Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.05.2011(UTC)
Сообщений: 102
Сказал(а) «Спасибо»: 17 раз
Поблагодарили: 56 раз в 18 постах
|
Добрый день!
Мы выдали клиенту сертификат со встроенной лицензией КриптоПро CSP. Сертификат не записан в контейнер (возможно важно). На рабочем месте клиента установлена КриптоПро CSP 4 версии 4.0.9969. Срок пробной версии истек. Пытаемся установить сертификат в хранилище и получаем ошибку: "Срок действия этой версии КриптоПро истек или еще не наступил, либо серийный номер лицензии не был введён". Визуально в сертификате наблюдаем OID, отвечающий за наличие встроенной лицензии. Провели тестирование контейнера:
Проверка завершилась с ошибкой
Контейнер закрытого ключа пользователя
имя 4.2.2021_17.7.10_610208881696_torgi_bazovii_ietp_«
уникальное имя REGISTRY\\4.2.2021_17.7.10_610208881696_torgi_bazovii_ietp_«
FQCN \\.\REGISTRY\4.2.2021_17.7.10_610208881696_torgi_bazovii_ietp_«
проверка целостности контейнера успешно
Ключ обмена доступен
длина ключа 512 бит
экспорт открытого ключа успешно
вычисление открытого ключа успешно
импорт открытого ключа успешно
подпись Ошибка 0x8007065B: Ошибка исполнения функции.
создание ключа обмена успешно
экспорт ключа разрешен
алгоритм ГОСТ Р 34.10-2012 DH 256 бит
ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию
ГОСТ Р 34.11-2012 256 бит
ГОСТ 28147-89, параметры шифрования ТК26 Z
сертификат в контейнере отсутствует
Срок действия закрытого ключа 4 мая 2022 г. 17:09:26
Использование ключа обмена разрешено до окончания срока действия закрытого ключа.
Ключ подписи отсутствует
загрузка ключей успешно
Версия контейнера 2
Значение ControlKeyTimeValidity 1
Расширения контейнера
некритическое Расширение контейнера КриптоПро CSP. Срок действия ключа обмена
действителен по 4 мая 2022 г. 17:09:26
Переустановили КриптоПро CSP на версию 5 и сертификат удалось установить и все работает, но я не уверен, что через 3 месяца, когда истечет пробный период, все будет также хорошо.
В связи с этим вопросы:
1. в сертификате кроме OID еще что-то размещается, отвечающее за встроенную лицензию? Может ли быть так, что OID есть, а встроенная лицензия некорректна? Как можно проверить сертификат на то, что там корректная встроенная лицензия?
2. В принципе можно установить сертификат в хранилище, если срок действия CSP истек? Я подозреваю что "Да", иначе у всех владельцев таких сертификатов через год были бы проблемы с продлением сертификатов. Но тогда, в чем же была проблема, если по п.1 у нас все хорошо?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,311   Откуда: Калининград Сказал «Спасибо»: 40 раз
Поблагодарили: 583 раз в 560 постах
|
Здравствуйте.
1. Сертификат со встроенной лицензией должен быть в контейнере.
2. Проверить корректность встроенной лицензии можно: протестировав контейнер в CSP 5.0, в котором есть сертификат. Или выполнив команду csptest.exe -certlic -check -certfile C:\сертификат.cer
Константу, которая попадает в сертификат, требуется менять после смены сертификата ЦС - всегда, константа индивидуальна к каждому ключу ЦС.
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.05.2011(UTC)
Сообщений: 102
Сказал(а) «Спасибо»: 17 раз
Поблагодарили: 56 раз в 18 постах
|
Автор: Захар Тихонов  Здравствуйте.
1. Сертификат со встроенной лицензией должен быть в контейнере.
Спасибо за подсказки. Дальше наверное, пожелание для разработчиков: Ситуация, при которой сертификат не записался в контейнер, не экзотическая. Очень часто не хватает места на токене и сертификат не попадает в контейнер. В этом случае клиент со встроенной лицензией попадает в патовую ситуацию: добавить сертификат в контейнер не дает просроченная CSP и установить сертификат тоже нельзя.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,311 Откуда: Калининград Сказал «Спасибо»: 40 раз
Поблагодарили: 583 раз в 560 постах
|
Автор: DVAckom
Спасибо за подсказки. Дальше наверное, пожелание для разработчиков:
Ситуация, при которой сертификат не записался в контейнер, не экзотическая. Очень часто не хватает места на токене и сертификат не попадает в контейнер.
Если импортировать сертификат в контейнер не удается из-за нехватки места, то стоит с этого токена что-то удалить и потом выполнить импорт. Или воспользоваться новым токеном. Автор: DVAckom В этом случае клиент со встроенной лицензией попадает в патовую ситуацию: добавить сертификат в контейнер не дает просроченная CSP и установить сертификат тоже нельзя.
Если в сертификате корректная константа, то провайдер с истекшей лицензией позволит его установить с привязкой к ЗК и импортировать его в контейнер. Если вы встретили иное поведение провайдера, то создайте, пожалуйста, обращение на портале ТП с описанием используемого ПО (ОС, CSP) и как воспроизводится проблема. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
