Comments 13
А можно уточнить: здесь используется несертифицированное решение для подписания, это какие-то тестовые стреды, как планируется прохождение сертификации для конечного решения?
Просто вроде как ГОСТ криптографию предполагается использовать только с криптопро, випнет и там ещё какие-то были сертифицированные криптопровадеры.
И где ты был 5 месяцев назад, когда я сквозь кровь и пот пытался добиться работоспособности всей этой схемы...
Особенно меня тогда протестировало то, что делалось всё на Node.JS, и пришлось хорошенько погрузиться в то, как работает подпись XML, чтобы модифицировать исходный код библиотек
Хорошо, что всё это уже позади.
Спасибо за статью, подобным занимался и уже видел статьи по настройке stunnel с гостом. Интереснее то, как вы решили вопрос с подписью запросов? Что-то самописное на php или тут стэк пришлось расширять до решений, где уже есть библиотеки для работы с гост подписью? И еще вопрос - используете ли вы ГИС как источник информации? Или используете только для того, чтобы отправить информацию туда (для отчетности)? И как оцениваете в целом работу ГИСа и их ТП?
приложение, которому требовалась интеграция написано на php, поэтому мы не стали выпендриваться и пытаться завести туда шарп или джаву, тем более что интеграция с гисом в них оставляет желать лучшего
всю интеграцию делал сам, с нуля, опираясь на опыт древних, магию и stackoverflow
ГИС используем только для отдачи информации о должниках (забираем данные по людям, о которых надо предоставить инфу и отсылаем ответы), отчётность там не ведём
на последний вопрос я отвечать не буду, он риторический и угарный)
Здравствуйте! Спасибо за Ваш труд! Вы пишете:
Публичный ключ можно достать через
openssl x509 -in cert.crt -out cert.pem -outform PEM
Я заметил, что если выгрузить сертификат не в кодировке DER, а в кодировке Base-64, то на выходе мы сразу получим файл искомого формата. Я выгрузил файл в кодировке DER, конвертировал его с помощью приведённой команды, затем сравнил с файлом в кодировке Base-64, совпали до бита.
Скриншот меню
И ещё разрешите уточнить, «.crt» это «.cer» или нет? Просто КриптоПро выгружает именно с этим расширением. Но может я чего недопонимаю.
Ещё раз здравствуйте!
Задействованный образ php:8.1-fpm-alpine устанавливает SSL третьей версии. Она появилась в alpine с версии 3.17.
Можно заменить на php:8.1.1-fpm-alpine3.15
И, будьте любезны, уточните конфигурацию stunnel.conf. У вас параметры слились в одну строчку, причём в этой строчке дублированные данные.
Я попытался привести конфиг в порядок. Но не уверен, что угадал со всеми ключами. И первая строчка вызывает подозрение.
stunnel.conf
сорян, криво вставился конфиг, исправил, спасибо большое!
по поводу образа пхп отпишусь позже
Менять образ на определенную версию необязательно. Сегодня фиксил проект с гисом, запущенный на latest alpine, полет нормальный
А как же так у Вас вышло? Я, признаться, пока ожидал ответов, сам собрал на образе дебиана. Кстати, Вы там спрашивали, как всё это сделать на SSL3, я теперь могу ответить.
OpenSSL + ГИС ЖКХ