Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.06.2013(UTC) Сообщений: 83  Откуда: Москва Сказал(а) «Спасибо»: 16 раз
Поблагодарили: 1 раз в 1 постах
|
Провел еще пару экспериментов.
"Сухой" остаток:
1) Если в контейнере только экспортируемые сущности, то копирование происходит без ошибок, копируется все содержимое контейнера.
2) Если экспортируемых сущностей нет, то контейнер вообще не копируется (целевой контейнер не создается).
3) Если в контейнере есть как экспортируемые, так и не экспортируемые сущности, то копирование выдает ошибку, однако целевой контейнер создается
и в него копируются только экспортируемые сущности.
Такое поведение (п.п.1-3) одинаковое на обеих системах - на виндовс, и на линукс. И здесь всё правильно, как я понимаю.
4) Если мы копируем контейнер, а потом его удаляем на целевом носителе, то повторное копирование завершается с ошибкой
Object already exists. Причем даже если заменить целевой носитель (на который данный контейнер никогда не копировался), то ошибка остается.
Такое поведение наблюдается только на линукс.
В виндовс поведение правильное, - такое же, как в п.п.1-3
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,408  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 723 раз в 626 постах
|
добавьте при удалении -machine |
|
 1 пользователь поблагодарил Максим Коллегин за этот пост.
|
al оставлено 24.10.2013(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.06.2013(UTC) Сообщений: 83 Откуда: Москва Сказал(а) «Спасибо»: 16 раз
Поблагодарили: 1 раз в 1 постах
|
И сюда же добавлю вопрос.
Еще одна проблема (или фича?) в линукс-реализации.
Выполняю команду:
cryptcp -creatrqst ~/testcont.req -cont "\\\\.\\hdimage\\testcont" -dn "CN=testcont" -provtype 75 -exprt -both -km
Т.е. генерю пару и формирую запрос на выдачу сертификата. Причем указываю, что назначение у пары '-both', т.е. и AT_EXCHANGE и AT_SIGNATURE.
Потом захожу на сайт, вcтавляю содержимое ~/testcont.req в окно, получаю и устанавливаю цепочку (certnew.p7b) в контейнер.
Дальше смотрю, что у меня в контейнере:
csptest -keyset -check -cont "\\\\.\\hdimage\\testcont" -machine
И вижу, что назначение пары - только AT_EXCHANGE и утилита пишет, что ключа подписи там нет (есть только ключ обмена).
Почему ? Почему у ключа только одно назначение ?
А в виндовс, если я зайдя на сайт, и указав в "форме запроса на сертификат", что у меня пара должна иметь оба назначения,
то всё в итоге получается как надо - сгенерированная пара имеет оба назначения AT_EXCHANGE и AT_SIGNATURE, и естественно,
при проверке (-check) контейнера, утилита выводит, что присутствует как ключ обмена, так и ключ подписи (понятно, что это один и тот же ключ).
Т.е. назначение ключа прописывается правильно.
Помогите разобраться, пожалуйста.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.06.2013(UTC) Сообщений: 83 Откуда: Москва Сказал(а) «Спасибо»: 16 раз
Поблагодарили: 1 раз в 1 постах
|
Цитата:
добавьте при удалении -machine
Гениально! Работает!! Но почему ?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,408 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 723 раз в 626 постах
|
Shortcut сохранялся в Machine, а удалялся под пользователем. |
|
1 пользователь поблагодарил Максим Коллегин за этот пост.
|
al оставлено 24.10.2013(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.06.2013(UTC) Сообщений: 83 Откуда: Москва Сказал(а) «Спасибо»: 16 раз
Поблагодарили: 1 раз в 1 постах
|
Спасибо!!
Теперь буду ждать linux-программистов...
Всё-таки хочу прояснить вопрос в 13-ом посте.
Может я там тоже что-то не так делаю...
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,408 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 723 раз в 626 постах
|
BOTH (AT_EXCHANGE & AT_SIGNATURE) == AT_EXCHANGE |
|
1 пользователь поблагодарил Максим Коллегин за этот пост.
|
al оставлено 25.10.2013(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.06.2013(UTC) Сообщений: 83 Откуда: Москва Сказал(а) «Спасибо»: 16 раз
Поблагодарили: 1 раз в 1 постах
|
Спасибо, это меня что-то переклинило...
Да, конечно, вот сейчас Вы сказали, и я вспомнил, что ключ обмена можно использовать как в шифровании данных, ключа, неотрекаемости, ЭЦП.
Ограничения налагаются посредством KeyUsage.
А ключ подписи - только в ЭПЦ.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.06.2013(UTC) Сообщений: 83 Откуда: Москва Сказал(а) «Спасибо»: 16 раз
Поблагодарили: 1 раз в 1 постах
|
Да, и вопрос можно закрывать!
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
