1 апреля, среда 19:35
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

АРМ КБР-Н Пусконаладка

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от rvroman Посмотреть сообщение

    ЗЫ: И поделитесь плиз алгоритмом хеширования конфигурационного файла, руками переносить конфиг неудобно.
    calc_hash.zip

    1. В pki1.conf прописываем пути к профилю ключа armkbrn.
    2. В файле arm.cfg удаляем hash="..." в тэге Config, получится <Config>, сохраняем файл.
    3. Запускаем calc_hash.cmd arm.cfg
    Пример вывода :

    Код:
    Инициализация
    Потоковое вычисление хэша файла
    Результат: OK (00000000)
    7FA01467DC52FFC8807A376ECB9BC83C09933F7EA030E4A1FD80483DFF7C65A4
    Полученный хэш нужно преобразовать по алгоритму (см.файл get_hash.php)
    либо выполнить скрипт с указанием полученного хэша в качестве параметра, например
    Код:
    php.exe get_hash.php 7FA01467DC52FFC8807A376ECB9BC83C09933F7EA030E4A1FD80483DFF7C65A4
    Скрипт выдаст преобразованное значение хэша.

    4. Полученное значение хэша нужно вставить в тэг <Config>, например
    Код:
    <Config hash="9wpBds0l/4wIp3PmvLmMw5A58+cKA04a3wiE0//HVko=">
    и сохранить файл.
    Последний раз редактировалось Antonioki; 20.05.2019, 13:40.
    Ушел, всем пока.

    Комментарий


    • Сообщение от w32stator Посмотреть сообщение
      А есть вариант делать ЗК и КА без абс а какой нить программой? Может кто программу сделал? Пусть будет даже через команды.
      Не рекламы ради, но посмотри тут. А Сигнатуру получите в БР РФ. Бюджетнее не придумаешь.

      Комментарий


      • Antonioki

        Спасибо, полезно.

        Комментарий


        • Сообщение от bb25 Посмотреть сообщение
          Друзья, добрый день.

          Прошу для тестов накидать платежек на
          БИК 044525900
          ООО «ФФИН Банк»



          Сами тоже бросим на БИК 044030747
          Мы тоже сегодня если успеем вам кинем, АБС обновляем), если что, завтра с утра начнем!

          Комментарий


          • Сообщение от Antonioki Посмотреть сообщение

            1. В pki1.conf прописываем пути к профилю ключа armkbrn.
            2. В файле arm.cfg удаляем hash="..." в тэге Config, получится <Config>, сохраняем файл.
            3. Запускаем calc_hash.cmd arm.cfg
            ...
            4. Полученное значение хэша нужно вставить в тэг <Config>, например
            Код:
            <Config hash="9wpBds0l/4wIp3PmvLmMw5A58+cKA04a3wiE0//HVko=">
            и сохранить файл.
            Упростил пп 3
            1.профиль для расчета хэша не нужен
            2. -format 4 вернет сразу base64
            -format [FMT] формат хэш-значения - 1: LE число (по умолчанию); 2: LE байты; 3: BE число; 4: Base64
            PHP код:
            "C:\Program Files\MDPREI\spki\spki1utl.exe"  -hash -stream -algorithm 1.2.643.7.1.1.2.2  -data %-minimal -format 4 
            Antonioki за идею спасибо

            Комментарий


            • Сообщение от badik Посмотреть сообщение

              Упростил пп 3
              1.профиль для расчета хэша не нужен
              2. -format 4 вернет сразу base64

              PHP код:
              "C:\Program Files\MDPREI\spki\spki1utl.exe" -hash -stream -algorithm 1.2.643.7.1.1.2.2 -data %-minimal -format 4 
              Antonioki за идею спасибо
              Благодарю, был не в курсе параметров spki1utl.

              P.S. Вот только параметра -format в моей утилите нет. У вас какая версия? У меня 5.0.332.0
              Последний раз редактировалось Antonioki; 20.05.2019, 17:57.
              Ушел, всем пока.

              Комментарий


              • про опцию прочитал сегодня: http://www.x509.ru/forum/viewtopic.php?id=14863
                Был также выпущен патч 5.0.341.0 расширяющий функционал утилиты командной строки для представления результатов расчета (опция -format).
                Получается что моя Сигнатура с уже этим патчем.

                Комментарий


                • Из описания к патчу (Патч для утилиты командной строки):
                  1. Назначение
                  Патч должен быть применен к СКАД “Сигнатура 5” с номером сборки 5.0.332.0.
                  Патч предназначен для расширения функционала утилиты командной строки в части возможности выдачи результата операции вычисления хэш-кода файла в различных форматах (little-endian, big-endian, Base64, и т.п.).
                  Данная доработка была выполнена по результатам тестирования сборки СКАД “Сигнатура 5” (5.0.332.0).
                  Исполняемые модули patch_pki1utl_x86.exe и patch_pki1utl_x64.exe меняют файл:
                  • spki1utl.exe

                  Комментарий


                  • Сообщение от badik Посмотреть сообщение
                    про опцию прочитал сегодня: http://www.x509.ru/forum/viewtopic.php?id=14863


                    Получается что моя Сигнатура с уже этим патчем.
                    В Москве последнее, что раздавали было 5.0.332, ваша свежее.

                    Комментарий


                    • Коллеги, подскажите: Чего ему не хватает?
                      УИС я убрал

                      Нажмите на изображение для увеличения. 

Название:	Screenshot_1.png 
Просмотров:	1 
Размер:	82.5 Кб 
ID:	4898782

                      Нажмите на изображение для увеличения. 

Название:	Screenshot_2.png 
Просмотров:	1 
Размер:	19.6 Кб 
ID:	4898783

                      Комментарий


                      • Тип ключа для роли оператор должен быть ARMKBRN
                        в официальной матчасти
                        http://www.cbr.ru/Content/Document/F...%A0-%D0%9D.PDF

                        CN=ARMKBRN
                        OID расширенная область применения ключа -1.3.6.1.4.1.3670.5.10.120
                        Область применения ключа: Шифрование ключа, Шифрование данных.
                        Настройка ПК КБР-Н
                        1. Режим «Настройки»
                        В настройках конфигурационных параметров ПК АРМ КБР-Н необходимо указать
                        OID расширенной области применения ключа, загружаемого при старте ПК АРМ КБР-Н
                        представителем эксплуатационного персонала с функциональной ролью «Оператор»:
                        OID ключа для загрузки - 1.3.6.1.4.1.3670.5.10.120

                        Комментарий


                        • Сообщение от badik Посмотреть сообщение
                          Тип ключа для роли оператор должен быть ARMKBRN
                          По картинкам всё как и д.б.

                          vlsdtv, проверьте профиль, загружаемый перед(с) запуском КБРН... может там ключ не тот, что с OID=120... ?

                          Комментарий


                          • Скриншоты я сделал с первого профиля
                            Профиль File - File оставил как образец. Или его нужно удалить?

                            Комментарий


                            • vlsdtv, речь не об этом профиле !
                              Когда Вы запускаете КБРН, очень скоро появляется диалог с Сигнатурой... инициализация крипто и т.д.
                              Речь именно об этом профиле (крипто) !

                              Комментарий


                              • idelta
                                спасибо, но при запуске под админом нет ничего
                                а под оператором не запускается - ошибка выше
                                или я что-то не то делаю?

                                Комментарий


                                • Сообщение от vlsdtv Посмотреть сообщение
                                  idelta
                                  спасибо, но при запуске под админом нет ничего
                                  а под оператором не запускается - ошибка выше
                                  или я что-то не то делаю?
                                  Запустите Справочник сертификатов под оператором и проверьте, что у него правильный профиль с OID .120

                                  Комментарий


                                  • vlsdtv

                                    В справочник сертификатов ключа OID 120 добавляли сертификаты c OID 7,8,15,16 ?
                                    Скорее всего какие-либо из них отсутствуют в справочнике.
                                    Ушел, всем пока.

                                    Комментарий


                                    • Спасибо за подсказку - наш безопасник не добавил сертификат

                                      и наверное самый глупый вопрос - как отправить тестовую ED?

                                      Комментарий


                                      • День добрый парни, можете подсказать, вы работаете через терминал когда подписываете КА или ЗК, или локально? У нас просто встала проблема, что АБС в терминале отказывается подписывать. Говорят только локально будет работать, но мы и локально не смогли настроить подпись.

                                        Комментарий


                                        • Сообщение от w32stator Посмотреть сообщение
                                          День добрый парни, можете подсказать, вы работаете через терминал когда подписываете КА или ЗК, или локально? У нас просто встала проблема, что АБС в терминале отказывается подписывать. Говорят только локально будет работать, но мы и локально не смогли настроить подпись.
                                          Подписываем локально. Через RemoteAPP не возможно пробросить носители типа etoken, через RDP можно.

                                          Комментарий


                                          • Сообщение от vlsdtv Посмотреть сообщение
                                            Спасибо за подсказку - наш безопасник не добавил сертификат

                                            и наверное самый глупый вопрос - как отправить тестовую ED?
                                            Сформировать ее в АБС (ED599) и отправить.

                                            Комментарий


                                            • Спасибо всем, коллеги.

                                              Комментарий


                                              • Коллеги, можно обменяться ЭС - БИК 044030747 АО «СЭБ Банк».
                                                Спасибо

                                                Комментарий


                                                • badik и Antonioki благодарствую за инфу по хэшированию конфигов.
                                                  Малость допилил ваши идеи.
                                                  По итогу батник (запускать из каталога с arm.cfg):
                                                  - вырезает старый хэш
                                                  - переименовывает имя компа (если конфиг перенесен с другого ПК будет полезно. можно отключить удалив set renamePC=1)
                                                  - расчитывает новый хэш
                                                  - записывает новый хэш в конфиг.
                                                  PHP код:
                                                  @echo off
                                                  SETLOCAL ENABLEDELAYEDEXPANSION
                                                  del arm.cfg.tmp
                                                  set renamePC=1
                                                  echo ^<?xml version="1.0" encoding="windows-1251"?^>>arm.cfg.tmp
                                                  echo ^<Config^>>>arm.cfg.tmp
                                                  FOR /"eol=> skip=2 delims=" %%i IN (arm.cfg) DO (
                                                  if 
                                                  "%%i" neq "</Config>" (
                                                   
                                                  set isPCName=
                                                   for /
                                                  "delims=" %%x in ('echo "%%i"^| find/i "InstallMachineName"') do set isPCName=1
                                                   
                                                  if defined isPCName (
                                                    if 
                                                  defined renamePC (
                                                     echo     ^<
                                                  InstallMachineName^>%computername%^</InstallMachineName^>>>arm.cfg.tmp
                                                   
                                                  )
                                                  ) else (echo %%
                                                  i>> arm.cfg.tmp)
                                                  ) else (echo|
                                                  set /p="%%i">>arm.cfg.tmp)
                                                  )
                                                  del arm.cfg.hash
                                                  spki1utl
                                                  .exe -hash -stream -algorithm 1.2.643.7.1.1.2.2  -data arm.cfg.tmp -minimal -format 4 -silent arm.cfg.hash
                                                  FOR /"tokens=1" %%a IN ('type arm.cfg.hash') DO (set hash=%%a)
                                                  del arm.cfg.new
                                                  echo ^<?
                                                  xml version="1.0" encoding="windows-1251"?^>>arm.cfg.new
                                                  echo ^<
                                                  Config hash="%hash%"^>>> arm.cfg.new
                                                  FOR /
                                                  "eol=> skip=2 delims=" %%i IN (arm.cfg.tmp) DO (
                                                   if 
                                                  "%%i" neq "</Config>" (echo %%i>> arm.cfg.new) else (echo|set /p="%%i">>arm.cfg.new)
                                                  )
                                                  copy /y arm.cfg.new arm.cfg
                                                  del arm
                                                  .cfg.new
                                                  del arm.cfg.hash
                                                  del arm
                                                  .cfg.tmp

                                                  Комментарий


                                                  • Доброе утро!
                                                    Подскажите пожалуйста - можно ли без запуска VPN завести КБР-Н?
                                                    С такими настройками - не работает

                                                    Нажмите на изображение для увеличения. 

Название:	Screenshot_3.png 
Просмотров:	1 
Размер:	38.0 Кб 
ID:	4898999

                                                    Комментарий


                                                    • Сообщение от vlsdtv Посмотреть сообщение
                                                      Доброе утро!
                                                      Подскажите пожалуйста - можно ли без запуска VPN завести КБР-Н?
                                                      С такими настройками - не работает
                                                      Можно - с типом обработчика File - File
                                                      Ушел, всем пока.

                                                      Комментарий


                                                      • Коллеги добрый день!
                                                        можно обменяться ЭС - БИК 044525234 "Азия-Инвест Банк (АО)"
                                                        обязательно ответим, спасибо.

                                                        Комментарий


                                                        • san25
                                                          Ildar_kh
                                                          Отправил.

                                                          Комментарий


                                                          • Сообщение от КрасКрипт Посмотреть сообщение
                                                            badik и Antonioki благодарствую за инфу по хэшированию конфигов.
                                                            Малость допилил ваши идеи.
                                                            По итогу батник (запускать из каталога с arm.cfg):
                                                            - вырезает старый хэш
                                                            - переименовывает имя компа (если конфиг перенесен с другого ПК будет полезно. можно отключить удалив set renamePC=1)
                                                            - расчитывает новый хэш
                                                            - записывает новый хэш в конфиг.
                                                            Все это хорошо для последней версии Сигнатуры. В Московском регионе параметр -format 4 недоступен. Патч не выдавали.

                                                            Ушел, всем пока.

                                                            Комментарий


                                                            • хотя патч был выпущен 14.11.2016 15:31:32
                                                              в readme.doc он называется:
                                                              Патч для Утилиты командной строки (версия 5.0.341.0)

                                                              Комментарий

                                                              Обработка...
                                                              X