Задать вопрос

dibrovsd

Ответы

  • Как сделать Detached GOST R 34.10 CMS подпись на Node.js?

    @dibrovsd
    У меня работает вот так. Извлеките только ключ из контейнера
    # Контейнер файла с подписью p7m
    openssl cms -sign -inkey ~/certs/private_2018.key -signer ~/certs/sphere.pem -engine gost -binary -outform DER -in file3.pdf -out file3.p7m
    openssl cms -verify -binary -CAfile ~/certs/CA.cer -in file3.p7m -inform DER

    Вот тут еще краткая инструкция как добавить поддержку ГОСТ к OpenSSL.
    Думаю, можно сделать вызов команды консольной из node и считывание результата.

    Вот еще черновые наброски инструкции, которую я вел, пока все это настраивал.

    1) Добавление поддержки алгоритмов в openSSL

1.1) В версии до 1.0 ее просто нет (тут нужно ставить платную версию от КриптоПро) или компилировать вручную из исходников новую версию.
Это я не делал, поэтому пропускаю

1.2) OpenSSL версии 1.0 (1.1 по другому)
gost engine входит в операционную систему уже. Чтоб подключить engine, нужно

nano /etc/ssl/openssl.cnf

сразу до секции [ new_oids ]
вписать
"openssl_conf=openssl_def"

и в самом низу файла

[openssl_def]
engines = engine_section

# Engine scetion
[engine_section]
gost = gost_section

# Engine gost section
[gost_section]
engine_id = gost
dynamic_path = /usr/lib/x86_64-linux-gnu/openssl-1.0.2/engines/libgost.so
default_algorithms = ALL

Возможно, libgost.so engine окажется немного не там где у меня

1.3) OpenSSL версии 1.1
Было принято решение убрать из ядра поддержку gost и теперь она на github-е
Нужно ее скачать и выполнить инструкции по установке.
В debian нужно поставить вот эти компиляторы и заголовки к libssl
apt-get install libssl-dev make cmake
https://github.com/gost-engine/engine/blob/master/INSTALL.md
Тут по инструкции все просто и оно рабочее.
Тут же есть и как правильно модифицировать конфиг openssl

2) Где достать всю цепочку сертификатов (мне для версии 1.1 этого не потребовалось почему-то)
После установки КриптоПро и сертификата с
https://ca.kontur.ru/about/certificates
Они выданы неким "Головным удостоверяющим центром". Этот сертификат появляется в системе после установки КриптоПро
и их можно экспортировать в файлы уже

3) Как вытащить приватный ключ из контейнера КриптоПро вы уже знаете.
https://habrahabr.ru/post/275039/
компилировать и ставить Borland C++ не обязательно (там можно скачать уже готовый файл exe под win)

4) Сертификат (публичную часть ключа вы можете прислать довольно просто)
Итак, у нас есть приватная и публичная часть и CA (это цепочка сертификатов до корня). Можно не мучатся и просто закинуть сертификат Контур-а в доверенные в linux и забыть о нем (но мне для 1.1 это не понадобилось)

4.1) Перегнать в форму pem
openssl x509 -inform der -in sphere.cer -out sphere.pem
openssl pkcs12 -in p12.pfx -nocerts -out private.key
openssl pkcs12 -info -engine gost -nodes -in sphere.pfx

openssl pkcs12 -info -engine gost -nodes -in sphere.pfx -password pass:Dsgdfh46yu56hsgdfgdgh

openssl pkcs12 -nocerts -out PushKey.pem -in p12.pfx -nodes -password pass:Dsgdfh46yu56hsgdfgdgh
openssl pkcs12 -nocerts -out PushKey.pem -in sphere.pfx -nodes -password pass:Dsgdfh46yu56hsgdfgdgh

5) Шифрование и расшифровка
openssl smime -encrypt -engine gost -gost89 -in test.txt -out test.txt.enc sphere.pem
openssl smime -decrypt -engine gost -gost89 -in test1.PDF -inform=DER -out test1_dec.pdf -inkey /home/www/certs/private_2018.key

6) Подпись и ее валидация
openssl cms -sign -inkey ~/certs/private_2018.key -CAfile ~/certs/CA.cer -signer ~/certs/sphere.pem -engine gost -binary -in file3.pdf -out file3.pdf.sign
openssl cms -verify -CAfile ~/certs/CA.cer -signer ~/certs/sphere.cer -engine gost -binary -content file3.pdf -in file3.pdf.sign

6.1) Контейнер файла с подписью p7m
openssl cms -sign -inkey ~/certs/private_2018.key -CAfile ~/certs/CA.cer -signer ~/certs/sphere.pem -engine gost -binary -stream -outform DER -nodetach -in file3.pdf -out file3.p7m
openssl cms -verify -binary -CAfile ~/certs/CA.cer -in file3.p7m -inform DER

Есть вариации на тему в какой форме подпись или шифрованный файл. Это решается за счет параметра
-inform=DER (бинарная форма)
-outform der (для отсоединенной формы)

Ссылки по теме:
http://big-town.narod.ru/openssl.html  (основная, которая помогла)
https://habrahabr.ru/post/275039/

Второстепенные:
https://stackoverflow.com/questions/12790572/openssl-unable-to-get-local-issuer-certificate
https://www.altlinux.org/ГОСТ_в_OpenSSL
https://toster.ru/q/28353
https://kirill-zak.ru/2015/08/13/298
https://gist.github.com/aamalev/920f1dff286222ef73d7
http://sysadmins.ru/topic478444.html
http://www.ssl.ua/news/most-common-openssl-commands/
http://soft.lissi.ru/ls_product/skzi/OpenSSL/
    Ответ написан
    Комментировать
    Комментировать

  • Django. Как подгрузить блок в template по клику?

    @dibrovsd
    Нужно
    - сделать url для ajax-запроса, например
    url(r'^/ajax/loadBlockB/$', view='loadBlockB', name='loadBlockB'),
    - В js написать
    $('#id_контейнера').load('/ajax/loadBlockB/')
    И все.

    Предполагается, что вы используете jquery
    Если нет, то любой другой способ выполнить ajax запрос
    Ответ написан
    Комментировать
    Комментировать

  • Как определить текущего пользователя из модели?

    @dibrovsd
    А чем не устроили сигналы?
    Создание экземпляров модели может быть инициировано по цепочке сигналов или как-то по другому, а не только через админку.

    Да и что теперь, писать один и тот же код в админке, всех views и так далее.

    Внутри сигнала получить текущего пользователя без обращения к объекту request поможет вот такая middleware:
    djangosnippets.org/snippets/2179
    Она работает и свою задачу выполняет.

    P.S. Если нужно описать более подробно, говорите.
    Не стал описывать в деталях, чтоб не быть К.О.
    Но если не получится разобраться самостоятельно, готов помочь.
    Ответ написан
    1 комментарий
    1 комментарий

  • Как в Django реализовать синхронизацию данных моделей?

    @dibrovsd Автор вопроса
    Решение для создания инкрементных данных для передачи на боевой сервер и наката их там.
    На нужные модели вешаем сигналы post_delete для сохранения модель - id в модель удаленных объектов.

    Привожу код создания файлов.
    Чуть позже тут размещу ссылку на статью с более подробным описанием:
    - Создания файлов изменений
    - Накате с созданием файлов отката
    - Откате изменений

    # coding=utf-8

from datetime import datetime
from os import makedirs, listdir
import json

from django.core import serializers
from django.core.management.base import BaseCommand
from optparse import make_option
from django.db.models.loading import get_model
from django.conf import settings


class Command(BaseCommand):
    help = """
    Create difsettings from timestamp. 
    Usage: manage.py docflow_diffsettings_create '2014-01-01'
    """

    option_list = BaseCommand.option_list + (
        make_option('--from',
            action="store", 
            type="string",
            dest='from',
            help='timestamp: changed from argument to current DateTime'),
        make_option('--project_id',
            action="store", 
            type="int",
            dest='project_id',
            help='Docflow project number'),
    )

    def __init__(self, *vargs, **kwargs):

        super(Command, self).__init__(*vargs, **kwargs)
        self._datetime_format = '%Y-%m-%d %H:%M'

    def handle(self, *args, **options):

        date_to = datetime.now()
        date_from = datetime.strptime(options['from'], self._datetime_format)

        project_id = options["project_id"]
        project_folder = "%s/docflow/diffsettings/%s" % (settings.BASE_DIR, project_id,)
        folder_path = "%s/%s > %s" % (project_folder, 
                                    date_from.strftime(self._datetime_format),
                                    date_to.strftime(self._datetime_format))
        
        makedirs(folder_path)

        JSONSerializer = serializers.get_serializer("json")
        json_serializer = JSONSerializer()

        models_paths = set()

        for model_path in args:
            models_paths.add(model_path)

        # deleted objects
        models_paths.add('docflow.ObjectsDeleted')

        # create files
        for model_path in models_paths:

            application_name, model_name = model_path.split('.')
            model = get_model(application_name, model_name)
            objects_changed = model.objects.filter(d_change__range=(date_from, 
                                                                    date_to))
            
            # Обязательно наличие файла, даже если нет ни одной измененной модели
            # это необходимо для создания бэкапа при накате настроек 
            # (если по модели нет изменившихся, но есть удаленные объекты)
            # Создание файла отката настроек происходит 
            # внутри итерации перебота этих файлов
            with open("%s/%s.json" % (folder_path, model_path), "w") as out:
                json_serializer.serialize(objects_changed, stream=out, indent=4)
    Ответ написан
    Комментировать
    Комментировать

  • Как в Django реализовать синхронизацию данных моделей?

    @dibrovsd Автор вопроса
    Вроде как задача должна быть типичной:
    есть test, есть production, нужно с теста сливать настройки в prod.
    Неужели нет подобного механизма, доступного и поддерживаемого кем-то.

    Собственно, в этом направлении и думаю.
    Если никто не подскажет готового решения, так и сделаю.
    Спасибо.
    Ответ написан
    4 комментария
    4 комментария

  • Nginx + 2 RoR3 приложения, один из которых на Sub Uri. Как совместить?

    @dibrovsd
    Аналогичная проблема.
    Решил так:

    1. config/environment.rb

    Внизу 

    RedmineApp::Application.routes.default_scope = { :path => '/redmine', :shallow_path => '/redmine' }

# Это в конфиге есть
RedmineApp::Application.initialize!

Redmine::Utils::relative_url_root = "/redmine"


    Таким образом, приложение ожидает запросы не от корня, а от префикса /redmine
    И ссылки формирует соответсвенно, не /users/login, а /redmine/users/login

    2. unicorn.rb не интересен особо, но, на всякий случай, приведу 
    orker_processes 2
working_directory "/home/www/redmine/"

preload_app true

timeout 30

listen "/home/www/redmine/tmp/sockets/unicorn.sock", :backlog => 64

pid "/home/www/redmine/tmp/pids/unicorn.pid"

stderr_path "/home/www/redmine/log/unicorn.stderr.log"
stdout_path "/home/www/redmine/log/unicorn.stdout.log"

before_fork do |server, worker|
    defined?(ActiveRecord::Base) and
        ActiveRecord::Base.connection.disconnect!
end

after_fork do |server, worker|
    defined?(ActiveRecord::Base) and
        ActiveRecord::Base.establish_connection
end
~


    3. Конфиг nginx
    Запросы с префиксом /redmine проксируем на socket через upstream
    rewrite тут не нужно, потому что redmine и так ждет от нас префикса /redmine (чтоб ссылки работали)

    В вот статику отдаем через nginx напрямую.

    upstream unicorn_server { 
        server unix:/home/www/redmine/tmp/sockets/unicorn.sock;         
} 

server {
        server_name docflow.soglasie.ru;

        client_max_body_size 8m;
        keepalive_timeout 5;

        # apache
        location / {
                proxy_pass http://127.0.0.1:8181;
        }

        # redmine
        location /redmine {
                proxy_pass http://unicorn_server;
        }

        # redmine static
        location ~* /redmine/.+\.(ico|css|js|png) {
                rewrite /redmine/(.*) /$1 break;
                root /home/www/redmine/public/;
        } 

}


    Не претендую на качественный конфиг. Это первый опыт использования nginx.
    Не пишу скрипты автозапуска и т.п. Предполагается, что они у вас есть.

    Главное, что работает.
    Возможно кому-то пригодится (даже мне самому, через какое-то время)
    Ответ написан
    1 комментарий
    1 комментарий