Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

На Linux не предлагает использовать сторонние сертификаты #14

Open
snejok opened this issue May 27, 2020 · 10 comments

Comments

@snejok
Copy link

snejok commented May 27, 2020

ОС Linux
Импортирую pfx файл
В "Ваши сертификаты" он появляется
Захожу на не ГОСТовый https-сайт, он запрашивает сертификат, в окошке моего сертификата нет, есть только те, что импортированы в КриптоПро

На Windows все работает

@snejok
Copy link
Author

snejok commented May 27, 2020

На ОС Windows браузер chromium-gost предлагает для https-gost-сайтов сертификаты из КриптоПро, а для https-rsa-сайтов сертификаты, импортированные в браузер

@deemru
Copy link
Owner

deemru commented May 27, 2020

Для https-rsa сайтов тоже нужно импортировать в КриптоПро, сторонние сертификаты поддерживаться не будут, для этого есть другие браузеры, то же оригинальный Chromium.

@deemru deemru changed the title На linux не предлагает использовать НЕ Гост сертификаты На Linux не предлагает использовать сторонние сертификаты May 27, 2020
@deemru
Copy link
Owner

deemru commented May 27, 2020

Использование сертификатов с зарубежными алгоритмами через штатные хранилища КриптоПро в процессе разработки, для этого потребуется полностью переключиться на реализацию TLS через msspi.

Уточните ваши потребности в использовании зарубежных сертификатов в chromium-gost.

@snejok
Copy link
Author

snejok commented May 28, 2020

Потребность в прозрачной работе на любых сайтах, вне зависимости ГОСТ-TLS или RSA.
Юзеры не понимают зачем им два браузера (один для ГОСТ, второй для всего остального).
И их можно понять.

В "идеальном мире" хотелось просто поставить им chromium-gost, а остальные браузеры снести и юзеры бы ничего не заметили :-)
Впрочем, это почти получилось, пока не появился сайт, требующий RSA-сертификат :-)

@snejok
Copy link
Author

snejok commented May 28, 2020

Кстати, я не знаю можно ли тут такое говорить, но в sputnik для Linux RSA сертификаты работают :-)

@snejok
Copy link
Author

snejok commented May 28, 2020

Использование сертификатов с зарубежными алгоритмами через штатные хранилища КриптоПро в процессе разработки, для этого потребуется полностью переключиться на реализацию TLS через msspi.

Простите, но объясните, пожалуйста, почему на ОС Windows оно работает, а на Linux нет?

@deemru
Copy link
Owner

deemru commented May 28, 2020

Простите, но объясните, пожалуйста, почему на ОС Windows оно работает, а на Linux нет?

В Windows общее с системой хранилище, так как CSP встраивается прозрачно.

На Linux и MacOS криптопровайдер является отдельным продуктом, соответственно и хранилище у него отдельное.

Кстати, я не знаю можно ли тут такое говорить, но в sputnik для Linux RSA сертификаты работают :-)

Одновременно работают ГОСТ и RSA хранилища?

@snejok
Copy link
Author

snejok commented May 28, 2020

Простите, но объясните, пожалуйста, почему на ОС Windows оно работает, а на Linux нет?

В Windows общее с системой хранилище, так как CSP встраивается прозрачно.

На Linux и MacOS криптопровайдер является отдельным продуктом, соответственно и хранилище у него отдельное.

Понял, спасибо большое за объяснение!

Кстати, я не знаю можно ли тут такое говорить, но в sputnik для Linux RSA сертификаты работают :-)

Одновременно работают ГОСТ и RSA хранилища?

Счас начал перепроверять:
ГОСТ-сайт спрашивает сертификат, выбираю, но получаю ERR_SSL_CLIENT_AUTH_CERT_NO_PRIVATE_KEY

Либо я делаю что-то не так, либо Спутник на Linux не очень хорошо работает с аутентификацией по ГОСТ-сертификатам

@deemru
Copy link
Owner

deemru commented May 28, 2020

Со своей стороны, попробуем вернуть функционал штатных хранилищ пользовательских сертификатов при работе через BoringSSL, но не обещаем.

@snejok
Copy link
Author

snejok commented May 29, 2020

Со своей стороны, попробуем вернуть функционал штатных хранилищ пользовательских сертификатов при работе через BoringSSL, но не обещаем.

Большущее спасибо!

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
None yet
Projects
None yet
Development

No branches or pull requests

2 participants