Всем привет. Есть распределенная ИБ. В связи с предстоящей маркировкой сделали свой шлюз (веб сервис) для подписания документов ЭЦП (чтобы не хранить ЭЦП на компьютерах сотрудников).
С подписью разобрался, все работает. Теперь надо отправлять подписанные данные на портал маркировки. И вот тут вопрос: нужно ли обязательно для установления такого соединения разворачивать на компьютере крипто про и ЭЦП или можно как-нибудь без этого обойтись.

(0) А тебе кто мешает https://www.cryptopro.ru/products/other/stunnel-msspi заюзать?
как у меня в https://github.com/Garykom/mdlp

(1) ЭЦП должна быть на компьютере? или можно ее как-то на сервере использовать?

(2) Там где stunnel-msspi стоит, на сервер его ставишь и настраиваешь как ssl-шлюз.
Т.е. удаленные клиенты стучаться допустим на этот сервер на порт указанный (попустим 1443) а он редиректит на сервер ЦРПТ (маркировки) на нужный 443 порт

(3)+ Причем можно без сертификата УКЭП на шлюзе, только крипто-про с его либами поставить.
Точнее это зависит от конечного сайта маркировки, требует ли он указания сертификата пользователя или достаточно tls по гост

(3) Может есть какая-нибудь аналогичная приблуда, чтобы подписывать документы, ну типа cadescom шлюза?

(4) таблеточный шлюз mdlp.crpt.ru будет работать?

(6) У меня же работает.
Делал настройку аналогично https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=93382#post93382

(5) В (1) приблуда которая и подписывает и отправляет, написана на Golang, исходники могу за денежку или допилить для вас.
Точнее предоставить более новую версию уже допиленную а не старую что выложена.

(8) Самому интересно запилить, сейчас сделал на php, чтобы подписывалось на сервере.

(1) А вот за это спасибо, сейчас буду пробовать

Продолжу: установил schannel, настроил конфиг

[MARKIROVKA]
client = yes
accept = 192.168.1.250:18080
connect = api.mdlp.crpt.ru:443
sni = api.mdlp.crpt.ru
verify = 0

где 192.168.1.250 - локальный адрес компа в локальной сети, сделал проброс порта 18080 и установил все криптографическое ПО на эту машину. В логах вижу, что соединение внешнее проходит, но дальше видимо сбрасывается на стороне МДЛП. Сертификаты не надо каки-то специальным образом подкинуть в SCHANNEL?

(11) Если сертификат не прописывать то без белого ip зареганного через техподдержку ЦПРТ работать не будет.
С сертификатом говорят и без белого ip и регистрации его работает, но лично не проверял.

(12) как ему пихнуть сертификат?

(13) https://www.cryptopro.ru/products/other/stunnel-msspi

(14)+ cert=отпечаток сертификата

(11) И ты уверен что сразу к промышленному хочешь а сначала в песочнице поиграться?

ну и https://xn--80ajghhoc2aj1c8b.xn--p1ai/forum/?PAGE_NAME=read&FID=7&TID=67&TITLE_SEO=67-ne-mogu-podklyuchitsya-k-pesochnitse там кое что есть только туда хрен так просто попадешь

А и да чтобы в песочнице самому поиграться понадобится вот это https://xn--80ajghhoc2aj1c8b.xn--p1ai/forum/?PAGE_NAME=message&FID=8&TID=88&TITLE_SEO=88-testovye-obmeny-v-pesochnitse&tags=&q=сертификат&FORUM_ID%5B0%5D=0&DATE_CHANGE=0&order=relevance&s=Найти&PAGEN_1=4
Это сертификаты тестовых фирм с остатками и можно от них на свою фирму отгрузку делать

(16) Уже все работает, если локально на компе развернуто все. Просто у нас больше 100 мест работы с маркировкой, хочется централизовать все и обезопасить себя от наличия сертификатов на рабочих компах

(19) Да и админить одно место или 100 - есть разница.

(15) Не завелось что-то

(21) Если у тебя заводится "Уже все работает, если локально на компе развернуто все."
то с этого же компа через тот же ip с тем же сертификатом должно и через stunnel работать

(22) К этому компу цепляюсь с другого. С этого локально работает, а с соседнего через этот нет.

(23) Проверь что файрвол не блочит и т.д.

(11) accept = 18080 кстати просто порт лучше без ip

Блин, не хочет зараза

Смотрю логи: авторизация и проверка сертификата на маркировке проходит успешно. Через http://localhost:18080 пишет "Welcome to api"

(26) Надеюсь ты без ssl по http на 18080 порт стучишься?
ssl stunnel-msspi сам добавит и будет на правильный 443 порт стучаться api.mdlp.crpt.ru

(28) fuck, а надо всегда через http?

(29) если через stunnel то да он же для этого и нужен, для программ которые не умеют https (только http) он его добавлят
используют чтобы например почту на новые сервера гугла и прочих яндексов отправлять из старого софта, после требований ssl/https

Пилять, заработало!!! Дай бог тебе здоровья, добрый человек!

(30) У меня задача немного другая, но принцип я понял.

(0) Достаточно одного токена, который получают с помощью подписания тестового сообщения при авторизации для отправки подписанных сообщений.
На местах сотрудники с ЭЦП подписывают документы (JSON), далее по актуальному токену на сервере массово отправляются документы, происходит разагрегация упаковок по входящим УПД для последующей проверки статусов и приемки кодов с помощью ТСД и тп.

И нужны ли ЭЦП 100 сотрудникам?

(33) Надо настроить и поддерживать в актуальном состоянии 100 рабочих мест со 100 лицензиями крипто про + держать ЭЦП, что не очень-то и безопасно.

(33) Плюс документы должны попасть на сервер в базу, напоминаю, у нас распределенка.

(35) Да я сперва с (1) не разобрался.