Статус: Участник
Группы: Участники
Зарегистрирован: 29.11.2021(UTC)
Сообщений: 21
Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 2 раз в 1 постах
|
Здравствуйте. Не получается заменить сертификат в контейнере закрытого ключа. Ситуация следующая - есть сертификат, который нужно использовать для подписания данных (издан внешней организацией). В панели КриптоПро JCP 2.0.40035 (Клиентская ОС - Windows 10, Тип лицензии: Серверная, подпись и шифрование, по кол-ву ядер и времени действия неограниченная) на закладке "Хранилища ключей и сертификатов" создаю контейнер (атрибуты субъекта сертификата беру из уже имеющегося сертификата, которым нужно подписывать данные). Контейнер создаётся с само подписанным сертификатом, но при попытке заменить его в контейнере на уже имеющийся (кнопка "Добавить", затем выбираю имеющийся сертификат) получаю ошибку "Невозможно записать сертификат в хранилище". В окне лога Контрольной панели следующий текст:
Код:ru.CryptoPro.JCP.KeyStore.CertificateValidityException
at ru.CryptoPro.JCP.KeyStore.cl_4.a(Unknown Source)
at ru.CryptoPro.JCP.KeyStore.ContainerStore.a(Unknown Source)
at ru.CryptoPro.JCP.KeyStore.ContainerStore.engineSetCertificateEntry(Unknown Source)
at ru.CryptoPro.JCP.KeyStore.JCPKeyStore.engineSetCertificateEntry(Unknown Source)
at java.security.KeyStore.setCertificateEntry(KeyStore.java:1201)
at ru.CryptoPro.JCP.ControlPane.PageKeys$StoreView.setCertificate(Unknown Source)
at ru.CryptoPro.JCP.ControlPane.PageKeys$CerView.write(Unknown Source)
at ru.CryptoPro.JCP.ControlPane.PageKeys$CerView.copy(Unknown Source)
at ru.CryptoPro.JCP.ControlPane.PageKeys$StoreView.tryToOpenNewCertificate(Unknown Source)
at ru.CryptoPro.JCP.ControlPane.PageKeys$StoreView.access$400(Unknown Source)
at ru.CryptoPro.JCP.ControlPane.PageKeys.onAddCertToContButton(Unknown Source)
at ru.CryptoPro.JCP.ControlPane.PageKeys.access$14900(Unknown Source)
at ru.CryptoPro.JCP.ControlPane.PageKeys$MyActionListener.actionPerformed(Unknown Source)
at javax.swing.AbstractButton.fireActionPerformed(AbstractButton.java:2022)
at javax.swing.AbstractButton$Handler.actionPerformed(AbstractButton.java:2348)
at javax.swing.DefaultButtonModel.fireActionPerformed(DefaultButtonModel.java:402)
at javax.swing.DefaultButtonModel.setPressed(DefaultButtonModel.java:259)
at javax.swing.plaf.basic.BasicButtonListener.mouseReleased(BasicButtonListener.java:252)
at java.awt.AWTEventMulticaster.mouseReleased(AWTEventMulticaster.java:289)
at java.awt.Component.processMouseEvent(Component.java:6539)
at javax.swing.JComponent.processMouseEvent(JComponent.java:3324)
at java.awt.Component.processEvent(Component.java:6304)
at java.awt.Container.processEvent(Container.java:2239)
at java.awt.Component.dispatchEventImpl(Component.java:4889)
at java.awt.Container.dispatchEventImpl(Container.java:2297)
at java.awt.Component.dispatchEvent(Component.java:4711)
at java.awt.LightweightDispatcher.retargetMouseEvent(Container.java:4904)
at java.awt.LightweightDispatcher.processMouseEvent(Container.java:4535)
at java.awt.LightweightDispatcher.dispatchEvent(Container.java:4476)
at java.awt.Container.dispatchEventImpl(Container.java:2283)
at java.awt.Window.dispatchEventImpl(Window.java:2746)
at java.awt.Component.dispatchEvent(Component.java:4711)
at java.awt.EventQueue.dispatchEventImpl(EventQueue.java:760)
at java.awt.EventQueue.access$500(EventQueue.java:97)
at java.awt.EventQueue$3.run(EventQueue.java:709)
at java.awt.EventQueue$3.run(EventQueue.java:703)
at java.security.AccessController.doPrivileged(AccessController.java:704)
at java.security.ProtectionDomain$JavaSecurityAccessImpl.doIntersectionPrivilege(ProtectionDomain.java:74)
at java.security.ProtectionDomain$JavaSecurityAccessImpl.doIntersectionPrivilege(ProtectionDomain.java:84)
at java.awt.EventQueue$4.run(EventQueue.java:733)
at java.awt.EventQueue$4.run(EventQueue.java:731)
at java.security.AccessController.doPrivileged(AccessController.java:704)
at java.security.ProtectionDomain$JavaSecurityAccessImpl.doIntersectionPrivilege(ProtectionDomain.java:74)
at java.awt.EventQueue.dispatchEvent(EventQueue.java:730)
at java.awt.EventDispatchThread.pumpOneEventForFilters(EventDispatchThread.java:205)
at java.awt.EventDispatchThread.pumpEventsForFilter(EventDispatchThread.java:116)
at java.awt.EventDispatchThread.pumpEventsForHierarchy(EventDispatchThread.java:105)
at java.awt.EventDispatchThread.pumpEvents(EventDispatchThread.java:101)
at java.awt.EventDispatchThread.pumpEvents(EventDispatchThread.java:93)
at java.awt.EventDispatchThread.run(EventDispatchThread.java:82)
Имеющийся сертификат (который хочу добавить в контейнер закрытого ключа) в PEM формате (-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----). Конвертировал его в DER (.crt) следующей командой: Код:openssl x509 -outform der -in certificate.pem -out certificate.crt
crt файл открывается нормально, значения атрибутов отображаются. Цель - использовать имеющийся сертификат для подписания. С самоподписанным сертификатом (который создавал в Контрольной панели JCP вместе с контейнером закрытого ключа) подписание работает. Повторюсь, проблема в том, чтобы поместить в контейнер закрытого ключа имеющийся сертификат (или создать контейнер ключа с этим уже имеющимся сертификатом). Что именно делаю неправильно и как решить эту задачу?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,193  Сказал(а) «Спасибо»: 100 раз
Поблагодарили: 274 раз в 254 постах
|
Добрый день.
нужен закрытый ключ от этого сертификата, т.к. каждому контейнеру должен соответствовать свой сертификат |
|
 1 пользователь поблагодарил Санчир Момолдаев за этот пост.
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
|
Добрый день. Дополню ответ: Цитата:Не получается заменить сертификат в контейнере закрытого ключа. 1) штатного API по замене сертификата в контейнере нет. Точнее, нет функционала удаления сертификата из контейнера, а функция добавления вываливается в ошибку, когда сертификат для ключа обмена (или ключа подписи) уже есть в контейнере. Распутав ASN.1 в header.key можно относительно легко (хотя бы по размеру элемента) найти сертификат, однако просто вырезать эти байты и пересчитать длину оставшихся элементов нельзя, там в конце еще и 2-4 байта контрольной суммы указаны. При неверной контрольной сумме криптопровайдер вообще отказывается работать с контейнером - типа контейнер поврежден. Другими словами, пока не получите верную сумму, вручную также нельзя удалить сертификат. Следовательно, основной способ: создать контейнер без сертификата и его сохранить, уже потом экспериментировать с созданием сертификата - самоподписанного или выданного внешней организацией. Цитата:создаю контейнер (атрибуты субъекта сертификата беру из уже имеющегося сертификата, которым нужно подписывать данные). 2) в формулировке вопроса вообще какая-то неразбериха: суть в том, что в контейнере достаточно информации, чтобы воссоздать ключевую пару целиком (и закрытый ключ и открытый ключ), но нет информации о том, кому он принадлежит. Для проверки правильности пароля или соответствия сертификата контейнеру в открытом виде также указаны первые 8 байт открытого ключа. В сертификате же указаны только открытый ключ и информация кому он принадлежит, закрытого ключа нет. Вся схема построена на том, что по открытому ключу (в случае гост-2012 одной координате точки эллиптической кривой) нельзя в разумные сроки (сравнимые со сроком действия сертификата) восстановить закрытый (в котором две координаты точки эллиптической кривой). Следовательно, когда создаете контейнер, указав только данные субъекта, будет сгенерирована новая ключевая пара. Даже если в этот момент не добавить в новый контейнер сертификат, 8 первые байт открытого ключа почти наверняка будут отличаться и выйдет ошибка о несоответствии сертификата и контейнера. Итого: сгенерировали новый контейнер - получаете новый сертификат. С другой стороны, если экспортировали и закрытый и открытый ключи и сертификат в файл PFX/P12, его можно восстановить в полноценный контейнер с той же ключевой парой и подписывать существующим ключом (или как говорят упрощенно тем же сертификатом). Отредактировано пользователем 25 мая 2022 г. 5:37:58(UTC)
| Причина: Не указана
|
1 пользователь поблагодарил two_oceans за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.11.2021(UTC)
Сообщений: 21
Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 2 раз в 1 постах
|
Благодарю за ответы, ясность появилась.
Нашли архив с ключевым контейнером и получилось добавить в него пользовательский сертификат в Контрольной панели JCP на закладке "Хранилища ключей и сертификатов".
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
