Статус: Новичок
Группы: Участники
Зарегистрирован: 24.11.2008(UTC) Сообщений: 5
|
К клиент банку надо прикрутить крипто про. Объясните кто может На стороне клиента делаю запрос на сертификат. 1) При создании указываю что делать CRYPT_EXPORTABLE закрытый ключ что значит у ключа CRYPT_EXPORTABLE, -то что его может кто угодно экспортировать из хранилища закрытых ключей, -то что этот закрытый ключ встроется в запрос на сертификат и пойдет мне в банк где нах-ся ЦС по эл почте и соотвтетсвенно его могут извлечь Если я не укажу CRYPT_EXPORTABLE то в итоге серт будет без закрытого ключа и тогда грош ему цена и им может воспользоваться кто угодно?
2) если я укажу делать новый закрытый ключ куда денется старый , если он был. Те я к тому чтоб у каждого сертификаты был свой закрытый ключ. Например ничего нет, я делаю первый запрос на серт с новым ключом, затем второй то же с новым ключом, затем третий то же с новым ключом, у меня в контейнере ключей будет три закрытых ключа?
3) Как быть если надо чтоб при использовании серт1 пользователь ввел для него свой пароль и для серт2 другой пароль Те ген дир и гл бух у каждого свой серт и свой пароль
PS Обращаюсь ко всем может у кого есть какие нить ссылки про сертификаты, подписи, ключи, дайте пож-та.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 117 Откуда: Ставрополь
Поблагодарили: 1 раз в 1 постах
|
1. а) при знании пароля - да б) закрытый ключ не встраивается в запрос и его не могут извлечь в) Если не укажете то вы не сможете скопировать контейнер с того места куда вы его первоначально поставили. 2. а) У каждого сертификата свой закрытый ключ, при создании имена контейнеров должны быть разные, иначе получите ошибку от криптопро. б) В контейнере может быть только 1 закрытый ключ. 3. На контейнеры можно ставить разные пароли, кроме случая использования рутокена где идет один пароль на весь носитель. |
icq 318383 Инженер, Кордон |
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 24.11.2008(UTC) Сообщений: 5
|
Alexkurd спасибо большое за ответ. Можно еще задам?
Если контейнер с закрытым ключом хранится в регистре, то в случае переустановки винды я могу ветку регистра скопировать чтоб потом ее восстановить + восстановить серт и тогда все снова воссоединится? Те не надо будет делать новый запрос на серт? Или надо предварительно экспортировать закрытый ключ куда нить в файл и потом обратно импортировать?
Еще раз спасибо
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,392 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 715 раз в 620 постах
|
Последний вопрос: достаточно скопировать ветку реестра (придется изменить SID - если не совпадают) (экспорт в файл не поддерживается)(в контейнере должен быть сертификат, иначе его придется сохранять отдельно) По первым: 1. CRYPT_EXPORTABLЕ - означает, что ключ из контейнера можно экспортировать (на другом ключе), не более. 2. В контейнере обычно один ключ, но может быть два (AT_SIGNATURE & AT_KEYEXCHANGE - чаще только второй). Второй сертификат на один и тот же ключ УЦ, работающий по закону об ЭЦП, не выдаст. Отредактировано пользователем 11 февраля 2009 г. 22:10:05(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 24.11.2008(UTC) Сообщений: 5
|
Спасибо maxdm. Правильно ли я понял что в контейнере с закрытым ключом может находится и серт-т? Как я понимал ключи в своем контейнере а серты в своем хранилище?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,392 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 715 раз в 620 постах
|
Все верно, ключи в контейнере, сертификаты в хранилище системы. Но для удобства развертывания прикладных систем сертификат может находиться в контейнере с ключом. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 24.11.2008(UTC) Сообщений: 5
|
Подскажите еще раз. пришел серт, я его инст-ию, как он(серт) понимает что у него где то есть закрытый ключ, те как они соединяются. Не возьмет ли он(серт) в момент инст-ии какой нить другой секретный ключ? Те я к тому если кто то перехватит файл cer и проинсталирует себе, подпишет данные(пакет) и вернет в банк, я пакет получу выдерну серт-т проверю со своим и все будет гуд? Инст-ию серт-т с помощью certreq_a.hta. Как я понял серт-т ставится в хранилище сертификатов MY а не в контейнер закрытых ключей. Можно ли с помощью cenroll ставить серт в контейнер закрытых ключей или только через API? MAXDM, вдруг у вас есть какие нить ссылки про это или дока, мы купили 100 лиценз крипто про, я понимаю что мне не хватает знаний по этой области, как в темном лесу, все больше и больше вопросов. Может у вас есть курсы? Спасибо Отредактировано пользователем 12 февраля 2009 г. 18:05:33(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,392 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 715 раз в 620 постах
|
на главной странице сайта Цитата:Обучение по продуктам Крипто-Про авторизованные учебные центры: Учебный центр Информзащита — Использование ЭЦП в PKI на основе Удостоверяющего центра КриптоПро, Организационно-правовые основы применения ЭЦП и деятельности удостоверяющих центров, Формирование регламентов деятельности удостоверяющего центра и настройка компонентов "КриптоПро УЦ" Академия АйТи — Построение системы юридически значимой электронной цифровой подписи в сети организации с использованием продуктов ООО "Крипто-Про", Теория и практика использования средства криптографической защиты информации "КриптоПро CSP"
учебные центры: Сетевая Академия ЛАНИТ - Практика использования инфраструктуры открытых ключей (PKI) на основе продуктов КриптоПро УЦ, КриптоПро CSP и идентификаторов Рутокен |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close