Closed demoniz closed 3 years ago
pem/der
Alexander Ustimenko +7 (952) 918-02-20
пн, 5 окт. 2020 г. в 21:30, demoniz notifications@github.com:
Приветствую! Прошу помощи, подскажите как правильно конвертировать гостовский сертификат для работы с данным расширением и извлечь из него публичный ключ. Используем докер контейнер https://github.com/rnixik/docker-openssl-gost/tree/master/php-fpm-gost
С тестовыми ключами и сертификатами которые предоставляются из коробки все работает как надо.
Пробуем использовать продуктивный сертификат, его через экспорт windows (мастер экспорта сертификатов) сохраняем в "Файлы X.509(.CER) в кодировке Base-64".
Далее извлекаем ключ с помощью команды: for CERT in .cer; do openssl x509 -engine gost -noout -pubkey -in $CERT -out ${CERT%.}.public.key; done Указываем пути до файлов, пробуем пройти авторизацию и получаем Fatal error: Uncaught RuntimeException: Operation failed with code#3 as of: unable to load signing key file 140678649394304:error:0906D06C:PEM routines:PEM_read_bio:no start line:crypto/pem/pem_lib.c:691:Expecting: ANY PRIVATE KEY unable to write 'random state'
Подскажите в чем может быть проблема.
— You are receiving this because you are subscribed to this thread. Reply to this email directly, view it on GitHub https://github.com/ekapusta/oauth2-esia/issues/13, or unsubscribe https://github.com/notifications/unsubscribe-auth/AAATBHOKKQNIYTQPJG5EP4TSJHKARANCNFSM4SEYR3EQ .
Прошу прощения, не понял. DER на сколько я понимаю является двоичным форматом сертификата, а тут судя по примерам используются не двоичные.
Вы судя по всему экспортируете в бинарном формате.
man openssl x509
Alexander Ustimenko +7 (952) 918-02-20
пн, 5 окт. 2020 г. в 21:39, demoniz notifications@github.com:
Прошу прощения, не понял. DER на сколько я понимаю является двоичным форматом сертификата, а тут судя по примерам используются не двоичные.
— You are receiving this because you commented. Reply to this email directly, view it on GitHub https://github.com/ekapusta/oauth2-esia/issues/13#issuecomment-703675749, or unsubscribe https://github.com/notifications/unsubscribe-auth/AAATBHOM74IMU27CXYZZ2G3SJHLA5ANCNFSM4SEYR3EQ .
Подскажите как надо? Имеем продовский сертификат в формате .sert с алгоритмом подписи ГОСТ 2012. Так же есть 6 ключей (header.key, masks.key, masks2.key, name.key, primary.key, primary2.key). Какие дальнейшие действия должны быть?
Ааа... Тогда вам сюда
https://github.com/garex/nodejs-gost-crypto
Alexander Ustimenko +7 (952) 918-02-20
пн, 5 окт. 2020 г. в 21:55, demoniz notifications@github.com:
Подскажите как надо? Имеем продовский сертификат в формате .sert с алгоритмом подписи ГОСТ 2012. Так же есть 6 ключей (header.key, masks.key, masks2.key, name.key, primary.key, primary2.key). Какие дальнейшие действия должны быть?
— You are receiving this because you commented. Reply to this email directly, view it on GitHub https://github.com/ekapusta/oauth2-esia/issues/13#issuecomment-703685956, or unsubscribe https://github.com/notifications/unsubscribe-auth/AAATBHOKYTXFWJ4QMP5C2QDSJHM5XANCNFSM4SEYR3EQ .
Если не сложно, подскажите как это использовать, node установлен. А точнее запускать. Зависимости установлены.
Cами пробуйте, я уже давно не работал с этой штукой.
Alexander Ustimenko +7 (952) 918-02-20
пн, 5 окт. 2020 г. в 22:24, demoniz notifications@github.com:
Если не сложно, подскажите как это использовать, node установлен
— You are receiving this because you commented. Reply to this email directly, view it on GitHub https://github.com/ekapusta/oauth2-esia/issues/13#issuecomment-703704622, or unsubscribe https://github.com/notifications/unsubscribe-auth/AAATBHM5M2STZQBIWFEEGDLSJHQKZANCNFSM4SEYR3EQ .
@garex подскажите, а вы проверяли работу в продакшене? У нас почему то постоянно вылезает ошибка "ESIA-007005: Система-клиент не имеет права запрашивать получение маркера доступа таким методом". Хотя тот же код отлично работает с вашими тестовыми данными. Ключи в итоге мы портировали с помощью покупной P12FromGostCSP в pfx.
Далее конвертировали
openssl pkcs12 -in p12.pfx -nokeys -out p12.crt
и
openssl pkcs12 -in p12.pfx -nocerts -out p12.pem -nodes
Может быть конечно и клиент что то с настройкой напутал....
Это скоупы. Вы хотите больше чем можно.
пт, 9 окт. 2020 г., 19:04 demoniz notifications@github.com:
@garex https://github.com/garex подскажите, а вы проверяли работу в продакшене? У нас почему то постоянно вылезает ошибка "ESIA-007005: Система-клиент не имеет права запрашивать получение маркера доступа таким методом". Хотя тот же код отлично работает с вашими тестовыми данными. Ключи в итоге мы портировали с помощью покупной P12FromGostCSP в pfx.
Далее конвертировали openssl pkcs12 -in p12.pfx -nokeys -out p12.crt openssl pkcs12 -in p12.pfx -nocerts -out p12.pem -nodes
Может быть конечно и клиент что то с настройкой напутал....
— You are receiving this because you were mentioned. Reply to this email directly, view it on GitHub https://github.com/ekapusta/oauth2-esia/issues/13#issuecomment-706141392, or unsubscribe https://github.com/notifications/unsubscribe-auth/AAATBHOO5QDLRXEPGPNRMQ3SJ335BANCNFSM4SEYR3EQ .
Я тоже так думал, но уже указаны только 2 'openid', 'fullname'
Мб минком не включил систему? Или алгоритм не тот выбран.
пт, 9 окт. 2020 г., 19:07 demoniz notifications@github.com:
Я тоже так думал, но уже указаны только 2 'openid', 'fullname'
— You are receiving this because you were mentioned. Reply to this email directly, view it on GitHub https://github.com/ekapusta/oauth2-esia/issues/13#issuecomment-706142771, or unsubscribe https://github.com/notifications/unsubscribe-auth/AAATBHOUCSKIALLTLFSHV73SJ34J3ANCNFSM4SEYR3EQ .
Алгоритм стоит верный. А вот как проверить включил он ее или нет это вопрос....
включил = успешно закрыл запрос на подключение ИС к боевому контуру.
Вот так вот не надо: openid, fullname ! Надо вот тааак: fullname, id_doc (или просто fullname) Понятно?
У нас вот так работает: 'defaultScopes' => ['openid', 'fullname', 'id_doc',]
@nucleargen когда проблема в scope он будет писать ESIA-007019 noGrants
@garex добрый день!
Не подскажите , использую https://github.com/garex/nodejs-gost-crypto , создал папку с 6 файлами key которые мне выдали , далее запуск , чтобы преобразовать в pem и у меня выходит ошибка
Error: Incorrect fp
nodejs-gost-crypto-nodefy\lib\gostKeys.js:959:27м
В чем может быть проблема ?
Приветствую! Прошу помощи, подскажите как правильно конвертировать гостовский сертификат для работы с данным расширением и извлечь из него публичный ключ. Используем докер контейнер https://github.com/rnixik/docker-openssl-gost/tree/master/php-fpm-gost
С тестовыми ключами и сертификатами которые предоставляются из коробки все работает как надо.
Пробуем использовать продуктивный сертификат, его через экспорт windows (мастер экспорта сертификатов) сохраняем в "Файлы X.509(.CER) в кодировке Base-64".
Далее извлекаем ключ с помощью команды:
for CERT in *.cer; do openssl x509 -engine gost -noout -pubkey -in $CERT -out ${CERT%.*}.public.key; done
Указываем пути до файлов, пробуем пройти авторизацию и получаемFatal error: Uncaught RuntimeException: Operation failed with code#3 as of: unable to load signing key file 140678649394304:error:0906D06C:PEM routines:PEM_read_bio:no start line:crypto/pem/pem_lib.c:691:Expecting: ANY PRIVATE KEY unable to write 'random state'
Подскажите в чем может быть проблема.