Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Andrei9385  
#11 Оставлено : 18 июня 2021 г. 9:16:15(UTC)
Andrei9385

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2018(UTC)
Сообщений: 27
Российская Федерация
Откуда: Одинцово

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 1 раз в 1 постах
Андрей Русев, здравствуйте. Есть новости по новой версии КриптоПро?
Offline Андрей *  
#12 Оставлено : 18 июня 2021 г. 10:17:09(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Здравствуйте.

Автор: Andrei9385 Перейти к цитате
Андрей Русев, здравствуйте. Есть новости по новой версии КриптоПро?


сборка 5.0.12000 Kraken еще не опубликована.

Отслеживать изменения:
Цитата:
КриптоПро CSP 5.0 » Актуальная версия КриптоПро CSP 5.0

Опции\Отслеживать эту тему:
https://www.cryptopro.ru...&m=120172#post120172
Техническую поддержку оказываем тут
Наша база знаний
Offline Andrei9385  
#13 Оставлено : 1 июля 2021 г. 14:11:30(UTC)
Andrei9385

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2018(UTC)
Сообщений: 27
Российская Федерация
Откуда: Одинцово

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 1 раз в 1 постах
Здравствуйте. Я видимо не дождусь ту обещанную версию, когда сертификат будет устанавливаться в контейнер КриптоПро.

Подскажите, есть ли команды, чтоб как в графике "Установить личный сертификат", реализовать через командную строку ?

Я нашел нужные ключи и автоматизировал процесс установки сертификатов через Powershell.

Start-Process -NoNewWindow -FilePath "C:\Program Files\Crypto Pro\CSP\certmgr.exe" -ArgumentList "-inst -store uMy -pfx -file ""\\domain.com\SYSVOL\domain.com\scripts\RDS\Certificates\$CertCompany.pfx"" -pin 123456789 -silent"

Осталось понять, могу ли я автоматизировать установку .cer в КриптоПро.

И еще вопрос, тут http://www.cryptopro.ru/...aspx?g=posts&t=17870 автору говорят использовать ключ -pfx, как я полагаю, он так же не импортирует сертификат в контейнер ? Это как минимум не работает.

Отредактировано пользователем 1 июля 2021 г. 14:12:08(UTC)  | Причина: Не указана

Offline Andrei9385  
#14 Оставлено : 2 июля 2021 г. 16:42:13(UTC)
Andrei9385

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2018(UTC)
Сообщений: 27
Российская Федерация
Откуда: Одинцово

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 1 раз в 1 постах
Объясните мне, может я чего-то не понимаю.

certmgr: В режиме импорта pfx добавлена возможность установки закрытого ключа сертификата в заданный провайдер (CPCSP-8266).

Почему же не работает установка закрытого ключа в КриптоПро провайдер ?

Я всё же должен ждать обновления версии КриптоПро или я сейчас как-то могу автоматизировать процесс ?
Offline Andrei9385  
#15 Оставлено : 5 июля 2021 г. 9:53:08(UTC)
Andrei9385

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2018(UTC)
Сообщений: 27
Российская Федерация
Откуда: Одинцово

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 1 раз в 1 постах
certmgr -inst -store uMy -file "C:\Users\User\Desktop\re.cer" -cont "2020-08-10 10-42-23 Общество с ограниченной ответственностью РЕ - Copy"

[ErrorCode: 0x00000000]

Выполнилось успешно, но сертификата так и нет в контейнере.

- Ответьте пожалуйста, могу я как-то этот злонесчастный сертификат установить в крипто про провайдер ? Или только в новой версии, которую нужно ждать ?

Отредактировано пользователем 5 июля 2021 г. 11:03:14(UTC)  | Причина: Не указана

Offline Andrei9385  
#16 Оставлено : 5 июля 2021 г. 11:03:04(UTC)
Andrei9385

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2018(UTC)
Сообщений: 27
Российская Федерация
Откуда: Одинцово

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 1 раз в 1 постах
В общем догуглился. Нашел не задокументированный ключ в теме: http://www.cryptopro.ru/...aspx?g=posts&t=18296 и всё заработало вот так:

certmgr.exe -install -store uMy -file "C:\Users\User\Desktop\RE.cer" -certificate -container "2020-08-10 10-42-23 Общество с ограниченной ответственностью РЕ - Copy" -silent -inst_to_cont

Отредактировано пользователем 5 июля 2021 г. 11:09:57(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#17 Оставлено : 14 июля 2021 г. 10:29:28(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
Автор: two_oceans Перейти к цитате
Автор: Андрей Русев Перейти к цитате
где и на Windows будет такое же удобное поведение: дополнительных действий больше не потребуется
К сожалению, в ряде случае такое поведение как раз неудобное, а удобнее как сейчас без сертификата в контейнере.

Причина: отсутствие штатного механизма удаления сертификата из контейнера либо замены сертификата в контейнере. Если сертификат уже установлен, то функция cryptoapi для установки сертификата возвращает ошибку, как и утилита csptest. При различных операциях с внутренним УЦ (для аккредитованных УЦ наверно не так актуально) возможен случай когда выпускается новый сертификат УЦ на тот же открытый ключ (кросс-сертификат, например, сертификат с откорректированными адресами или сертификат, подхватывающий клиентские сертификаты при смене ключа УЦ в Майкрософт УЦ) и в этом случае оставлять "предыдущую версию" сертификата в контейнере будет не самой хорошей идеей.

До сих пор проблема обходилась экспортом в PFX и импортом обратно, что удаляло сертификат из контейнера и можно было установить новый сертификат с тем же открытым ключом. На новой версии криптопровайдера предлагается в таком случае еще и заменять/удалять сертификат в самом PFX? Либо можно сохранить некий исполняемый файл (certmgr.exe ?) от другой версии криптопровайдера чтобы "по-старому" получать контейнер без сертификата? Или можно использовать некий ключ командной строки позволяющий пропустить импорт сертификата в контейнер?

Впрочем, если большинству пользователей удобно получать контейнер с сертификатом, то пусть будет так, однако прошу реализовать идею о штатном механизме удаления сертификата из контейнера либо замены сертификата в контейнере. Хотя бы в виде отдельной утилиты командной строки, напрямую работающей с header.key. Пробовал такую написать сам, но споткнулся на неопубликованном способе вычисления контрольной суммы - удалением сертификата из ASN1 структуры получился header.key идентичный сохраненному до импорта сертификата кроме 4 байт контрольной суммы.

К слову, если контейнер связан в хранилище с другим сертификатом (сертификат 1) чем установленный сертификат в контейнере (сертификат 2), открытый ключ одинаков в сертификатах 1 и 2, то какой сертификат предполагается экспортировать в PFX? Полагаю, если будет экспортировать в PFX сертификат из хранилища, а не из контейнера, то это как раз решит проблему замены. Ну а только в случае неудачного поиска по открытому ключу в хранилище использовать сертификат из контейнера.
Что-то вроде такого:
Дано: "старый" контейнер с установленным "старым" сертификатом.
1) выпускается "новый" сертификат (кросс-сертификат) на тот же открытый ключ;
2) "новый" сертификат устанавливается в хранилище, со ссылкой на тот же "старый" контейнер;
3) "старый" сертификат удаляется из хранилища для однозначного поиска по открытому ключу в хранилище;
4) экспортируется PFX с сертификатом из хранилища (в данном случае найден "новый" в хранилище);
5) импортируется PFX и получаем "новый" контейнер с "новым" сертификатом, плюс меняется ссылка на контейнер в хранилище;
6) тестируем "новый" контейнер и при необходимости удаляем "старый".

Установка нового сертификата в контейнер работала всегда, только он должен соответствовать ключу.
Экспорт в pfx работает с сертификатом в хранилище в известных мне утилитах, для экспорта сертификата из контейнера нужно написать несколько строк кода.
Также, взяв за основу пример копирования ключа из SDK, несложно написать копирование контейнера без сертификата.
Отмечу, что контейнер без сертификата обладает неудобным свойством — из него нельзя получить открытый ключ без ввода пин-кода.
Знания в базе знаний, поддержка в техподдержке
thanks 2 пользователей поблагодарили Максим Коллегин за этот пост.
Андрей * оставлено 14.07.2021(UTC), Санчир Момолдаев оставлено 14.07.2021(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.