Установка корневых сертификатов Контур в Дебиан 12 — как?

Это же крипто про? У крипто про должна быть поддержка уточняй там.

Да при чем тут?..
Я задал конкретный вопрос про Дебиан.

думается аналогично https://www.gosuslugi.ru/crt

У ГосУслуг хотя бы для Linux есть отдельные файлы.

А по ссылке два .exe файла.

А ты распаковать файлы пробовал, что там внутри?

По ссылке файл сертификата, файл CRL и «программа для установки», которая не нужна.

Ошибка 0x800B0109 при установке сертификата. — правильная ошибка. Поскольку корневой сертификат технически является самоподписанным, и не заверенным какими-то другими сертификатами, то по идее надо его ставить каким-то специфическим образом, — как и любой другой корневой сертификат, которого еще нету в системе.

А что, зактнуть серты в /usr/local/share/ca-certificates/ не работает?

Странно, но там только инструкция для Red Hat Enterprise Linux.
Хорошо, я воспользуюсь подсказкой ys-betmen :-))

А по ссылке два .exe файла.

я скачал crt-файл https://ca.kontur.ru/about/certificateInfo?caCertificateId=188&isRootCertificate=True

$ openssl x509 -noout -text -in skbkontur-q-2024.crt
Certificate:                                                                    
    Data:                                                                       
        Version: 3 (0x2)                                                        
        Serial Number:                                                          
            88:48:37:e9:00:00:00:00:08:f7                                       
        Signature Algorithm: GOST R 34.10-2012 with GOST R 34.11-2012 (256 bit) 
        Issuer: emailAddress = dit@digital.gov.ru, C = RU, ST = 77 \D0\9C\D0\BE\D1\81\D0\BA\D0\B2\D0\B0, L = \D0\B3. \D0\9C\D0\BE\D1\81\D0\BA\D0\B2\D0\B0, street = "\D0\9F\D1\80\D0\B5\D1\81\D0\BD\D0\B5\D0\BD\D1\81\D0\BA\D0\B0\D1\8F \D0\BD\D0\B0\D0\B1\D0\B5\D1\80\D0\B5\D0\B6\D0\BD\D0\B0\D1\8F, \D0\B4\D0\BE\D0\BC 10, \D1\81\D1\82\D1\80\D0\BE\D0\B5\D0\BD\D0\B8\D0\B5 2", O = \D0\9C\D0\B8\D0\BD\D1\86\D0\B8\D1\84\D1\80\D1\8B \D0\A0\D0\BE\D1\81\D1\81\D0\B8\D0\B8, OGRN = 1047702026701, 1.2.643.100.4 = 7710474375, CN = \D0\9C\D0\B8\D0\BD\D1\86\D0\B8\D1\84\D1\80\D1\8B \D0\A0\D0\BE\D1\81\D1\81\D0\B8\D0\B8                                       
        Validity                                                                
            Not Before: Jan 23 08:16:21 2024 GMT                                
            Not After : Jan 23 08:16:21 2039 GMT
........

Странно, но там только инструкция для Red Hat Enterprise Linux

используемы Вами дистрибьютив настолько уникален ?

Положил несколько сертификатов в директорию ~/ca, исполнил:

sudo cp /home/dragonserw/ca/ /usr/local/share/ca-certificates/ && sudo dpkg-reconfigure ca-certificates # https://www.linux.org.ru/forum/admin/17557424?cid=17557512

Я качал русские сертификаты не из Контура, а из https://www.gosuslugi.ru/crt.

dragonserw@debian-9020:~$ trust list | grep Russian
    label: Russian Trusted Root CA
    label: Russian Trusted Sub CA
dragonserw@debian-9020:~$ 

И что же, Ошибка 0x800B0109 при установке сертификата так и осталась.
Куда копать?..

Поправляю свою команду:

sudo cp -a /home/dragonserw/ca/ /usr/local/share/ca-certificates/ \
&& sudo dpkg-reconfigure ca-certificates \
&& trust list | grep Russian # https://www.linux.org.ru/forum/admin/17557424

После ввода этой команды страница https://www.sberbank.com/ru/certificates пишет «Сертификаты не найдены».

Очень странно…
Ну да ладно, делаю так:

dragonserw@debian-9020:~$ rm -rf $HOME/.mozilla $HOME/.cache/mozilla

И что в итоге? По-прежнему «Сертификаты не найдены»?
Что ему надо, этому Сбербанку?..

У тебя же firefox, да? У firefox встроенное хранилище сертификатов. Тебе надо либо включить системное хранилище либо добавить эти сертификаты в «настройках приватности и безопасности»

А тут смотреть пробовал: https://support.kontur.ru/ca/nastrojka-rabochego-mesta

При чем тут дебиан? У тебя проблема с криптопро. А вопрос ты задал не разобравшись

Насколько я помню, он импортируется без сюрпризов. От имени root в хранилище mRoot

# certmgr -inst -store mRoot -file /tmp/cert.p7b

Скорее всего, ТС пытался импортировать промежуточнй сертификат до того, как импортировал корневой

Он пытается установить гостовский сертификат. В обычный debian

В ca-certificates ставятся только нормальные человеческие x509 без импортозамещнённых извращений

Прочитать наконец документацию и осознать, что криптопро - отдельный мир

"сделал X. не работает

вместо оката действия Х, сделал действие Y. все равно не работает"

Удивительно, правда?

У сайта сбербанка не гост, а обычные x509. Как раз они ставятся обычным образом в систему, в ca-certificates

После ввода этой команды страница https://www.sberbank.com/ru/certificates пишет «Сертификаты не найдены».

Разбирайся, какой мусор ты закинул в ca-certificates, и убирай

Да при чем тут?.. Я задал конкретный вопрос про Дебиан.

Проблема, очевидно, не с GNU/Debian у тебя, так? Вот и иди в поддержку подслабовую.

По логике, «russian_trusted_root_ca_pem.crt» должен был поставиться первым.
У него и имя выше по алфавиту, и дана скачивания свежее, чем у «russian_trusted_sub_ca_pem.crt».

Сертификаты качал сначала из Контура, потом перекачал из Госуслуг.

dragonserw@debian-9020:~/ca$ ls
russian_trusted_root_ca_pem.crt  skbkontur-q-2024.crl
russian_trusted_sub_ca_pem.crt   skbkontur-q-2024.crt
dragonserw@debian-9020:~/ca$ 

А там шо лежит, я просто не смотрел никогда?

Ребят, в общем, тут такое дело, нужно скачать http://reestr-pki.ru/cdp/guc2022.crt, и потом его скормить через морду КриптоПРО либо через командную строку.
Подробнее – там: https://cryptopro.ru/forum2/default.aspx?g=posts&t=23101.

Подписания документов заработало, но Сбербанк до сих пор ругается на сертификаты.
Кеш чистить не хочу а то все куки слетят опять.
Задачу обновить ОКВЭД через https://service.nalog.ru/gosreg/lk-index.html#np=ip выполнил, дальше буд разбираться с этим ужасом.
Подписывайтесь на тред :-)