать, установив пакет lsb-cprocsp-ca-certs из последней версии КриптоПро (по крайней мере, он так называется в 4.0.9929).

Вроде как установил похожий по названию пакет, но как теперь им воспользоваться чтобы установить сертификат ГУЦ ?
# apt-get install lsb-cprocsp-ca-certs*
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Выбрано lsb-cprocsp-ca-certs для 'lsb-cprocsp-ca-certs-4.0.9963-5.noarch.rpm'
Следующие НОВЫЕ пакеты будут установлены:
  lsb-cprocsp-ca-certs
0 будет обновлено, 1 новых установлено, 0 пакетов будет удалено и 0 не будет обновлено.
Необходимо получить 0B/11,7kB архивов.
После распаковки потребуется дополнительно 21,9kB дискового пространства.
Совершаем изменения... 
Preparing...                 ############################################################################################### [100%]
1: lsb-cprocsp-ca-certs      ############################################################################################### [100%]
Running /usr/lib/rpm/posttrans-filetriggers
Завершено.

Оффлайн woronin

  • Давно тут
  • **
  • Сообщений: 289
    • Email

Нужно установить корневые сертификаты УЦ и другие с помощью КриптоПро, например в хранилище mRoot.

Похоже в старый новый год чудеса случаются, но правда не до конца.
Я нашел два моих файла-сертификата: Головного удостоверяющего центра  - GUC.cer , и просто Удостоверяющего центра - UC.cer

Выполнил две магические команды:
#  certmgr -inst -store mRoot -f /home/user/sertifikats/GUC.cer
#  certmgr -inst -store mRoot -f /home/user/sertifikats/UC.cer

Проверил что вроде как они  видны в списке сертификатов
#  certmgr -list -store mRoot
Зашел в браузере на страницу регистрации zakupki.mos.ru -  и о чудо! Увидел что стало открываться следующее окошко, он предлагает ввести pin-код. Но на следующем шаге - наступила суровая реальность. Их сайт написал, что Произошла неизвестная ошибка и попробуйте позже...
Да, я конечно понимаю, что мне сейчас тут в форуме скажут - что ура-ура, эта ошибка на стороне владельца сайт, пиши им.
И я туда на сайт напишу, отвечу на кучу их дурацких вопросов - какой мой ИНН, ОГРН и прочая лабуда, а потом они спросят какая у меня операционка, и потом радостно ответят - что типа иди в пень, ставь винду и не выпендривася тут со своим линуксом ((((


Оффлайн tema

  • Мастер
  • ***
  • Сообщений: 1 887
    • Email
А ты пробуешь всё это в обычном хромиуме или в gost?

Оффлайн woronin

  • Давно тут
  • **
  • Сообщений: 289
    • Email
Пробую в обычном хроме. А как установить Гост?

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 4 825
А ты пробуешь всё это в обычном хромиуме или в gost?
да не нужно ему это. Это не федеральные госзакупки.

Оффлайн woronin

  • Давно тут
  • **
  • Сообщений: 289
    • Email
По свей проблеме написал в службу тех поддержки сайта zakupki.mos.ru  и они мне даже там что-то исправили, та ошибка пропала, но появилась новая )))
Чтобы им выслать пояснение по новой ошибки они просят сделать следующее:
Уважаемый пользователь,
По Вашему обращению №SD412424 необходимо предоставить дополнительную информацию:
     Выполните следующие действия:
Пуск => Выполнить => certmgr.msc
Зайдите в раздел «Личное», найдите Ваш сертификат и откройте его.
В появившемся окне выберите «Путь сертификации» и пришлите скриншот.
    Для предоставления дополнительной информации по обращению:
    1. нажмите следующую ссылку: Отправить доп.информацию
    2. внесите дополнительную информацию, не редактируя тему письма
    3. отправьте письмо.
Я так понимаю, что они мне прислали для винды перечень выполнения шагов.
Подскажите плз, как мне в линуксах зайти в раздел личного сертификата и там выбрать Путь к нему?

Оффлайн NickM

  • Давно тут
  • **
  • Сообщений: 364
    • Email
...
В появившемся окне выберите «Путь сертификации» и пришлите скриншот.
...
Подскажите плз, как мне в линуксах зайти в раздел личного сертификата и там выбрать Путь к нему?

Хотят убедиться, что у Вас выстраивается цепочка доверия сертификатов.

Можно часть вывода certmgr --list отписать, ну там, где видно кто, что, кому выдал...