Вход | Регистрация
 
Информационные технологии :: Администрирование

Использование криптопровайдера для ГОСТ соединений

Использование криптопровайдера для ГОСТ соединений
Я
   1snik_d
 
19.05.20 - 16:23
Всем привет. Есть распределенная ИБ. В связи с предстоящей маркировкой сделали свой шлюз (веб сервис) для подписания документов ЭЦП (чтобы не хранить ЭЦП на компьютерах сотрудников).
С подписью разобрался, все работает. Теперь надо отправлять подписанные данные на портал маркировки. И вот тут вопрос: нужно ли обязательно для установления такого соединения разворачивать на компьютере крипто про и ЭЦП или можно как-нибудь без этого обойтись.
   Garykom
 
1 - 19.05.20 - 16:27
(0) А тебе кто мешает https://www.cryptopro.ru/products/other/stunnel-msspi заюзать?
как у меня в https://github.com/Garykom/mdlp
   1snik_d
 
2 - 19.05.20 - 16:35
(1) ЭЦП должна быть на компьютере? или можно ее как-то на сервере использовать?
   Garykom
 
3 - 19.05.20 - 16:37
(2) Там где stunnel-msspi стоит, на сервер его ставишь и настраиваешь как ssl-шлюз.
Т.е. удаленные клиенты стучаться допустим на этот сервер на порт указанный (попустим 1443) а он редиректит на сервер ЦРПТ (маркировки) на нужный 443 порт
   Garykom
 
4 - 19.05.20 - 16:39
(3)+ Причем можно без сертификата УКЭП на шлюзе, только крипто-про с его либами поставить.
Точнее это зависит от конечного сайта маркировки, требует ли он указания сертификата пользователя или достаточно tls по гост
   1snik_d
 
5 - 19.05.20 - 16:40
(3) Может есть какая-нибудь аналогичная приблуда, чтобы подписывать документы, ну типа cadescom шлюза?
   1snik_d
 
6 - 19.05.20 - 16:41
(4) таблеточный шлюз mdlp.crpt.ru будет работать?
   Garykom
 
7 - 19.05.20 - 16:44
(6) У меня же работает.
Делал настройку аналогично https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=93382#post93382
   Garykom
 
8 - 19.05.20 - 16:45
(5) В (1) приблуда которая и подписывает и отправляет, написана на Golang, исходники могу за денежку или допилить для вас.
Точнее предоставить более новую версию уже допиленную а не старую что выложена.
   1snik_d
 
9 - 19.05.20 - 16:55
(8) Самому интересно запилить, сейчас сделал на php, чтобы подписывалось на сервере.
   1snik_d
 
10 - 19.05.20 - 17:04
(1) А вот за это спасибо, сейчас буду пробовать
   1snik_d
 
11 - 19.05.20 - 19:05
Продолжу: установил schannel, настроил конфиг

[MARKIROVKA]
client = yes
accept = 192.168.1.250:18080
connect = api.mdlp.crpt.ru:443
sni = api.mdlp.crpt.ru
verify = 0

где 192.168.1.250 - локальный адрес компа в локальной сети, сделал проброс порта 18080 и установил все криптографическое ПО на эту машину. В логах вижу, что соединение внешнее проходит, но дальше видимо сбрасывается на стороне МДЛП. Сертификаты не надо каки-то специальным образом подкинуть в SCHANNEL?
   Garykom
 
12 - 19.05.20 - 19:07
(11) Если сертификат не прописывать то без белого ip зареганного через техподдержку ЦПРТ работать не будет.
С сертификатом говорят и без белого ip и регистрации его работает, но лично не проверял.
   1snik_d
 
13 - 19.05.20 - 19:07
(12) как ему пихнуть сертификат?
   Garykom
 
14 - 19.05.20 - 19:09
   Garykom
 
15 - 19.05.20 - 19:17
(14)+ cert=отпечаток сертификата
   Garykom
 
16 - 19.05.20 - 19:18
(11) И ты уверен что сразу к промышленному хочешь а сначала в песочнице поиграться?
   Garykom
 
17 - 19.05.20 - 19:18
ну и https://xn--80ajghhoc2aj1c8b.xn--p1ai/forum/?PAGE_NAME=read&FID=7&TID=67&TITLE_SEO=67-ne-mogu-podklyuchitsya-k-pesochnitse там кое что есть только туда хрен так просто попадешь
   Garykom
 
18 - 19.05.20 - 19:21
А и да чтобы в песочнице самому поиграться понадобится вот это https://xn--80ajghhoc2aj1c8b.xn--p1ai/forum/?PAGE_NAME=message&FID=8&TID=88&TITLE_SEO=88-testovye-obmeny-v-pesochnitse&tags=&q=сертификат&FORUM_ID%5B0%5D=0&DATE_CHANGE=0&order=relevance&s=Найти&PAGEN_1=4
Это сертификаты тестовых фирм с остатками и можно от них на свою фирму отгрузку делать
   1snik_d
 
19 - 19.05.20 - 19:21
(16) Уже все работает, если локально на компе развернуто все. Просто у нас больше 100 мест работы с маркировкой, хочется централизовать все и обезопасить себя от наличия сертификатов на рабочих компах
   1snik_d
 
20 - 19.05.20 - 19:21
(19) Да и админить одно место или 100 - есть разница.
   1snik_d
 
21 - 19.05.20 - 19:22
(15) Не завелось что-то
   Garykom
 
22 - 19.05.20 - 19:26
(21) Если у тебя заводится "Уже все работает, если локально на компе развернуто все."
то с этого же компа через тот же ip с тем же сертификатом должно и через stunnel работать
   1snik_d
 
23 - 19.05.20 - 19:28
(22) К этому компу цепляюсь с другого. С этого локально работает, а с соседнего через этот нет.
   Garykom
 
24 - 19.05.20 - 19:30
(23) Проверь что файрвол не блочит и т.д.
   Garykom
 
25 - 19.05.20 - 19:32
(11) accept = 18080 кстати просто порт лучше без ip
   1snik_d
 
26 - 19.05.20 - 19:56
Блин, не хочет зараза
   1snik_d
 
27 - 19.05.20 - 21:10
Смотрю логи: авторизация и проверка сертификата на маркировке проходит успешно. Через http://localhost:18080 пишет "Welcome to api"
   Garykom
 
28 - 19.05.20 - 21:10
(26) Надеюсь ты без ssl по http на 18080 порт стучишься?
ssl stunnel-msspi сам добавит и будет на правильный 443 порт стучаться api.mdlp.crpt.ru
   1snik_d
 
29 - 19.05.20 - 21:11
(28) fuck, а надо всегда через http?
   Garykom
 
30 - 19.05.20 - 21:14
(29) если через stunnel то да он же для этого и нужен, для программ которые не умеют https (только http) он его добавлят
используют чтобы например почту на новые сервера гугла и прочих яндексов отправлять из старого софта, после требований ssl/https
 
 Рекламное место пустует
   1snik_d
 
31 - 19.05.20 - 21:16
Пилять, заработало!!! Дай бог тебе здоровья, добрый человек!
   1snik_d
 
32 - 19.05.20 - 21:16
(30) У меня задача немного другая, но принцип я понял.
   timurhv
 
33 - 19.05.20 - 21:27
(0) Достаточно одного токена, который получают с помощью подписания тестового сообщения при авторизации для отправки подписанных сообщений.
На местах сотрудники с ЭЦП подписывают документы (JSON), далее по актуальному токену на сервере массово отправляются документы, происходит разагрегация упаковок по входящим УПД для последующей проверки статусов и приемки кодов с помощью ТСД и тп.

И нужны ли ЭЦП 100 сотрудникам?
   1snik_d
 
34 - 19.05.20 - 21:37
(33) Надо настроить и поддерживать в актуальном состоянии 100 рабочих мест со 100 лицензиями крипто про + держать ЭЦП, что не очень-то и безопасно.
   1snik_d
 
35 - 19.05.20 - 21:38
(33) Плюс документы должны попасть на сервер в базу, напоминаю, у нас распределенка.
   timurhv
 
36 - 20.05.20 - 00:03
(35) Да я сперва с (1) не разобрался.


Список тем форума
Рекламное место пустует  Рекламное место пустует
Компьютер — устройство разработанное для ускорения и автоматизации человеческих ошибок.
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.