1. На виртуальных машинах может некорректно работать флеш-накопители во время экспорта сертификатов или ключей.
Если инициализация nGate проводится в виртуальном дистрибутиве, то для выполнения 12 пункта, подпункта f документации по ссылке ниже, нужно выполнить следующее:
Для экспорта закрытого ключа сертификата администратора, необходимо ввести команду в консоле sshnGate Managment:
sudo -u nginx /opt/cprocsp/bin/amd64/certmgr -export -pfx –cont '\\.\HDIMAGE\mc_admin' -pin 1234 -dest /tmp/admin.pfx
Далее, в директории /tmp/ будут 2 сертификата: admin.pfx и admin.cer
Подробнее:
https://cpdn.cryptopro.ru/content/ngate/admin-guide/source/04-ngate-installation-consol-setting/pki-infrasrtucture/task-pki-creation-internal-ca.html
2. Генерацию внешней гаммы для 8 ключей лучше выполнить на АРМ администратора с установленным Крипто Про CSP, так как это удобнее и быстрее в отличие от генерации внешней гаммы в локальной консоли nGate.
Подробнее:
https://cpdn.cryptopro.ru/content/ngate/admin-guide/source/10-source-csp/task-gamma-generate-by-csp-arm-admin.html
3. При активации веб-интерфейса nGate СУ, браузер предупреждает, что сертификат не активный. Это происходит потому, что в служебном сертификате отсутствует CDP и браузер не может проверить его на отзыв. На время пилотирования можно игнорировать, это не ошибка.
Для того, чтобы это поправить, нужно:
1. использовать другой браузер, например Chromium GOST - https://cryptopro.ru/products/chromium-gost
или
2. Использовать для внутренней PKI сторонний УЦ, на котором уже должны быть настроены доступные CDP и прочее.
4. Создание и экспорт служебных ключей
Подробнее:
https://cpdn.cryptopro.ru/content/ngate/admin-guide/source/04-ngate-installation-consol-setting/pki-infrasrtucture/task-service-keys-creation.html
Без данных ключей, конфигурация между ЦУС и нодами nGate не будет синхронизирована, также не будет доступна применение параметров nGate c ЦУС.
На виртуальных машинах может не корректно работать флеш-накопители во время экспорта ключей, поэтому для выполнения 7 пункта (документация выше по ссылке) экспорта ключей нужно сделать следующее:
На виртуальных машинах может не корректно работать флеш-накопители во время экспорта ключей, поэтому для выполнения 7 пункта (документация выше по ссылке) экспорта ключей нужно сделать следующее:
Скопировать на ЦУС контейнеры /var/opt/cprocsp/keys/
пользователя root:
mcrbacku.000
mcrcooki.000
mcrpskrt.000
mcrsessi.000
mcrsyncr.000
и
пользователя nginx:
mcrsyncr.000
Далее перенесите их на ноды nGate в соответствующие папки, которые указаны выше. После этого проверьте, что владельцы папок корректны, введя команды на нодах nGate:
chown -R nginx:root /var/opt/cprocsp/keys/nginx/mcrsyncr.000
chmod -R 700 /var/opt/cprocsp/keys/nginx/mcrsyncr.000