Поскольку блокировки уже работают - надо получать расстрельные списки.
Как у нас это было:
0) опупея с покупкой rutoken (товарищи из контура так и не смогли объяснить, будет ли он работать с линуксом а на вопрос, можно ли делать подпись автоматом, спросили "А разве так можно?")
1) долго пытался завести рутокен под линуксом так, чтоб его видел openssl. Не смог. opensc-tool видит сертификаты, pcsc_scan не видит токен. То, что скачивается с сайта - требует странных телодвижений по замене штатных в wheezy библиотек и приводит к странным ошибка.
2) вытащили ключи в p12 из виндового криптоконтейнера сторонней утилитой http://www.lissi-crypto.ru/products/utils/p12fromcsp/
3) настроил штатный openssl без допизвращений, прописав в openssl.cnf:
в самом начале:
openssl_conf = openssl_def
В конце новые секции:
[openssl_def]
engines=engine_section
[engine_section]
gost=gost_section
[gost_section]
engine_id=gost
default_algorithms=ALL
4) сделали подпись через openssl smime -sign -in request.xml -out request.xml.sign -binary -signer gost.crt -inkey gost_nopass.key -outform PEM, проверили на сайте из методички
5) послали запрос, получили ошибку в формате запроса
6) через N итераций выяснили, что запрос должен быть строго таким, как в документации, несмотря на то, что это xml. То есть, такое же форматирование, кодировка windows-1251, концы строк \r\n
7) получили ошибку подписи, по поводу чего написали на адрес из методички.
8) ответ: "Мы внесли корректировки в наш алгоритм обработки запроса с ЭП - повторите Ваш запрос в том же виде, теперь он обработается корректно."
9) получили xml, понаписали скриптов для автоматизации.
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif){kind=small}
