OpenSSL + ГИС ЖКХ

[svkreml]

А можно уточнить: здесь используется несертифицированное решение для подписания, это какие-то тестовые стреды, как планируется прохождение сертификации для конечного решения?

Просто вроде как ГОСТ криптографию предполагается использовать только с криптопро, випнет и там ещё какие-то были сертифицированные криптопровадеры.

[ddruganov]

это решение работает на боевом стенде, тут проблем нет

[niyazm524]

И где ты был 5 месяцев назад, когда я сквозь кровь и пот пытался добиться работоспособности всей этой схемы...

Особенно меня тогда протестировало то, что делалось всё на Node.JS, и пришлось хорошенько погрузиться в то, как работает подпись XML, чтобы модифицировать исходный код библиотек

Хорошо, что всё это уже позади.

[ddruganov]

слушай, я на самом деле ждал с начала лета, когда можно будет рассказать, начальство не особо это одобряло)
я тоже очень рад, что всё позади :D

[forson]

Спасибо за статью, подобным занимался и уже видел статьи по настройке stunnel с гостом. Интереснее то, как вы решили вопрос с подписью запросов? Что-то самописное на php или тут стэк пришлось расширять до решений, где уже есть библиотеки для работы с гост подписью? И еще вопрос - используете ли вы ГИС как источник информации? Или используете только для того, чтобы отправить информацию туда (для отчетности)? И как оцениваете в целом работу ГИСа и их ТП?

[ddruganov]

приложение, которому требовалась интеграция написано на php, поэтому мы не стали выпендриваться и пытаться завести туда шарп или джаву, тем более что интеграция с гисом в них оставляет желать лучшего

всю интеграцию делал сам, с нуля, опираясь на опыт древних, магию и stackoverflow

ГИС используем только для отдачи информации о должниках (забираем данные по людям, о которых надо предоставить инфу и отсылаем ответы), отчётность там не ведём

на последний вопрос я отвечать не буду, он риторический и угарный)

[2medic]

Здравствуйте! Спасибо за Ваш труд! Вы пишете:

Публичный ключ можно достать через openssl x509 -in cert.crt -out cert.pem -outform PEM

Я заметил, что если выгрузить сертификат не в кодировке DER, а в кодировке Base-64, то на выходе мы сразу получим файл искомого формата. Я выгрузил файл в кодировке DER, конвертировал его с помощью приведённой команды, затем сравнил с файлом в кодировке Base-64, совпали до бита.

Скриншот меню

И ещё разрешите уточнить, «.crt» это «.cer» или нет? Просто КриптоПро выгружает именно с этим расширением. Но может я чего недопонимаю.

[ddruganov]

здравствуйте! я описал свой путь) если вы можете выгрузить сразу, то без проблем, так даже лучше

[2medic]

Ещё раз здравствуйте!

Задействованный образ php:8.1-fpm-alpine устанавливает SSL третьей версии. Она появилась в alpine с версии 3.17.

Можно заменить на php:8.1.1-fpm-alpine3.15

И, будьте любезны, уточните конфигурацию stunnel.conf. У вас параметры слились в одну строчку, причём в этой строчке дублированные данные.

Я попытался привести конфиг в порядок. Но не уверен, что угадал со всеми ключами. И первая строчка вызывает подозрение.

stunnel.conf

[ddruganov]

сорян, криво вставился конфиг, исправил, спасибо большое!

по поводу образа пхп отпишусь позже

[ddruganov]

Менять образ на определенную версию необязательно. Сегодня фиксил проект с гисом, запущенный на latest alpine, полет нормальный

[2medic]

А как же так у Вас вышло? Я, признаться, пока ожидал ответов, сам собрал на образе дебиана. Кстати, Вы там спрашивали, как всё это сделать на SSL3, я теперь могу ответить.

[ddruganov]

как так вышло - понятия не имею и знать не хочу, просто пришлось контейнеры убить, а потом заново поднять с пересборкой образа пхп - поднялось; работает и ладно, век бы не видал этой интеграции)

жду статью про openssl3!