Crypto-Pro

[rozen]

Всем - здравствуйте!
Исходя из "потока странностей! в ветке обсуждения
(viewtopic.php?f=2&t=3480) расширения, предполагаю что имеет место ошибка. Не могу сказать где, но все же.
Не срабатывает добавление сертификата в профиль пользователя.
Общение с поддержкой КриптоПро показало работоспособность предложенной инструкции по установке расширения PHP. Тестовый скрипт отрабатывает верно.

Был произведен выпуск тестового сертификата, установка его в систему и последующая проверка через скрипт разработчика КриптоПро:

Код: Выделить всё

rozen@10:/var/www/html/site$ php test_extension.php
Crypto-Pro GOST R 34.10-2012 KC1 CSP requests password
Type password:
Wrong password, 4 tries left.
Type password:
Signature is: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The revocation process could not continue - the certificate(s) could not be checked. (0x800B010E)TEST FAIL
rozen@10:/var/www/html/site$

Скрипт проверки из инструкции Руководителя тоще отрабатывает.
Но, при попытке добавить сертификат в профиль - ошибка сервера.

[support]

Насколько я помню, тестовый сертификат нельзя добавить в профиль и использовать его.

[rozen]

Насколько я помню, тестовый сертификат нельзя добавить в профиль и использовать его.

Это просто тест работоспособности того чего подготовлено на сервере. Патч и сборка прошли нормально, а вот дальше...

[support]

А дальше тестируйте с живым сертификатом.

[rozen]

А дальше тестируйте с живым сертификатом.

Вот с живым и возникают проблемы. Он считывается с носителя, но не добавляется. Сервер вываливается в ошибку 502. В логах пишет, что не получил вовремя данных.

[support]

Пишите в поддержку КриптоПро, так как все проверки проходят в их библиотеке.
При разработке данного модуля, мы обратились в КриптоПро и они нам на сервере все настроили.
Я в этом не специалист, по этому помочь не смогу.

[rozen]

Пишите в поддержку КриптоПро, так как все проверки проходят в их библиотеке.
При разработке данного модуля, мы обратились в КриптоПро и они нам на сервере все настроили.
Я в этом не специалист, по этому помочь не смогу.

Спасибо. Буду долбить их.

[rozen]

Добрый день!
Все настроить получилось.
Некоторые комментарии, которые могу дать по настройке.
После установки ПО требуется настройка корневых сертификатов, а так же списков отозванных сертификатов.

1. для установки корневых:

Код: Выделить всё

certmgr -inst -store mroot -file guc.p7b 

(тут выбираем корневой МКС (в новых версиях CSP он уже установлен). предварительно посмотрите через:

Код: Выделить всё

certmgr -list -store

2. для установки промежуточных

Код: Выделить всё

certmgr -inst -store mca -file guc.p7b

(тут выбираете только корневой)

3. для установки crl нужен ключ -crl

Код: Выделить всё

certmgr -inst -store mca -crl -file guc.crl

но crl нужен также от промежуточного, значит нужна еще команда:

Код: Выделить всё

certmgr -inst -store mca -crl -file CRL-от-промежуточного-УЦ.crl 

Мои сертификаты и списки отзыва лежат в папке /download/cer/
Надо перейти в этут папку:

cd /download/cer/

либо в команде указывать полный путь до файлов.
Установка корневого и промежуточных + списки отзыва в правильные хранилища:

Код: Выделить всё

sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -file guc.p7b
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file guc.p7b
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -crl -file guc.crl
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -crl -file guc_gost12.crl
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -crl -file aca2.crl
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -crl -file aca3.crl