| ||||
| ||||
Пытаюсь установить сертификат к контейнер, имя которому присваиваю сам - на этапе установки вписываю имя, ставлю галку "создать контейнер". В результате вижу, что на дискете появляются две папки - одна моя, вторая с автоматически присвоенным именем. Причем сертификат из моего контейнера работать не хочет. Что я делаю неправильно? | ||||
Ответы: | ||||
| ||||
Контейнер с секретным ключом создаётся в момент создания запроса на сертификат. Либо, при создании запроса на сертификат используется ранее существующий контейнер. А вот при установке сертификата нужно указывать именно тот контейнер, что был использован при создании запроса. Можно, конечно, скопировать контейнер под другим именем, но тогда установку сертификата надо будет делать программно, на достаточно низком уровне (CryptSetKeyParam с параметром KP_CERTIFICATE). | ||||
| ||||
Т.е. данная фича фактически не работает. Тогда у меня вопросы: 1. Зачем ее нужно было в пользовательский интерфейс? Я например, купился. 2. Почему ее нельзя довести до ума? Т.е. ключ, секртеный ключ, который сформировался на этапе запроса ключа КриптоПро может автомически скопировать в предложенный пользователем контейнер, а старый контейнер прибить. Ведь есть самостоятельные функции по копированию и удалению контейнеров. | ||||
| ||||
> Зачем ее нужно было в пользовательский интерфейс? Это про что? | ||||
| ||||
>Это про что? Делать доступной возможность создать пользовательский контейнер на этапе установки ключа, если заведомо известно, что работать он не будет. Если я все правильно понял - секретный ключ создался в контейнере, имя которому программа присвоила автоматически, когда пользователь "двигал мышкой" биологического ДСЧ. Когда пользователь уже ставит сертификат, то _единсвенный_ работоспособный вариант это использовать старый контейнер. Т.е. если использовать другой в т.ч. вновь созданный бесполезно. Я правильно все понял? Если да, мне кажется разумным или вообще убрать возможность создавать контейнер, или довести эту возможность до работоспособного состояния. | ||||
| ||||
> Делать доступной возможность создать пользовательский контейнер на этапе установки ключа, если заведомо известно, что работать он не будет. А что такое "этап установки ключа" ??? Какое ПО Вы используете, поподробнее. | ||||
| ||||
>А что такое "этап установки ключа" ??? Какое ПО Вы используете, поподробнее. Ключ ставится с сервера Такском-а - ca.taxcom.tu ПО - КриптоПро CSP 3.0 КС2 Последовательность такая - захожу под "маркером временного достука" т.е. логином и паролем, жму "запросить" - появляется диалог ДСЧ, потом жму "установить" - программа предлагает выбрать контейнер. | ||||
| ||||
А при чём тут КриптоПро? | ||||
| ||||
А кто тогда причем? Разве не КриптоПро работает с контейнерами на компьютере пользователя? Со стороны сервера, вероятно, тоже используется какой-то софт КриптоПро, но проблема ведь на стороне клиента. | ||||
| ||||
> Последовательность такая - захожу под "маркером временного достука" т.е. логином и паролем, жму "запросить" - появляется диалог ДСЧ, потом жму "установить" - программа предлагает выбрать контейнер. Можно всё-таки узнать страшную тайну - на какой странице веб-интерфейса (если, конечно, это на веб-интерфейсе) находится эта кнопка "Установить". Дело в том, что, если зайти на веб-страницу по маркеру временного доступа (https://ca.taxcom.ru/ui/Register/RegLogin.asp?Referer=RegTemporaryUser.asp) с той же машины и под тем же пользователем, что делал запрос на сертификат - никакого выбора контейнера не будет - ПО определяет это имя по запросу на сертификат. | ||||
| ||||
Да - я ошибаюсь, может быть я делал на другой машине (локально, а не на сервере), я много с чем эксперерементировал. Попробовал еще раз - запрос имени контейнера происходит не на этапе установке сертификата, а этапе запроса - можно ввести другое имя и поставить галку "создать контейнер". Но сути это не меняет - заставить работать сертификат с контейнером, которому присвоено собственное имя мне не удалось. | ||||
| ||||
Продолжаю экспериментировать. Копирую контейнер (реестр->реестр), ставлю сертификат вибирая копию (старый для чистоты эксперимента удалил). Сертификат ставится и все работает (доступ к mosnalog.ru), но если зайти в меню Сервис\Просмотреть сертификаты в контейнере, то КриптоПро пишет, что в контейнере нет сертификатов. Это нормально? | ||||
| ||||
А в оригинальном контейнере сертификат был? Если сертификата не было внутри оригинального контейнера, то откуда он возьметса в его копии? Сертификат может быть внутри контейнера (это удобно, если хранить ключи на токенах), а может и не быть. Во втором случае его придется записывать например в корень ключевой дискеты. Но на работоспособность наличие или отсутствие сертификата в контейнере не влияет. Элементарная проверка на наличие сертификата в контейнере на дискетке - посмотрите общий объем файлов в каталоге контейнера. Если байт 300, то сертификата у вас там нет, если 1500 и больше, то есть. | ||||
| ||||
В оригинальном контейнере сертификат есть. Но он мог там появиться позже, видимо я сначало скопировал контейнер, а потом ставил сертификат. Если сертификата в контейнере нет, то как его туда можно доставить? Хочется все таки услышать ответ на свой вопрос - работает ли функция с изменением имени сертификата, если работает, то как ей правильно пользоваться? | ||||
| ||||
> Если сертификата в контейнере нет, то как его туда можно доставить? Программно > Хочется все таки услышать ответ на свой вопрос - работает ли функция с изменением имени сертификата, если работает, то как ей правильно пользоваться? Лично я не знаю, как этого можно было добиться. На странице веб-интерфейса https://.../ui вообще нет возможности задать имя контейнера - ни при создании запроса, ни при установке сертификата. | ||||
| ||||
>Программно Т.е. средствами пользовательского интерфейса никак? >Лично я не знаю, как этого можно было добиться. На странице веб-интерфейса https://.../ui вообще нет возможности задать имя контейнера - ни при создании запроса, ни при установке сертификата. Мой вопрос касается не веб-интерфейса, а интерфейса программы КриптоПро - выбор имени контейнера я делаю именно там. Мы с Вами, как будто говорим на разных языках. | ||||
| ||||
Сертификат ставится в контейнер при выполнении двух условий (я их уже писал Вам): сертификат устанавливается (чере веб-интерфейс) тем пользователем Win и на той машине, где делался запрос на сертификат. > Мой вопрос касается не веб-интерфейса, а интерфейса программы КриптоПро - выбор имени контейнера я делаю именно там. Может, всё-таки Вы скажете волшебное место, где при УСТАНОВКЕ сертификата можно СОЗДАТЬ новый контейнер - я такого не знаю. А "программа КриптоПро" - не более информативное понятие, чем "программа Майкрософт". | ||||
| ||||
>Сертификат ставится в контейнер при выполнении двух условий (я их уже писал Вам): сертификат устанавливается (чере веб-интерфейс) тем пользователем Win и на той машине, где делался запрос на сертификат. Чтобы окончательно закрыть вопрос: 1. При установке из файла из файла сертификат в контейнер не попадает. 2. Доустановить сертификат в контейнер через интерфейс программы невозможно. 3. При копировании контейнера включающего сертификат скопируется и секретный ключ и сертификат. Я все правильно понял? Т.е. единственно правильно последовательность действий для получения контейнера со своим именем и включающим сертификат следующая. 1. Делаем запрос на сертификат с контейнер предлагаемый по умолчанию. 2. Ставим сертификат обязательно через веб-интерфейс. 3. Копируем контейнер. 4. Удаляем старый контейнер. >Может, всё-таки Вы скажете волшебное место, где при УСТАНОВКЕ сертификата можно СОЗДАТЬ новый контейнер - я такого не знаю. Не при УСТАНОВКЕ, а при ЗАПРОСЕ. Я же уточнил, что ошибся. Сразу после работы ДСЧ и выборе носителя для ключа. >А "программа КриптоПро" - не более информативное понятие, чем "программа Майкрософт". ОК уточняю, КриптоПро CSP 3.0 | ||||
| ||||
> 1. При установке из файла сертификат в контейнер не попадает. Точно. > 2. Доустановить сертификат в контейнер через интерфейс программы невозможно. Да, нельзя. Сертификат не обязан быть в контейнере. > 3. При копировании контейнера включающего сертификат скопируется и секретный ключ и сертификат. Именно так. > Т.е. единственно правильно последовательность действий для получения контейнера со своим именем и включающим сертификат следующая. 1. Делаем запрос на сертификат с контейнер предлагаемый по умолчанию. 2. Ставим сертификат обязательно через веб-интерфейс. 3. Копируем контейнер. 4. Удаляем старый контейнер. Да, имя контейнера на странице веб-интерфейса УЦ при создании запроса выбрать нельзя. А чем случайно созданное имя контейнера не нравится? > Не при УСТАНОВКЕ, а при ЗАПРОСЕ. Запрос на сертификат делается через веб-интерфейс УЦ. При этом создаётся новый контейнер со случайно сгенерированным именем на выбранный пользователем носитель. В этой процедуре единственное место, где можно, как Вы писали в самом начале этого топика "ставлю галку "создать контейнер" - это использование вместо текстового пароля контейнера шифрования (если в окне задания пароля нажать "Подробнее" и переключить на "Установить новый ключ"). Если это сделать, оригинальный контейнер будет зашифрован на ключе из контейнера шифрования. Для работы с ключом оригинального контейнера нужно будет предоставить контейнер шифрования и сам оригинальный контейнер. | ||||
| ||||
Hello! Good Site! Thanks you! elptmgwovdqg | ||||