Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline ingvar68  
#1 Оставлено : 10 февраля 2009 г. 21:11:08(UTC)
ingvar68

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.11.2008(UTC)
Сообщений: 5

К клиент банку надо прикрутить крипто про.
Объясните кто может
На стороне клиента делаю запрос на сертификат.
1)
При создании указываю что делать CRYPT_EXPORTABLE закрытый ключ
что значит у ключа CRYPT_EXPORTABLE,
-то что его может кто угодно экспортировать из хранилища закрытых ключей,
-то что этот закрытый ключ встроется в запрос на сертификат и пойдет мне в банк где нах-ся ЦС по эл почте и соотвтетсвенно его могут извлечь
Если я не укажу CRYPT_EXPORTABLE то в итоге серт будет без закрытого ключа и тогда грош ему цена и им может воспользоваться кто угодно?


2)
если я укажу делать новый закрытый ключ куда денется старый , если он был. Те я к тому чтоб у каждого сертификаты был свой закрытый ключ.
Например ничего нет, я делаю первый запрос на серт с новым ключом, затем второй то же с новым ключом, затем третий то же с новым ключом,
у меня в контейнере ключей будет три закрытых ключа?

3)
Как быть если надо чтоб при использовании серт1 пользователь ввел для него свой пароль и для серт2 другой пароль
Те ген дир и гл бух у каждого свой серт и свой пароль

PS Обращаюсь ко всем может у кого есть какие нить ссылки про сертификаты, подписи, ключи, дайте пож-та.

Offline Alexkurd  
#2 Оставлено : 11 февраля 2009 г. 12:27:02(UTC)
Alexkurd

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 117
Откуда: Ставрополь

Поблагодарили: 1 раз в 1 постах
1. а) при знании пароля - да б) закрытый ключ не встраивается в запрос и его не могут извлечь в) Если не укажете то вы не сможете скопировать контейнер с того места куда вы его первоначально поставили.
2. а) У каждого сертификата свой закрытый ключ, при создании имена контейнеров должны быть разные, иначе получите ошибку от криптопро. б) В контейнере может быть только 1 закрытый ключ.
3. На контейнеры можно ставить разные пароли, кроме случая использования рутокена где идет один пароль на весь носитель.
icq 318383
Инженер, Кордон
Offline ingvar68  
#3 Оставлено : 11 февраля 2009 г. 21:55:08(UTC)
ingvar68

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.11.2008(UTC)
Сообщений: 5

Alexkurd спасибо большое за ответ. Можно еще задам?

Если контейнер с закрытым ключом хранится в регистре, то в случае переустановки винды я могу ветку регистра скопировать чтоб потом ее восстановить + восстановить серт и тогда все снова воссоединится?
Те не надо будет делать новый запрос на серт? Или надо предварительно экспортировать закрытый ключ куда нить в файл и потом обратно импортировать?

Еще раз спасибо
Offline Максим Коллегин  
#4 Оставлено : 11 февраля 2009 г. 22:09:27(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,392
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
Последний вопрос: достаточно скопировать ветку реестра (придется изменить SID - если не совпадают) (экспорт в файл не поддерживается)(в контейнере должен быть сертификат, иначе его придется сохранять отдельно)
По первым:
1. CRYPT_EXPORTABLЕ - означает, что ключ из контейнера можно экспортировать (на другом ключе), не более.
2. В контейнере обычно один ключ, но может быть два (AT_SIGNATURE & AT_KEYEXCHANGE - чаще только второй). Второй сертификат на один и тот же ключ УЦ, работающий по закону об ЭЦП, не выдаст.

Отредактировано пользователем 11 февраля 2009 г. 22:10:05(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline ingvar68  
#5 Оставлено : 12 февраля 2009 г. 14:27:31(UTC)
ingvar68

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.11.2008(UTC)
Сообщений: 5

Спасибо maxdm. Правильно ли я понял что в контейнере с закрытым ключом может находится и серт-т? Как я понимал ключи в своем контейнере а серты в своем хранилище?
Offline Максим Коллегин  
#6 Оставлено : 12 февраля 2009 г. 14:45:54(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,392
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
Все верно, ключи в контейнере, сертификаты в хранилище системы. Но для удобства развертывания прикладных систем сертификат может находиться в контейнере с ключом.
Знания в базе знаний, поддержка в техподдержке
Offline ingvar68  
#7 Оставлено : 12 февраля 2009 г. 18:00:46(UTC)
ingvar68

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.11.2008(UTC)
Сообщений: 5

Подскажите еще раз. пришел серт, я его инст-ию, как он(серт) понимает что у него где то есть закрытый ключ, те как они соединяются. Не возьмет ли он(серт) в момент инст-ии какой нить другой секретный ключ? Те я к тому если кто то перехватит файл cer и проинсталирует себе, подпишет данные(пакет) и вернет в банк, я пакет получу выдерну серт-т проверю со своим и все будет гуд?


Инст-ию серт-т с помощью certreq_a.hta. Как я понял серт-т ставится в хранилище сертификатов MY а не в контейнер закрытых ключей. Можно ли с помощью cenroll ставить серт в контейнер закрытых ключей или только через API?

MAXDM, вдруг у вас есть какие нить ссылки про это или дока, мы купили 100 лиценз крипто про, я понимаю что мне не хватает знаний по этой области, как в темном лесу, все больше и больше вопросов. Может у вас есть курсы?
Спасибо

Отредактировано пользователем 12 февраля 2009 г. 18:05:33(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#8 Оставлено : 12 февраля 2009 г. 18:47:04(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,392
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
на главной странице сайта
Цитата:
Обучение по продуктам Крипто-Про
авторизованные учебные центры:
Учебный центр Информзащита — Использование ЭЦП в PKI на основе Удостоверяющего центра КриптоПро,
Организационно-правовые основы применения ЭЦП и деятельности удостоверяющих центров,
Формирование регламентов деятельности удостоверяющего центра и настройка компонентов "КриптоПро УЦ"
Академия АйТи — Построение системы юридически значимой электронной цифровой подписи в сети организации с использованием продуктов ООО "Крипто-Про",
Теория и практика использования средства криптографической защиты информации "КриптоПро CSP"

учебные центры:
Сетевая Академия ЛАНИТ - Практика использования инфраструктуры открытых ключей (PKI) на основе продуктов КриптоПро УЦ, КриптоПро CSP и идентификаторов Рутокен

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.