Доступ в личные кабинеты ФГИС (ЕИС, ГМУ, Электронный бюджет и т.д.)

Blaze

New member
Сообщения
50
#1
О наболевшем :)
Подскажите у кого-нибудь получилось зайти в личный кабинет ФГИС (любой, или той, что в названии темы)?
Какие ФГИС на данный момент совместимы с GNU Linux, а какие нет?
 

Blaze

New member
Сообщения
50
#4
Скоро это когда в октябре ФК перейдет на ГОСТ 2012?
 

Montfer

New member
Сообщения
462
#6
Что то похожее было, но на виндовозной машине: то ли сертификат сайта не вставал, то ли какой то компонент для портала
а на линуксе ни разу не настраивал эти ГИСы, может, там что то и отличается
 

renbuar

New member
Сообщения
9
#7
Andrey, [05.10.18 11:28]
[В ответ на Дмитрий Давидович]
У них кривой сертификат сервера.
Диагностировать можно так:
[root@test-x64-centos7 ~]# /opt/cprocsp/bin/amd64/csptestf -tlsc -server zakupki.gov.ru -v -nosave -savecert /tmp/t.p7b
[root@test-x64-centos7 ~]# /opt/cprocsp/bin/amd64/certmgr -list -file /tmp/t.p7b
=============================================================================
1-------
Issuer : E=uc_fk@roskazna.ru, S=г. Москва, INN=007710568760, OGRN=1047797019830, STREET="улица Ильинка, дом 7", L=Москва, C=RU, O=Федеральное казначейство, CN=Федеральное казначейство
Subject : INN=007710568760, OGRN=1047797019830, STREET="ул. Проспект Мира, 105", E=777@roskazna.ru, C=RU, S=г. Москва, L=Москва, O=Федеральное казначейство, CN=zakupki.gov.ru
Serial : 0x6F064FA71C24CD7E2CE6FAAEA927D8C7EC69A35F
SHA1 Hash : c369b560ce239beddb2fc12b4884dee1cfc923aa
SubjKeyID : 10c6d12e7cd886d022bcdfea4cbe10e32acf82bc
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Public key : 04 40 1b ce 0b 15 6a 4a 57 e0 1b d8 39 ee 86 83
32 70 ea db fd f5 39 c1 e6 de 3c c8 be 10 81 03
5d da 0b 3b 09 7a d3 0d 46 33 58 11 3b 20 94 99
fe 04 fe 8e e6 bc 32 53 ff 2e 71 10 8e e2 12 a1
52 cf
Not valid before : 21/12/2017 06:06:33 UTC
Not valid after : 21/03/2019 06:06:33 UTC
PrivateKey Link : No
Subject Alt Names
UPN : ▒㌴ (2.5.4.12)
URL : 0
CDP : http://crl.roskazna.ru/crl/ucfk.crl
CDP : http://crl.fsfk.local/crl/ucfk.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
...

При наличии расширения Subject Alt Names RFC требует сверять имя сервера с ним, а не с полем CN. Поэтому CN=zakupki.gov.ru отброшен, а в Subject Alt Names хрень.

Andrey, [05.10.18 11:35]
Но мы сделали параметр для отключения требований RFC6125, который может подвергнуть систему опасности для атак с подменой сертификатов:
[root@test-x64-centos7 ~]# /opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long Rfc6125_NotStrict_ServerName_Check 1
[root@test-x64-centos7 ~]# /opt/cprocsp/bin/amd64/csptestf -tlsc -server zakupki.gov.ru -nosave
HDEContext expired: OK if file is completely downloaded
Reply status: HTTP/1.1 200 OK
1 connections, 586 bytes in 0.186 seconds;
Total: SYS: 0,020 sec USR: 0,140 sec UTC: 0,230 sec
[ErrorCode: 0x00000000]
 

renbuar

New member
Сообщения
9
#8
Проблема решилась установкой КриптоПро версии 4.0.9963 и действиями как написал Андрей, за что ему огромное спасибо.

user@astra:~$ /opt/cprocsp/bin/amd64/csptest -keyset -verifycontext
CSP (Type:80) v4.0.9019 KC2 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 26834115
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC2 CSP
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,020 sec
[ErrorCode: 0x00000000]

user@astra:~$ sudo /opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long Rfc6125_NotStrict_ServerName_Check 1

user@astra:~$ sudo /opt/cprocsp/bin/amd64/csptestf -tlsc -server zakupki.gov.ru -nosave
HSECPKG_ATTR_PACKAGE_INFO not supported.
DContext expired: OK if file is completely downloaded
Reply status: HTTP/1.1 200 OK
1 connections, 589 bytes in 1.221 seconds;
Total: SYS: 0,040 sec USR: 0,320 sec UTC: 1,300 sec
[ErrorCode: 0x00000000]
 

renbuar

New member
Сообщения
9
#9
Для 4.0.9944
user@astra:~$ /opt/cprocsp/bin/amd64/csptest -keyset -verifycontext
CSP (Type:80) v4.0.9017 KC2 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 20066515
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC2 CSP
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,030 sec
[ErrorCode: 0x00000000]
user@astra:~$ sudo /opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add bool Rfc6125_NotStrict_ServerName_Check true
user@astra:~$ sudo /opt/cprocsp/bin/amd64/csptestf -tlsc -server zakupki.gov.ru -nosave
HSECPKG_ATTR_PACKAGE_INFO not supported.
DContext expired: OK if file is completely downloaded
Reply status: HTTP/1.1 200 OK
1 connections, 589 bytes in 0.388 seconds;
Total: SYS: 0,050 sec USR: 0,200 sec UTC: 0,450 sec
[ErrorCode: 0x00000000]
 

na-saratov

New member
Сообщения
5
#10
Коллеги, помогите!
Все настроил по инструкции https://wiki.astralinux.ru/pages/viewpage.action?pageId=32833902
При этом в Chromium с горем пополам сайты (с шифрованием по ГОСТу) отображаются, в Firefox-е - никак не хочет. Можно ли заставить Firefox заходить на сайты, использующие ГОСТ шифрование?
 

Вложения

Blaze

New member
Сообщения
50
#11
Не вижу смысла заходить на портал ФЗС ФК, так как подписывать ЭЦП все равно не сможете, там как-то хитро через ActiveX применяется плагин
КриптоПро ЭЦП Browser plug-in. Где логика - сказать сложно. ФК любят IE.

ГОСТ Р 34.11-2012, он же Streebog, внедряет ALT Linux в kernel 5.0 - https://www.phoronix.com/scan.php?page=news_item&px=Linux-4.21-Streebog-Crypt
 

na-saratov

New member
Сообщения
5
#12
Не вижу смысла заходить на портал ФЗС ФК, так как подписывать ЭЦП все равно не сможете, там как-то хитро через ActiveX применяется плагин
КриптоПро ЭЦП Browser plug-in. Где логика - сказать сложно. ФК любят IE.

ГОСТ Р 34.11-2012, он же Streebog, внедряет ALT Linux в kernel 5.0 - https://www.phoronix.com/scan.php?page=news_item&px=Linux-4.21-Streebog-Crypt
А по сути вопроса есть предложения? Портал ФЗС я использую как индикатор работоспособности. С любым другим порталом, использующим ГОСТ шифрование ситуация аналогичная.
 

na-saratov

New member
Сообщения
5
#14
В хормиуме я тоже зашел. На то, что ругается на сертификат подозреваю, что не все корневые нужные стоят, но это не критично. Вопрос был про Firefox: можно ли штатный Firefox в Astra Linux заставить работать с ГОСТ шифрованием.
 

na-saratov

New member
Сообщения
5
#15
Подозреваю, что для Хромиума для корректного взаимодействия с сервером нужно ставить корневые сертификаты в самом Хромиуме, однако при добавлении корневого сертификата головного удостоверяющего центра Минкомсвязи возникает неизвестная ошибка
 

Вложения

DVMakc

New member
Сообщения
1
#16
Получил доступ к закупкам и минфину, есть информация по TLS и JINN клиентам для полноценной работы сайта минфин и электронного бюджета?
 

na-saratov

New member
Сообщения
5
#17
Получил доступ к закупкам и минфину, есть информация по TLS и JINN клиентам для полноценной работы сайта минфин и электронного бюджета?
насколько мне известно, что Континент-ТЛС, что jinn-клиент имеют варианты исполнения только для ОС Windows. Без них ЭБ пока не работает, но планы заставить его работать на отечественном ПО есть http://www.roskazna.ru/upload/iblock/0db/plan_grafik.pdf