| 28.07.2006 11:03:20 | Сертификат с секретным ключом | | Ответов: 19 |
|
 MCB | | |
|
Мы используем CryptoPro для отправки платежей по системе Рапида. В интернет-эксплорере в сертификатах на странице Personal установлен сертификат с секретным ключом. Сейчас возникла необходимость работать под другим пользователем. Сделать экспорт этого ключа штатными средствами не получается. Что нам предпринять в данной ситуации? Можно ли как-то с вашей помощью перевести данный сертификат на другого пользователя? Или придется получать новый? Дело в том, что система постоянно в работе, а при получении нового сертификата придется высылать его в Рапиду и ждать какое-то время. А этого бы как раз и не хотелось.
И еще вопрос. Сертификат, который у нас стоит, уже год как просрочен, однако все замечательно работает. Это нормально? |
| |
Ответы:
|
| 28.07.2006 11:53:59 | Tatianka |
|
Для использования ключа другим пользователем можно скопировать контейнер закрытого ключа на какой-нибудь внешний носитель (дискету, флешку...) и либо использовать этот носитель, либо затем скопировать контейнер с него в реестр нужного пользователя. В любом случае после установки новым пользователем сертификата все будет работать.
А то, что просроченный сертификат у Вас остается нормально действующим, скорее всего, это особенность платежной системы. |
|
|
| А можно попродробнее, как скопировать "контейнер"? |
|
| 28.07.2006 12:25:30 | Tatianka |
|
Пуск - Настройки - КриптоПро CSP - Сервис - Скопировать контейнер.
Предварительно на вкладке "Оборудование" той же панели КриптоПро CSP добавить необходимый считыватель. |
|
|
У нас криптопро версии 1.1, там нет такого :((
Есть другие способы? |
|
| 28.07.2006 12:38:33 | Tatianka |
|
Тогда нет. В версии 1.1 не предполагалась возможность копирования ключевых контейнеров.
Придется получать новый ключ. |
|
|
Эх жалко :((
Тогда еще вопрос в догонку. Какие тонкости есть при обновлении с 1.1 до 2? Можно это безболезненно сделать на рабочей машине? |
|
| 28.07.2006 13:30:27 | Tatianka |
|
Да, разумеется, можно.
Подробная инструкция есть у нас на сайте:
http://www.cryptopro.ru/CryptoPro/documentation/pdf/HowTo_change_version.pdf
Ключевые контейнеры версии 1.1 в версии 2.0 будут доступны, но копировать их будет по-прежнему нельзя. Если Вы будете создавать новые ключи с использованием версии 2.0, то там уже есть возможность создать экспортируемый ключ. |
|
|
инструкцию прочитал
единственное, что не понял - зачем сохранять в файл, затем удалять, а затем опять ставить сертификат (да еще и без секретного ключа)? |
|
| 28.07.2006 14:02:51 | Tatianka |
|
Дело в том, что при смене версий могут нарушиться связи между сертификатами и соответствующими им контейнерами закрытых ключей.
Чтобы потом не мучиться с этим лишний раз, проще сразу удалить сертификаты из хранилища, и установить их снова (с привязкой к закрытому ключу) |
|
|
ясно
а сертификат привяжется потом к закрытому ключу то? это все автоматом произойдет? как сертификат узнает, к чему ему привязываться? ничего там не отъедет? а то мне ж голову открутят, если что :)) |
|
| 28.07.2006 15:25:14 | Tatianka |
|
Все личные сертификаты Вам нужно будет установить руками; в документе, на который я Вам дала ссылку, вся эта установка описана в картинках. :) Так что все установится, привяжется куда надо, и все будет хорошо. :)
|
|
|
| как раз сейчас этим занимаюсь. Остановился на рисунке 17, где нужноуказать контейнер ключа соответствующий выбранному сертификату :-\ Что тут указывать??? Про некие контейнеры с ключами я вообще в первый раз сегодня услышал. |
|
| 28.07.2006 15:45:14 | Tatianka |
|
Как ни странно, указать нужно действительно контейнер закрытого ключа, соответствующий выбранному сертификату. ;)
Картина мира сейчас примерно следующая: у Вас есть пара ключей - открытый и закрытый. Закрытый находится в контейнере, открытый написан в сертификате. Между открытым и закрытым ключом есть однозначная связь, поэтому одному сертификату соответствует ровно один контейнер закрытого ключа.
Чаще всего сертификат тоже помещается в контейнер закрытого ключа, это можно проверить, используя кнопку "Просмотреть сертификаты в контейнере". Если это действительно так, Вам нет необходимости вручную отыскивать связи. |
|
|
о, кажется получилось - вы натолкнули меня на мысль и она оказалась правильной :)
А что будет если в меню на рис.17 выбрать в пункте "Введенное имя задает ключевой контейнер" вариант "Компьютера"?
|
|
| 28.07.2006 16:18:03 | Tatianka |
|
Тогда сертификат, соответствующий этому контейнеру, установится в хранилище локального компьютера, а не текущего пользователя.
То есть, используя этот сертификат, смогут работать разные службы, которые запускаются от имени компьютера. |
|
|
| а значит ли это, что установив мой старый сертификат от версии 1.1 подобным образом, я получу возможность работать с ним (и с ключами соответственно) под разными пользователями? |
|
| 28.07.2006 16:37:57 | Tatianka |
|
Нет, потому что ключевой контейнер, соответствующий этому сертификату, у Вас находится в разделе реестра для одной учетной записи. Другая учетная запись просто не получит туда доступ - это запрещено политикой безопасности Windows.
Скорее всего, сертификат "как для компьютера" даже и не установится, поскольку локальный компьютер тоже не имеет доступа к Вашему разделу реестра. |
|
|
| правильно ли я понимаю, что в новой версии криптопро будет возможность изначально установить сертификат в раздел для общего пользования и его смогут использовать все пользователи данной машины? |
|
| 28.07.2006 18:02:44 | Tatianka |
|
Закрытый ключ при создании в реестре все равно будет доступен только тому пользователю, который его создал.
Вы можете создать ключ на внешнем носителе, тогда соответствующий сертификат будет доступен любому пользователю, которому Вы дадите этот носитель. |
|
