Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Установить сертификат для всех пользователей
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.07.2023(UTC)
Сообщений: 4
Сказал(а) «Спасибо»: 1 раз
|
Добрый день! Прошу заранее простить многоуважаемых знатоков криптографии и ЭЦП за свой вопрос но, опишу ситуацию. Есть задача подписать файл своим сертификатом, для теста выпустили самоподписанный (есть закрытый ключ), а шифровать сертификатом клиента(открытая часть). Для реализации хотели использовать библиотеку под .net core, но там не оказалось нет шифрования. В итоге пришли к связке CSP 5.0 + cryptcp. Работаем на Windows. Локально все получилось, но когда дело дошло до запуска на сервере столкнулся со следующей проблемой. Сертификат для подписи (куда я только не устанавливал и в "реестр", и "доверенные корневые" и в "другие пользователи") при запуске софта системой или другой учеткой cryptcp не видит, я так понимаю, что не видит закрытую часть Цитата:Ошибка: Не удалось получить закрытый ключ сертификата. Вопросы: 1)Можно ли как-то куда-то его установить, чтобы он был виден всем? Ну кроме устанавливать под каждой учеткой или запускать софт из под учетки у которой установлен серт. 2)Куда правильно устанавливать подобные сертификаты, в какую из веток\папок? (личное, доверенные, промежуточные) 3)Обязательно ли он вообще должен быть установлен, нельзя ли cryptcp сказать, зашифруй мне файл вот этим сертификом - ссылка на файл сертификата, а а подпиши вот этим ссылка на файл сертификата ? Простите заранее, что нарушил ваш криптографический покой. Отредактировано пользователем 19 июля 2023 г. 18:10:55(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,507   Сказал «Спасибо»: 554 раз
Поблагодарили: 2251 раз в 1756 постах
|
Здравствуйте. А КПС (смотрели документацию на утилиту?) какой указывали? Можно поместить требуемые сертификаты в файл p7b, не устанавливать в хранилище. Цитата:
-encr -f "путь\recipients.p7b" "путь\исходный файл" "путь\исходный файл.enc" -der
|
|
 1 пользователь поблагодарил Андрей * за этот пост.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,507 Сказал «Спасибо»: 554 раз
Поблагодарили: 2251 раз в 1756 постах
|
либо Цитата:
-encr -f "путь\file1.cer" -f "путь\file2.cer" -f "путь\file3.cer" "путь\исходный файл" "путь\исходный файл.enc" -der
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.07.2023(UTC)
Сообщений: 4
Сказал(а) «Спасибо»: 1 раз
|
Автор: Андрей *  Здравствуйте. А КПС (смотрели документацию на утилиту?) какой указывали? Можно поместить требуемые сертификаты в файл p7b, не устанавливать в хранилище. Цитата:
-encr -f "путь\recipients.p7b" "путь\исходный файл" "путь\исходный файл.enc" -der
Андрей, спасибо что откликнулись. Относительно шифрования ваш способ подошел, но с шифрованием и не было особых проблем,cryptcp для шифрования достаточно открытого ключа, так как там не нужен закрытый ключ\контейнер. По поводу КПС, делаю так условно cryptcp -sign -dn "testcer" d:\1.txt d:\1.txt.sig - подписываю своим cryptcp -encr -dn "testcer1" d:\1.txt.sig d:\1.txt.sig.enc - шифрую чужим пробовал подписывать с добавлением -m -sign -m -dn "testcer" d:\1.txt d:\1.txt.sig , но результат такой же, не видит закрытый ключ. Ниже скриншоты куда только и как я не установил этот сертификат. Одно из изображений почему-то не предпросматривается  2.png (116kb) загружен 8 раз(а). 33.png (265kb) загружен 3 раз(а).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,507 Сказал «Спасибо»: 554 раз
Поблагодарили: 2251 раз в 1756 постах
|
Автор: CryptoNoob По поводу КПС, делаю так условно cryptcp -sign -dn "testcer" d:\1.txt d:\1.txt.sig - подписываю своим cryptcp -encr -dn "testcer1" d:\1.txt.sig d:\1.txt.sig.enc - шифрую чужим пробовал подписывать с добавлением -m -sign -m -dn "testcer" d:\1.txt d:\1.txt.sig , но результат такой же, не видит закрытый ключ. Ниже скриншоты куда только и как я не установил этот сертификат. Одно из изображений почему-то не предпросматривается 2.png (116kb) загружен 8 раз(а). 33.png (265kb) загружен 3 раз(а). А если явно прописать? -sign -thumbprint ed3d7a356664b279904a9a3ac6d74771df4e6058 заменить на свой отпечаток из сертификата... |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,507 Сказал «Спасибо»: 554 раз
Поблагодарили: 2251 раз в 1756 постах
|
а зачем ставить в корневые?
Личный должен быть в личных, текущего пользователя, от которого работает утилита.
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.07.2023(UTC)
Сообщений: 4
Сказал(а) «Спасибо»: 1 раз
|
Автор: Андрей * а зачем ставить в корневые?
Личный должен быть в личных, текущего пользователя, от которого работает утилита.
утилита будет работать на сервере, у нас по правилам софт не выполняется от учетных записей сотрудников, а от СИСТЕМА, плюс если человек уволится, нужно под нового сотрудника ставить сертификат. сертификат, как и криптопро нужен только для подписи\шифрования, большее от него не требуется. по сути мы подписываем файлы и отгружаем их клиенту, а он их у себя расшифровывает и использует как хочет Отредактировано пользователем 19 июля 2023 г. 21:25:03(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,507 Сказал «Спасибо»: 554 раз
Поблагодарили: 2251 раз в 1756 постах
|
тогда проверить: 1) что сертификат корректно установлен в хранилище компьютера (через панель управления\Сервис\Протестировать, переключить опцию на "контейнер компьютер" и нажать по сертификату или через консоль: "C:\Program Files (x86)\Crypto Pro\CSP\certmgr.exe" -list -cert -store mMy в ответе должно быть Цитата:
Ссылка на ключ : Есть
2) подписать файл, указав параметры: -sign -thumbprint отпечаток сертификата ... другие опции... -m //осуществить поиск в хранилищах компьютера (LOCAL_MACHINE) |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.07.2023(UTC)
Сообщений: 4
Сказал(а) «Спасибо»: 1 раз
|
Более менее разобрались.Если поставить сертификат под "локальный компьютер" и на жесткий диск, то другие пользователи его видят и видят связь открытый+закрытый ключ. подписываем через cryptcp -sign -mMy -thumbprint Отредактировано пользователем 25 июля 2023 г. 17:29:12(UTC)
| Причина: Не указана
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Установить сертификат для всех пользователей
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
