Установка модуля КриптоПро для ЭЦП

Все вопросы/проблемы по установке и использовании.
Аватара пользователя
rozen
Сообщения: 172
Зарегистрирован: 25 мар 2015, 12:11
Имя: Андрей
Откуда: Красноярск

Re: Установка модуля КриптоПро для ЭЦП

Сообщение rozen »

Я отказался от затеи использовать ЭЦП в Руководителе как раз из-за проблем отслеживания цепочек. Дело в том, что в сертификате прописаны узлы для проверки по спискам отзывов сертификатов и всякие там компрометации.

Если ваш сервер в сети интернет, то все более менее хорошо. Но если вы в интранет, то начинаются проблемы с этими проверками.

Вам нужно организовать регулярное обновление списков отзыва сертификатов по крону хотя бы раз в неделю + доступность для сервера внешних узлов, которые прописаны в ваших сертификатах.

Если этого не сделать или соединение сервера с интернет не стабильно, то будет очень часто появляться проблема, то с Bad Gateway, а в лога недоступность узлов.
Аватара пользователя
Евгений
Сообщения: 467
Зарегистрирован: 11 июл 2016, 13:21
Имя: Евгений
Откуда: Петропавловск-Камчатский

Re: Установка модуля КриптоПро для ЭЦП

Сообщение Евгений »

rozen писал(а): 12 май 2022, 05:43 Если ваш сервер в сети интернет, то все более менее хорошо. Но если вы в интранет, то начинаются проблемы с этими проверками.
Понятно, спасибо!

А если использовать полностью самосгенерированную цепочку? Например корневой сертификат самосгенерированный, на его основе выпускать ЭП для пользователей. Я так и попытался сделать. У нас есть Випнет УКЦ который генерирует сертификаты для узлов Випнет которые установлены внутри нашей локалки. Но эти сертификаты почему-то не появились в списке доступных сертификатов Руководителя.
$Expert
Спонсор
Спонсор
Сообщения: 486
Зарегистрирован: 06 фев 2017, 23:32
Имя: Сергей
Откуда: Москва

Re: Установка модуля КриптоПро для ЭЦП

Сообщение $Expert »

rozen писал(а): 12 май 2022, 05:43 Если этого не сделать или соединение сервера с интернет не стабильно, то будет очень часто появляться проблема, то с Bad Gateway, а в лога недоступность узлов.
Вот что ответила тех. поддержка КриптоПро на вопрос, как обойти эту проблему:
... на фронте не вызывать методы проверки подписи или метод isValid().
Но тут я не силён. Вопрос к Сергею: можно ли добавить условие, позволяющее включать или выключать проверку подписи, тем самым дав возможность работать без доступа к интернету?
Аватара пользователя
support
Техническая поддержка
Сообщения: 9340
Зарегистрирован: 19 окт 2014, 18:22
Имя: Харчишин Сергей
Откуда: Крым, Евпатория

Re: Установка модуля КриптоПро для ЭЦП

Сообщение support »

Сам модуль находится тут plugins\ext\digital_signature_modules\cryptopro\cryptopro.php

Метода isValid() там не используется. Что там еще нужно убрать, я не подскажу.
$Expert
Спонсор
Спонсор
Сообщения: 486
Зарегистрирован: 06 фев 2017, 23:32
Имя: Сергей
Откуда: Москва

Re: Установка модуля КриптоПро для ЭЦП

Сообщение $Expert »

support писал(а): 29 июл 2022, 08:39 Сам модуль находится тут plugins\ext\digital_signature_modules\cryptopro\cryptopro.php

Метода isValid() там не используется. Что там еще нужно убрать, я не подскажу.
Если я правильно понял, то методы проверки подписи или метод isValid() вызываются в js, а именно в \js\cryptopro\cades\Code.js
Аватара пользователя
Евгений
Сообщения: 467
Зарегистрирован: 11 июл 2016, 13:21
Имя: Евгений
Откуда: Петропавловск-Камчатский

Re: Установка модуля КриптоПро для ЭЦП

Сообщение Евгений »

Евгений писал(а): 06 май 2022, 07:39 Почему Руководитель видит только два тестовых сертификата, но не видит следующие два? Что такого должно быть прописано в сертификате, чтобы его мог использовать Руководитель?
Очередная попытка победить модуль ЭЦП КриптоПро.

Разобрался, почему Руководитель видит только некоторые сертификаты, установленные у текущего пользователя. Если на сервер Руководитель установить КриптоПро точно по инструкции (https://docs.rukovoditel.net.ru/index.php?p=102), то КриптоПро будет видеть только те сертификаты, которые сгенерированы криптопровайдером Crypto-Pro GOST R 34.1-02012. Сертификаты созданные любым другим крипропровайдером, не видны.

Например криптопровайдер "Infotecs" - такие сертификаты создаются в сети Випнет, их Руководитель/КриптоПро не увидит.
Screenshot_20220506_163312.png
Аватара пользователя
Евгений
Сообщения: 467
Зарегистрирован: 11 июл 2016, 13:21
Имя: Евгений
Откуда: Петропавловск-Камчатский

Re: Установка модуля КриптоПро для ЭЦП

Сообщение Евгений »

Как указать КриптоПро, установленному на сервере Руководитель, что нужно смотреть все сертификаты, независимо от того каким криптопровайдером этот сертификат выпущен?
Ответить