Сбор диагностических данных для уц 2.0(исполнение 15

Информация на это странице размещена исключительно для ознакомления.

Автор не призывает пользоваться данным способом и не поощряет пиратство.

Этот способ удобно использовать в случае, когда нужно срочно заставить работать программу, а купленная лицензия прямо сейчас недоступна.

Работает для версии КриптоПроCSP 5

Для пользователей Windows

Удаляем в реестре ссылки на параметры (по одной ссылке)

или вводим по-очереди команды для командной строки:

Запускаем инсталляцию CSPSetup, выбирая “Исправить”. Перезагружать ничего не нужно!

Для пользователей MacOS

Удаляем программу с помощью утилиты uninstall_csp.app из пакета дистрибутива.

Важно! Если УЦ расположен на нескольких машинах (например ЦР+ЦС) то диагностику необходимо собрать в полном объеме с каждой машины!

0.Получение списка запущенных процессов и открытых портов

sudo netstat -tulpn

Скриншот с результатом выполнения необходимо будет прикрепить к заявке на ТП.

1. Сбор конфиг файлов(CA +NGINX):

#Выполнять в bash, под тем пользователем, который имеет права на доступ в директорию с УЦ#Путь к файлам УЦ задается в переменной dir, если у Вас файлы УЦ расположенные в директории отличной от директории/opt/cpca то значение данной переменной необходимо будет перезадать

#результатом будет архив uc_config.gz который необходимо будет прикрепить к заявке на ТП.

2. Сбор информации о сертификатах

#Чтобы получить информацию о сертификатах, установленных в хранилище пользователя необходимо:#Важо выполнять команду от имени того пользователя, которому принадлежат права на диреторию УЦ, и из под которого запускаются демоны.

#То-же самое для пользователя nginx(или пользователя из под которого запускается nginx)

3. Сбор логов УЦ, за текущую дату

#Значение переменной dir=/var/log/cpca/ это путь к файлам логов по умолчанию, если у Вас используется другой путь, то это значение можно перезадатьdir=/var/log/cpca/

Результатом будет файл /tmp/_uclog.gz который необходимо будет прикрепить к заявке на ТП.

3.1(опционально) Сбор логов демонов в неструктурированном виде, за определенный промежуток времени:

Для сбора диагностики, когда не стартуют демоны, перед сбором информации небходимо попробовать их запуститьб чтобы ошибки записались в лог

#Где 20 это количество минут, за которые надо собрать логи

OCSP – В директории установки службы OCSP распологается файл ocsp_2012.json -его необходимо скопировать и приложить в обращение.

TSP – В директории установки службы TSP распологается файл tsp_2012.json -его необходимо скопировать и приложить в обращение.

В конфиг файлах, распоолжене котрых описанно выше прописан путь к лог файлам, стандартный путь это

для OCSP /tmp/ocsp_2012_HH:mm:ss

для TSP /tmp/tsp_2012_HH:mm:ss

Самый свежий файл логов необходимо приложить в обращение

Закрытый ключ КриптоПро CSP представляет из себя флеш-накопитель, на котором в директории ххххх.000 лежат файлы primary.key, primary2.key, masks.key, masks2.key, name.key и header.key.

Такие ключи читаются только программой CryptoProJCP, серверная лицензия которой стоит на данный момент 120 тыс рублей.

Но наша задача – получить .p12 контейнер с наименьшими затратами.

C контейнером .p12 можно работать из java например с помощью библиотеки bouncycastle.

:/> Как перенести данные с одного аккаунта гугл на другой аккаунт гугл на телефоне

Но это уже тема следующей статьи.

Для экспорта ключа нам поможет замечательная утилита P12FromGostCSP, которая позволяет конвертировать ключ в формат .pfx

Мы вставляем флешку, запускаем утилиту и выбираем ключ для преобразования. Далее указываем пароль на хранилище и на выходе получим хранилище формата .pfx

Впрочем, это только начало, так как после конвертации контейнер все еще недоступен для чтения из java.

Далее нам потребуется с помощью OpenSSL извлечь закрытый ключ и сертификат и поместить их в .p12 хранилище.

Но есть проблема – OpenSSL из коробки не работает с алгоритмом ГОСТ 2012Для этого нам потребуется программа openssl с поставленным на нее дополнением gost engine (ссылка тут). Нам необходимо установить это дополнение, следуя инструкциям, скомпилировав его из исходников.

Мы можем воспользоваться докер-контейнером, в котором уже установлен OpenSSL вместе с дополнением для корректной работы с алгоритмом ГОСТ 2012.

Ссылка на статью с описанием работы с данным докер-образом: Docker-образы с поддержкой ГОСТ-сертификатов в openssl, curl, php, nginx

В самом простом варианте нам требуется запустить этот докер-контейнер, подключиться к нему пробросив volume и выполнить пару консольных команд для извлечения закрытого ключа и сертификата из .pfx и помещения их в .p12

Запустим контейнер, пробросив папку tmp. В ней будем выполнять преобразования.

docker run -v “c:/tmp:/usr/tmp” –rm -i -t rnix/openssl-gost bash

#Достаем ключopenssl pkcs12 -in gost.pfx -out gost.key -nocerts

#После команды задаем пароль для ключа.

#Достаем сертификатopenssl pkcs12 -in gost.pfx -out gost.cer -nokeys

#Объединяем их в хранилище p12, задавая ключу имя prod, его нужно будет прописать в application.properties как key.aliasopenssl pkcs12 -export -inkey gost.key -in gost.cer -out gost.p12 -name prod

P.S. Если тема интересна, напишу статью как сделать сервис на spring boot, который будет подписывать файлы и сообщения с помощью ключа и сертификата в .p12 контейнере по алгоритму ГОСТ 2012.

Спасибо за внимание 🙂

Клиент NGate может работать в качестве службы в фоновом режиме. Для настройки служб у
пользователя ОС Windows должны быть права Администратора.

Крипто Про CSP

Кажется в Linux Astra можно подписывать документы бесплатно, и отправлять.
Вы получили электронные подписи на гос.услугах? Подписывайте ими и отправляйте.

Можно ли купить два Крипто Про CSP для каждого пользователя или принципиально будет работать только с серверной лицензией?

КриптоПро при попытке ввода лицензии сопоставляет ее вид с типом Windows и активировать клиентскую лицензию на серверной OC просто не даст.

Так что купить клиентские лицензии вы сможете, а вот активировать – не-а, и что будете делать после окончания триала?

на одного пользователя 2.700, на сервер 67.000

Про ларьки ещё никто не вспоминал?

(8) Для ларьков (да и контор побольше) тоже возможно бюджетное решение, подказка: VipNet + ЛИССИ.

:/> Фотографируемся с помощью веб-камеры ноутбука

Ну, и голова + руки – само собой.

11.

fixin

Сейчас в теме

(10) Ключ записанный для крипто Про не подойдет в VipNet, а в налоговой его по умолчанию делают для Крипто-Про, увы. Много возни.

fixin

Сейчас в теме

(2) там все удаленщики. Подписи конечно получены. Речь о криптопровайдере.

(3) А что по поводу работы в такой конфигурации говорит поддержка крипто-про, Сереженька? Ты же ведь уже задал им этот вопрос?

fixin

Сейчас в теме

(4) еще нет. Это надо обращаться не в поддержку, а в отдел продаж.

12.

fixin

Сейчас в теме

(7) прочитал, печально. Странная политика лицензирования.
Можно, наверное, ковырять в сторону виртуальных машин.
Или VipnNet таки мучать.

13.

msZorro

Сейчас в теме

14.

fixin

Сейчас в теме

1С:ЭДО работает даже с Крипто ПРО CSP с истекшей лицензией, видимо у них своя партнерская договоренность.

Просто в ЭЦП может быть встроенная лицензия на КриптоПро, которая в каких-то случаях считается достаточной.

Например, выданный ИП сертификат ФНС содержит:

Что избавляет предпринимателя от покупки КриптоПро.

P.S. ЭЦП выдана в декабре 2022, когда официально этот “эксперимент” уже закончился.

а если поставить крипто про на клиентские пк и скопировать ключ?
так не получится?

17.

пользователь

Сообщение было скрыто модератором.

19.

msZorro

Сейчас в теме

ну если сильно захотеть, то все может получиться=)

23.

fixin

Сейчас в теме

(20) но не всегда и не со всеми токенами.

18.

пользователь

21.

pilot_Danik

Сейчас в теме

Конечно, лучше ключ ЭЦП купить со встроеной лицензией на крипто ПРО, например в СБИСЕ

30.

fixin

Сейчас в теме

(21) намного дороже стоит с лицензией на крипто-про?

22.

pilot_Danik

Сейчас в теме

Есть один ключ у нас без лицензии. Сделали так, при подписании на сервере, документ улетает неподписаным в Сбис и ждет подписи, когда ключ втыкается в ноут юзера выполняется подписание

24.

fixin

Сейчас в теме

(22) мы же вроде про 1С:ЭДО. А не про СБИС

25.

fixin

Сейчас в теме

Один мой знакомый предложил решение через виртуальную машину на клиентской ОС разворачиваемую в RDP-сессии. Но у него 1С:Отчетность работает даже с истекшей лицензией Крипто Про, каким-то волшебным образом.

26.

пользователь

27.

pilot_Danik

Сейчас в теме

(25) Так работает только в том случае если лицензия вшита в ключ

(27) Об этом уже писали позавчера (см.15), но автор внимания на это не обратил. Почему? Процитирую (сам себя): правильный ответ автору не нужен, нужен желаемый ответ!

29.

fixin

Сейчас в теме

(27) а как узнать, вшита она в ключ или нет? И в какой ключ? в ЭЦП конкретного юр лица?

:/> Изменение объёма разделов на HDD или SSD в Windows | Сеть без проблем

Ффух! Свойства сертификата, вкладка “Состав”.

Если есть строчка “Ограниченная лицензия КРИПТО-ПРО” – читаем, если нету – значит, нету.

“Беда, коль пироги начнет печи сапожник, а сапоги тачать пирожник”

Все равно, кроме минуса, от этого автора ни хрена не дождешься.

32.

pilot_Danik

Сейчас в теме

Да, USB флешка с подписью.
Воткнуть ключ открыть крипто про

33.

fixin

Сейчас в теме

(32) спасибо, наглядно. Проверю. Интересно, а как статистически распространены такие ключи.

34.

pilot_Danik

Сейчас в теме

Все ключи от сбиса у нас с лицензией. А вот один который в налоговой получали, без лицензии. Но нам банк, в котором обслуживаемся выдал код лицензии на крипто про бессрочный.

36.

fixin

Сейчас в теме

(34) серверный код лицензии? клиентский бессрочный стоит 2700, так что банк мог и сделать такой реверанс – копейки.

35.

akitayev

Сейчас в теме

20 марта 2023 года ФНС завершила эксперимент и перестала встраивать лицензии КриптоПро CSP в сертификаты электронной подписи

37.

fixin

Сейчас в теме

(35) Многия печали ждут пользователей, когда у них на серваках перестанут работать ключи.

38.

pilot_Danik

Сейчас в теме

(36) Не не серверный, клиентский. Но в любом случае нас устраивает, потому что все подписания с локально машины происходят.

39.

SnakePlisskin

Сейчас в теме

Подниму тему, неужели вариант только с покупкой серверной лицензии за 70 тысяч ?

40.

fixin

Сейчас в теме

41.

SnakePlisskin

Сейчас в теме

(40) с ВМ слишком много геморроя, бухи просто душу вытрясут. А что за способ ?

О, сейчас будут рассказы о нарушении лицензий. Всё, как мы на этом сайте любим!

Как найти лицензионный ключ КриптоПро CSP в реестре Windows

Если возникает необходимость узнать лицензионный ключ установленного в Windows экземпляра КриптоПро CSP, то потребуется обратиться к данным из реестра Windows

Ключ продукта хранится в параметре ProductID в системном реестре в разных местах в зависимости от версии продукта:

Для КриптоПро CSP 3.6:

Для КриптоПро CSP 3.9:

Для КриптоПро CSP 4.0:

Для КриптоПро CSP 5.0:

Чтобы удалённо собрать информацию о ключах продукта с Windows компьютеров по сети, можем воспользоваться удалённым вызовом PowerShell. Пример такого вызова для получения информации о КриптоПро SCP 5 версии:

InvokeCommand COMPUTER01 COMPUTER02 DisplayNameDisplayVersionInstallDateRegCompanyRegOwnerProductID DisplayNameDisplayVersion
stallDateRegCompanyRegOwnerProductID

Проверено на следующих конфигурациях:

Версия ОС КриптоПро CSP

Windows 10 Pro 10.0.19045 5.0.11944

Автор первичной редакции:Алексей Максимов
Время публикации: 09.01.2024 09:00