Если правильно понимаю, это касается дружественного имени контейнера.
Цитата:FOLDER Не может использоваться при создании ключа.
Вопрос 1: а что можно сделать с заданием как раз имени папки - часть имени FQCN?
Типичная ситуация - сайт Федерального казначейства формирует запрос на сертификат и автоматом указывает в дружественное имя ФИО и дату
без года, после этого автоматически генерируется абракадабра в имени папки с контейнером, причем одинаковая каждый год (от первых 8 символов дружественного имени, то есть фамилии в данном случае). С учетом того, что на сайт нужно зайти по прошлогоднему сертификату, чтобы сформировать запрос на новый, контейнер с прошлого года будет подключен одновременно при генерации нового и выбран тот же носитель (количество портов usb на ноутбуках не резиновое) - начинаются вариации имени папки .000 .001 и так далее.
Первый раз это просто: .000 (старый) .001 (новый), но потом (10 дней с момента окончания сертификата по правилам) мы уничтожим старый контейнер .000 и на следующий год уже оказывается .001 старый, а .000 сгенерируется новый. А если еще было в течение года несколько сертификатов того же человека с разными назначениями, то там уже и .002 .003 .004 .005 .006 не за горами. Тут уже начинается головоломка какой из них старый, так как даже в дружественном имени нет позиции года.
Интерфейс УЦ от Контура вписывает в начало последовательный номер, что спасает частично, но нисколько не информативно. Можно конечно через MiTM заменить код формирования дружественного имени на сайте, но как-то это притянуто за уши и может нарушить нормальную генерацию.
Можно ли как-то переопределить специфику генерации имени папки (для HDIMAGE и флешек)? В идеале - возможность зарегистрировать в реестре свою функцию преобразования дружественного имени в 8dot3 имя папки (по аналогии с кодированием объектов CryptoApi), а если вернулось неподходящее для носителя значение, то генерировать как сейчас.
Переделывать имя папки вручную непросто, так как при генерации Криптопро CSP записывает в реестр соответствие дружественного имени папки и FQCN, поэтому нужно либо менять дружественное имя (например, вписывать при копировании контейнера нужное имя папки в первые символы дружественного имени) либо стирать соответствие в реестре.
Для себя придумал систему, пока переделываю вручную, но хотелось бы оптимизировать процесс, чтобы не сидеть с ручной переделкой (для 3 контейнеров + исследование ушло полдня). Используется три альфа-номерных позиции в имени папки для кодирования числа, месяца и года генерации контейнера. 10 цифр + 26 букв латинского алфавита дают 36 значений, если взять 3 года, то месяцев в 3 годах как раз 36. Чисел в месяце максимум 31, что тоже не превышает 36 значений. Поэтому первый символ - число прошедших трехлеток от базового года (взял базовый 2000, но хватит на 36*3=108 лет, так что можно для совместимости с unix timestamp взять 1970), второй символ месяц в трехлетке, третий - число месяца. 21/11/2020 выйдет "6" (базовый 2000 + 6*3 = 2018-2020 годы), "Y" (отсчет с 0, Y= значение 34 = +2 года, ноябрь = 2020 год, ноябрь), "L" (отсчет с 1, значение 21) итого "6YL".
Еще три позиции - код владельца (используя даже base32 выйдет 32767 вариаций, сверх того еще остается почти 14 тысяч комбинации), две позиции оставил нулями (назначение сертификата, например), тогда после точки 1 позиция номер организации, когда человек работает в нескольких организациях, и 2 позиции - номер контейнера (этого человека в этой организации, сгенерированного в этот день). Выходит имя вроде такого: "01E6YL00.100" По формату подходит и гораздо информативнее, когда знаешь коды по справочнику. Сразу видно какие контейнеры уже пора перегенерировать / удалить.
Вопрос 2: что насчет импорта pfx, напомните, появилась ли возможность задать имя контейнера в командной строке вместо гуида?
Отредактировано пользователем 4 года назад
| Причина: Не указана
