Статус: Новичок
Группы: Участники
Зарегистрирован: 09.10.2024(UTC) Сообщений: 5
|
Версия 5.0.13
Такой строкой certmgr.exe -install -store uMy -pfx -silent -keep_exportable -cont "ФИО 24-25" -file "C:\...\Desktop\DOOut.pfx"
PFX устанавливается успешно, но контейнеру не задается новое имя. Берется ФИО и номер из файла.
Можно вручную в реестре задать, и его нормально видит утилита CryptoPro, но через -list видно, что контейнер так и именуется, как было (Контейнер: REGISTRY\\ФИО Цифра)
Как возможно переименовать этот контейнер?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 2,324
Сказал(а) «Спасибо»: 563 раз Поблагодарили: 395 раз в 374 постах
|
При импорте из *.pfx, указать желаемое имя создаваемого контейнера не возможно.
Но, есть способ добиться этого последовательностью действий - импортировать, а после переименовать.
Недавно на форуме подобное обсуждалось, надо поискать тему.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.10.2024(UTC) Сообщений: 5
|
Переименовать в реестре или есть команда для этого?
- тему не нашел, чтобы с ответом
Переименование папки в реестре хоть и меняет наименование в утилите, но оно все также остается в name.key, менять name.key в реестре?
иначе как будет работать -delete по имени, хотя оно итак удаляет только из хранилища, бросая ветку в реестре
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 2,324
Сказал(а) «Спасибо»: 563 раз Поблагодарили: 395 раз в 374 постах
|
Что-то типа такого, предварительно протестируйте на стенде (кодировка сценария CP866): Код:@echo off
::Зададим некоторые переменные
set "newcontname=mycont"
set "pathtopfx=%~dp012345678.pfx"
set "pinforpfx=12345678"
::Сменим исполняемый каталог
pushd "%ProgramFiles%\Crypto Pro\CSP\"
::Импортируем контейнер из *.pfx
for /f "tokens=1,2 delims=:" %%a In ('certmgr.exe -inst -keep_exportable -file "%pathtopfx%" -pin %pinforpfx% -pfx -silent ^| findstr Контейнер') do set "contname=%%b"
::Удалим ведущий пробел в наименовании контейнера
set "oldcontname=%contname:~1%"
::Скопируем контейнер под новым именем
csptest.exe -keycopy -contsrc "\\.\REGISTRY\%oldcontname%" -contdest "\\.\REGISTRY\%newcontname%" -silent >nul 2>&1
::Удалим импортированный из *.pfx контейнер
csptest.exe -keyset -deletekeyset -container "\\.\REGISTRY\%oldcontname%" >nul 2>&1
::Переустановим сертификаты из контейнеров
csptest.exe -absorb -certs >nul 2>&1
::Вернёмся в сохранённый каталог
popd
Отредактировано пользователем 9 октября 2024 г. 18:50:05(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,422
Сказал(а) «Спасибо»: 37 раз Поблагодарили: 567 раз в 395 постах
|
Автор: Helgi certmgr.exe -install -store uMy -pfx -silent -keep_exportable -cont "ФИО 24-25" -file "C:\...\Desktop\DOOut.pfx" Как возможно переименовать этот контейнер? Задать имя контейнера при импорте нельзя, так как в общем случае в pfx может быть не один контейнер, а несколько. Если при экспорте в pfx в нём было сохранено имя контейнера (наш код делает именно так), то при импорте будет попытка использовать то самое имя, которое указано внутри pfx. Если имя уже занято, то будет сгенерировано новое. Если при импорте указать один из параметров -provname, -provtype, -carrier или -newpin (доступно начиная с 2022-09-02 КриптоПро CSP 5.0.12600 Quinotaur, см. CPCSP-9359), то механизм импорта усложняется:
- импорт будет не в провайдер по умолчанию, а в указанный провайдер
- имена контейнеров не будут сохранены - будут сгененрированы случайные
- если при "простом" импорте ключ silent приводит к безусловному импорту на HDIMAGE или REGISTRY, то в "сложном" можно явно указать носитель, на который надо импортировать контейнеры
- в неинтерактивном режиме можно задать PIN на контейнеры, но он будет одинаковый для всех контейнеров (что впрочем логично, например, при импорте на токен)
Добавлю, что имена контейнеров - это скорее внутренние свойства провайдера, так что настоятельно не рекомендуется привязывать к их значениям что-либо. Прикладное ПО должно ориентироваться только на сертификаты. Например, использование не-ASCII-символов в именах контейнеров является нерекомендованным. Кроме того, на имя контейнера есть ограничения по длине, зависящие от ключевого носителя (где-то это ограничение 57 байт), так что не любое ФИО сможет туда влезть. |
|
1 пользователь поблагодарил Русев Андрей за этот пост.
|
nickm оставлено 10.10.2024(UTC)
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.10.2024(UTC) Сообщений: 5
|
Имена контейнера позволяют ориентироваться в списке сертификатов, ну или не позволяют, вероятно поэтому к ним столько внимания. Работать со списком 50-70-100 подписей, не видя, например, срок действия очень неудобно. И если это Имя контейнера только наименование папки в реестре + name.key, то можно смело использовать такую удобную возможность. Или нельзя? Отредактировано пользователем 10 октября 2024 г. 13:18:44(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 2,324
Сказал(а) «Спасибо»: 563 раз Поблагодарили: 395 раз в 374 постах
|
Автор: Helgi Имена контейнера позволяют ориентироваться в списке Пока не понятен практический выхлоп от Вашего желания. Сценарий тестировали, не подошёл? Он рабочий, на стенде прогонял пару-тройку раз, но Сам думаю это всё излишества и абсолютно солидарен с Русевым Андреем.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.10.2024(UTC) Сообщений: 5
|
Практический смысл в удобном управлении сертификатами на рабочем месте. Когда у тебя каша в списке, и приходится или заглядывать по одному, или в утилиту от контура или еще куда.
Нужна информативность и множественная обработка в графическом исполнении. И объективно понятно, что у разработчиков задачи поважнее интерфейса, но и нам как-то нужно в пару кликов поставить 50 подписей, увидеть какие истекут в этом месяце, сделать копию в отдельную папку, например, всех врачей. Не заходя в консольный Ад ... задач как известно много, и забивать голову чем попало не стоит.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 2,324
Сказал(а) «Спасибо»: 563 раз Поблагодарили: 395 раз в 374 постах
|
Автор: Helgi Практический смысл в удобном управлении сертификатами на рабочем месте. Ну, как бы сертификат - это сертификат, а контейнер - это контейнер. Интересно, в каком сценария через сертификат, Вы собрались работать с контейнером? Автор: Helgi Когда у тебя каша в списке, и приходится или заглядывать по одному, или в утилиту от контура или еще куда. О каком списке идёт речь? Не заваривайте эту кашу, тогда и расхлёбывать её не придётся; Автор: Helgi Нужна информативность и множественная обработка в графическом исполнении. Множественная обработка как раз таки и должна исключать графический режим вовсе; Автор: Helgi но и нам как-то нужно в пару кликов поставить 50 подписей Можно вообще без кликов обойтись; Автор: Helgi увидеть какие истекут в этом месяце, сделать копию в отдельную папку, например, всех врачей. По истечении чего и копию чего Вы хотите делать ежемесячно? Возможно, что Вам следует правильно подавить задачу и найти более оптимальное решение.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.10.2024(UTC) Сообщений: 5
|
Когда задачи пользователей плохо представляются это ... случается часто.
Вопрос был про именование контейнеров. Ответ - да, не работает, таков замысел.
Вопрос Наименование это лишь имя папки в реестре и name.key. Хватило бы Да или Нет
Других вопросов нет.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close