Статус: Участник
Группы: Участники
Зарегистрирован: 12.01.2021(UTC) Сообщений: 17  Откуда: Новосибирск Поблагодарили: 1 раз в 1 постах
|
Добрый день!
Прошу подсказать: можно ли используя КриптоПРО CSP 4.0 создать контейнер закрытого ключа и запрос на сертификат, используя для этого командную строку и команды cryptcp и csptest?
В запросе обязательно должен быть параметр субъекта Subject Alternative Name.
Или необходимо иметь КриптоПро TLS и без него нельзя создать необходимый запрос?
Сертификат необходим для закрытия канала TLS, связка nginx и КриптоПРО CSP.
P.S.
Отдельно я смог создать ключ и запрос, но в запрос не смог добавить параметр SAN
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.01.2021(UTC) Сообщений: 17 Откуда: Новосибирск Поблагодарили: 1 раз в 1 постах
|
В идеале необходимо что-то вроде конфигурационного файла для openssl, который позволяет гибко настроить выпуск ключе\запросов.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.01.2021(UTC) Сообщений: 17 Откуда: Новосибирск Поблагодарили: 1 раз в 1 постах
|
Смог найти решение:
При заполнение данных о субъекте
-dn "C=***,ST=***,L=***,O=***,OU=**,CN=***,OID.2.5.29.17=***"
Помимо стандартного набора параметров C, CN и т.д. можно использовать расширенные (T - псевдоним) и коды OID (OID.2.5.29.17 - SAN). Единственный вопрос с поиском этих кодов.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,453  Сказал «Спасибо»: 53 раз
Поблагодарили: 793 раз в 732 постах
|
Автор: SIB_ZK  Смог найти решение:
При заполнение данных о субъекте
-dn "C=***,ST=***,L=***,O=***,OU=**,CN=***,OID.2.5.29.17=***"
Помимо стандартного набора параметров C, CN и т.д. можно использовать расширенные (T - псевдоним) и коды OID (OID.2.5.29.17 - SAN). Единственный вопрос с поиском этих кодов. Здравствуйте. Уточните, пожалуйста, у Вас цель, чтобы в запрос в Subject Alternative Name попадало DNS-имя? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.01.2021(UTC) Сообщений: 17 Откуда: Новосибирск Поблагодарили: 1 раз в 1 постах
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,453 Сказал «Спасибо»: 53 раз
Поблагодарили: 793 раз в 732 постах
|
Автор: SIB_ZK Добрый день!
Да, DNS имя. В cryptcp, который идет вместе с КриптоПро CSP 5.0.12266 реализована поддержка параметра -altname, с помощью которого можно задать DNS-имя (или несколько) при создании запроса: Код:cryptcp -creatrqst -dn "CN=test" -altname "domain.ru" -altname "*.domain.ru" ...
В более старых сборках это можно сделать только с помощью файла с закодированным расширением: Код:cryptcp -creatrqst -dn "CN=test" -ext dns.ext ...
Пример такого файла -  dns.zip (1kb) загружен 51 раз(а).. Его можно открыть в ANS.1 редакторе, строки с DNS-именами - ASCII символы, представленные в hex числах. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.01.2021(UTC) Сообщений: 17 Откуда: Новосибирск Поблагодарили: 1 раз в 1 постах
|
Подскажите, пожалуйста, где можно найти документацию Приложение командной строки для подписи и шифрования файлов для версии 5.0. Смог найти только для 4.0 и более старые версии. не актуально. Отредактировано пользователем 22 сентября 2021 г. 12:26:44(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.01.2021(UTC) Сообщений: 17 Откуда: Новосибирск Поблагодарили: 1 раз в 1 постах
|
В документации нет упоминание о возможности использования параметра -altname.
Уточните, пжл, где именно это указано.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,453 Сказал «Спасибо»: 53 раз
Поблагодарили: 793 раз в 732 постах
|
Автор: SIB_ZK В документации нет упоминание о возможности использования параметра -altname.
Уточните, пжл, где именно это указано. Вероятно, еще не внесли в документацию. Сборка КриптоПро CSP 5.0.12266 (5.0 R3 на текущий момент)- промежуточная несертифицированная. Посмотреть наличие параметра можно во встроенной справке: Код:cryptcp -creatrqst -help
...
-altname <имя> добавить альтернативное имя субъекта (DNS-name) к запросу
...
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.01.2021(UTC) Сообщений: 17 Откуда: Новосибирск Поблагодарили: 1 раз в 1 постах
|
Добрый день! Вы писали: Цитата:В более старых сборках это можно сделать только с помощью файла с закодированным расширением:
Код:
cryptcp -creatrqst -dn "CN=test" -ext dns.ext ...
Пример такого файла - dns.zip (1kb) загружен 3 раз(а)..
Его можно открыть в ANS.1 редакторе, строки с DNS-именами - ASCII символы, представленные в hex числах. Как подготовить файл dns.ext? Как вообще пользоваться тегом -ext?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
