Статус: Новичок
Группы: Участники
Зарегистрирован: 18.02.2015(UTC) Сообщений: 3
|
День добрый.
Лирическое отступление: В связи с переходом с Windows 2003 на Windows 2012 у нас возникла задача переноса контейнеров и сертификатов с одного сервера на другой. На текущий момент у нас используются порядка 15 серверов, 500+ сертификатов. С ними работают 60 пользователей. Соответственно выполнить миграцию вручную представляется мало возможным. Было решено осуществить миграцию при помощи скрипта на PowerShell 4.
Суть проблемы: В качестве хранилища контейнеров мы используем реестр Windows. При этом часть контейнеров в реестре повреждена (отсутствует открытый ключ, параметр header.key в реестре). Сами сертификаты уже установлены в системе. Мы хотим при помощи консольной программы csptest, находящейся в папке с дистрибутивом Crypto Pro CSP 3.6 R4 выполнить лечение контейнера, использую команду: csptest -ipsec -reg -mycert c:\cert_der.cer -key name_container Для этого мы хотим выгрузить все установленные сертификаты в папку и для каждого поврежденного контейнера по очереди для каждого выгруженного сертификата выполнить предыдущую команду.
Вопросы: 1. При использовании csptest привяжет нужный сертификат к контейнеру или может привязать не тот? 2. Возможно ли выполнить подвязку путем перебора не выгружая сертификаты на диск (т.е. использовать уже установленные сертификаты, при этом многие сертификаты имеют одинаковые имена)? 3. Вместо выгрузки на диск каждого сертификаты выполнить выгрузку всех сертификатов, содержащихся в одном файле и далее этот файл использовать при привязке?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,390 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 714 раз в 619 постах
|
Если нет header.key - то контейнер восстановить довольно сложно. Если все ключи хранятся в реестре - экспортируйте ветку, поменяйте SID и импортируйте под нужным пользователем (но после установки CryptoPro CSP) Затем экспортируйте все сертификаты в файлы (на форуме была утилита), и установите их, связав с закрытым ключом. Для команды ipsec -reg будут полезны опции: autocont - автопоиск контейнера nopin - поиск без обращения к закрытому ключу (полезно, когда контейнеры с паролем) Отредактировано пользователем 18 февраля 2015 г. 19:22:13(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 18.02.2015(UTC) Сообщений: 3
|
Создали в Хранилище сертификатов Локально машины подпапку Temp csptest -ipsec -Reg Temp -key Имя_Контейнера -mycert С:\Файл_Сертифтката.cer Данной коммандой пытаемся импортировать в него сертификат, но она вываливается в ошибку. При использовании данной комманды она проверяет что контейнер и сертификат соответствуют друг другу. Как можно импортировать сертификат в контейнер Temp, чтобы выполнялась проверка на соответствие?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,390 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 714 раз в 619 постах
|
Какой-то непонятный набор слов. Сертификат в контейнер можно установить командой csptest -keyset -impcert Отредактировано пользователем 19 февраля 2015 г. 18:36:13(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 18.02.2015(UTC) Сообщений: 3
|
Спасибо, разобрался. В итоге сделал скрипт, который пробегает по реестру и выгружает контейнеры в файлы, если контейнер поврежден, то выполняет его лечение, попутно приводя все названия к единообразному виду. Вся информацию по сертификату заноситься в Excel, в котором, если нам надо установить сертификат, то на пересечении сооветствующей строки с именем сертификата и столбца с именем пользователя проставляем '+', а если удалить то '-'. И при следующем входе в систему сертификат автоматически устанавливается (удаляется) у пользователя. Теперь установка нового сертификата выполняется так: ставим с носителя сертификат на тестовую машину -> запускаем скрипт -> в Excel проставляем '+' кому надо установить -> наслаждаемся жизнью :) Отредактировано пользователем 24 февраля 2015 г. 1:39:21(UTC)
| Причина: Не указана
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.05.2014(UTC) Сообщений: 1 Откуда: Москва
|
krglogin Это же существенно облегчает установку. Огромная просьба, поделись пожалуйста скриптом
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.07.2018(UTC) Сообщений: 7 Откуда: Минск
|
Автор: Максим Коллегин Какой-то непонятный набор слов. Сертификат в контейнер можно установить командой csptest -keyset -impcert только в том случае, если сертификат сгенерен в кодировке .DER c .base64 данная команда не работает
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,390 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 714 раз в 619 постах
|
Ясно, спасибо за информацию, постараемся исправить. |
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,390 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 714 раз в 619 постах
|
Исправили, исправление попадёт в 5.0 и новые сборки 4.0.
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close