Статус: Участник
Группы: Участники
Зарегистрирован: 19.05.2023(UTC) Сообщений: 18
Сказал(а) «Спасибо»: 1 раз
|
Здравствуйте. Есть рутокен лайт. Для тестирования был выпущен тестовый сертификат/ключ с https://testca2012.cryptopro.ru/ . При создании контейнера было окно выбора носителя, был выбран рутокен. Но у этого сгенерированного контейнера нет внутри публичного ключа, а нужно чтобы он там был. Например при вызове команды установки сертификата как раз ничего не происходит именно из этого как я понимаю. Код:csptestf -absorb -certs
Match: SCARD\rutoken_lt_3d044cd9\0B00\164E
No cert for AT_SIGNATURE key
При вызове команды установки сертификата сам сертификат устаналивается (т.е. он виден в certmgr -list), но не вставляется в сам контейнер Код:certmgr -install -cont '\\.\Aktiv Rutoken lite 00 00\a09067e6c-c56f-2901-22ad-357692a2b78' -file /app/secret/certificate.cer -at_signature
Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores
Installing:
=============================================================================
1-------
Issuer : 1.2.643.100.4="#120A37373137313037393931", E=info@cryptopro.ru, OGRN=1037700085444, C=RU, S=77 Москва, L=Москва, STREET=ул. Сущёвский вал д. 18, O="ООО ""КРИПТО-ПРО""", CN="Тестовый подчиненный УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)"
Subject : E=andreyfrolov@lamoda.ru ...
Serial : 0x049C54A8007EB02D9B44F395698769591E
SHA1 Hash : 2bc7c55cd4dd5ac2cd112e0a6de3ad23ec80023e
SubjKeyID : 663f7dab294cc4c91c43f4b23bcc9ed71114d52f
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits)
Not valid before : 15/09/2023 10:02:53 UTC
Not valid after : 15/12/2023 10:12:53 UTC
PrivateKey Link : No
OCSP URL : http://testca2012.cryptopro.ru/ocsp2/ocsp.srf
OCSP URL : http://testca2012.cryptopro.ru/ocspservice
CA cert URL : http://testca2012.cryptopro.ru/aia/83c2bcc9f60421fa3fcee75ae414f1fb9d73396f.crt
CDP : http://testca2012.cryptopro.ru/cdp/83c2bcc9f60421fa3fcee75ae414f1fb9d73396f.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.4
1.3.6.1.5.5.7.3.2
1.2.643.2.2.34.6
=============================================================================
[ErrorCode: 0x00000000]
Т.е. если после этого вызвать csptestf -absorb -certs, то вывод будет тот же, что и в первый раз. На всякий случай прикладываю результат команды check контейнера Код:csptestf -keys -cont '\\.\Aktiv Rutoken lite 00 00\a09067e6c-c56f-2901-22ad-357692a2b78' -check
CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 39839651
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "a09067e6c-c56f-2901-22ad-357692a2b78"
Check header passed.
Signature key is available. HCRYPTKEY: 0x2608993
Exchange key is not available.
uec key is not available.
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Check import passed (import restricted).
Keys in container:
signature key
Extensions:
OID: 1.2.643.2.2.37.3.9
PrivKey: Not specified - 15.12.2024 10:12:08 (UTC)
Total: SYS: 0.000 sec USR: 0.040 sec UTC: 2.540 sec
[ErrorCode: 0x00000000]
И что сертификат есть в certmgr -list Цитата:certmgr -list -store uMy Certmgr 1.1 (c) "Crypto-Pro", 2007-2018. program for managing certificates, CRLs and stores ============================================================================= 1------- Issuer : 1.2.643.100.4="#120A37373137313037393931", E=info@cryptopro.ru, OGRN=1037700085444, C=RU, S=77 Москва, L=Москва, STREET=ул. Сущёвский вал д. 18, O="ООО ""КРИПТО-ПРО""", CN="Тестовый подчиненный УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)" Subject : E=andreyfrolov@lamoda.ru ... Serial : 0x049C54A8007EB02D9B44F395698769591E SHA1 Hash : 2bc7c55cd4dd5ac2cd112e0a6de3ad23ec80023e SubjKeyID : 663f7dab294cc4c91c43f4b23bcc9ed71114d52f Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits) Not valid before : 15/09/2023 10:02:53 UTC Not valid after : 15/12/2023 10:12:53 UTC PrivateKey Link : Yes Container : SCARD\rutoken_lt_3d044cd9\0B00\164E Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP Provider Info : ProvType: 81, KeySpec: 2, Flags: 0x0 OCSP URL : http://testca2012.cryptopro.ru/ocsp2/ocsp.srfOCSP URL : http://testca2012.cryptopro.ru/ocspserviceCA cert URL : http://testca2012.crypto...e75ae414f1fb9d73396f.crtCDP : http://testca2012.crypto...e75ae414f1fb9d73396f.crlExtended Key Usage : 1.3.6.1.5.5.7.3.4 1.3.6.1.5.5.7.3.2 1.2.643.2.2.34.6 Подскажите, как установить в сам контейнер на рутокене публичный сертификат, чтобы он при смене например PC мог устанавливаться через вызов csptestf -absorb -certs. Отредактировано пользователем 20 сентября 2023 г. 18:21:00(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,297 Сказал «Спасибо»: 549 раз Поблагодарили: 2201 раз в 1717 постах
|
Здравствуйте.
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq
Что выдаёт? |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.05.2023(UTC) Сообщений: 18
Сказал(а) «Спасибо»: 1 раз
|
Код:/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq
CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 40801939
\\.\Aktiv Rutoken lite 00 00\de55abff8-6e17-4fce-8400-f50a2c531b5
\\.\Aktiv Rutoken lite 00 00\a09067e6c-c56f-2901-22ad-357692a2b78
\\.\HDIMAGE\f6a5f862d-5cd7-f335-40b0-d3ad71a5ad7
OK.
Total: SYS: 0.010 sec USR: 0.020 sec UTC: 0.460 sec
[ErrorCode: 0x00000000]
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,297 Сказал «Спасибо»: 549 раз Поблагодарили: 2201 раз в 1717 постах
|
при установке добавьте параметр: -inst-to-cont |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.05.2023(UTC) Сообщений: 18
Сказал(а) «Спасибо»: 1 раз
|
Пробовал на cryptopro csp 4 и на 5, такой опции нет Код:certmgr -install -cont '\\.\Aktiv Rutoken lite 00 00\a09067e6c-c56f-2901-22ad-357692a2b78' -file /app/secret/certificate.cer -at_signature -inst-to-cont
Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores
certmgr: unrecognized option `-inst-to-cont'
Unrecognized option
using certmgr:
certmgr [command] [options]:
options for -install command:
-store u<name> User certificate store name (default: uMy)
-store m<name> System certificate store name
-file <name> Certificate or CRL file name
-provname <name> Provider name
-provtype <type> Provider type
-container <name> Name of container with certificate (\\.\Reader\name)
-ask-container Interactively choose one of the existing containers
-certificate Install certificate (default)
-crl Install CRL
-pfx Install PFX
-pin <pincode> Private key container password
-at_signature Use signature key instead of exchange key
-all Use all certificates (CRLs)
-silent Use only one certificate (CRL), return error if found more
-keep_exportable Mark imported keys as exportable
-user_protected Mark imported keys as protected
-trace <mode> Log level for internal messages
-tfmt <flags> Log format for internal messages
[ErrorCode: 0x00000667]
Вместо опции -install тоже пробовал вставить, а не в конец: Код:certmgr -inst-to-cont -cont '\\.\Aktiv Rutoken lite 00 00\a09067e6c-c56f-2901-22ad-357692a2b78' -file /app/secret/certificate.cer -at_signature
Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores
certmgr: unrecognized option `-inst-to-cont'
Unrecognized option
using certmgr:
certmgr [command] [options]:
select [command] from:
-help Print this help
-install Install certificate or CRL into store
-list Show certificates or CRLs in store, container, file
-decode Decode certificate or CRL
-export Export certificate or CRL into file
-delete Delete certificate or CRL from store
-enumstores Enumerate stores from selected location
-updatestore Update store to Windows-compatible format
Call a command with '-help' argument to get info about it.
[ErrorCode: 0x00000667]
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,297 Сказал «Спасибо»: 549 раз Поблагодарили: 2201 раз в 1717 постах
|
в текущей версии 5: Цитата:Certmgr 1.1 (c) "КРИПТО-ПРО", 2007-2023. Программа для работы с сертификатами, CRL и хранилищами. Формат команды: certmgr -install [опции] -store u<имя> Имя хранилища сертификатов пользователя (по умолчанию: uMy) -store m<имя> Имя хранилища сертификатов компьютера (вместе с -autodist можно указать только uMy или mMy) -file <путь> Путь к файлу с сертификатом или CRL -provname <имя> Имя провайдера -provtype <тип> Тип провайдера -container <имя> Имя контейнера закрытого ключа (\\.\Reader\name) -ask-container Попросить пользователя выбрать из существующих контейнеров -to-container При установке сертификата также положить его в контейнер -certificate* Установить сертификат -crl Установить CRL -pfx Установить PFX -autodist Автоматически распределить сертификаты из PFX по хранилищам -pin <пин-код> Пин-код на контейнер закрытого ключа или пароль на PFX -newpin <пин-код> Пин-код на контейнер импортируемого из PFX ключа -carrier <путь> Путь к носителю-приёмнику при импорте PFX: \\.\HDIMAGE\ -at_signature Использовать ключ подписи вместо ключа обмена -all Использовать все сертификаты/CRLs -silent Использовать сертификат/CRL в неинтерактивном режиме -keep_exportable Пометить импортированные ключи как экспортируемые -protected <вид> Пометить импортированные ключи как protected: none/medium/high -trace <режим> Уровень логирования для внутренних сообщений -tfmt <флаги> Формат логирования для внутренних сообщений
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 2,275
Сказал(а) «Спасибо»: 558 раз Поблагодарили: 388 раз в 367 постах
|
Автор: log-la Пробовал на cryptopro csp 4 и на 5, такой опции нет Автор: nickm Автор: ananas315 Можно ли добавлять пользовательский сертификат в контейнер с нужным мне алиасом? Т.е. у Вас уже имеется контейнер и Вы хотите поместить в него сертификат? Попробуйте certmgr с этим параметром, правда он заявлен как устаревший : Да, вот здесь Александр Лавник предлагал использовать, как другой доступный вариант установки, ещё и cryptcp
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.05.2023(UTC) Сообщений: 18
Сказал(а) «Спасибо»: 1 раз
|
По поводу -to-container - у меня такой опции тоже нету Код:certmgr -install -to-container -cont '\\.\Aktiv Rutoken lite 00 00\a09067e6c-c56f-2901-22ad-357692a2b78' -file certificate.cer -at_signature
Certmgr 1.1 (c) "Crypto-Pro", 2007-2021.
Program for managing certificates, CRLs and stores.
/opt/cprocsp/bin/amd64/certmgr: unrecognized option `-to-container'
Unrecognized option
[ErrorCode: 0x00000667]
Хотя это пробовал на 5 версии, в cryptopro tools пишут версию 5.0.12000, а эта опция на какой версии есть? Я вроде скачивал последнюю сертифицированную crypto pro csp, кнопка такая была на сайте. Нашёл доку на 5 версию csp, там тоже не пишут про такую опцию, смотрел здесь - https://cryptopro.ru/sit...82%D0%B0%D0%BC%D0%B8.pdf .
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.05.2023(UTC) Сообщений: 18
Сказал(а) «Спасибо»: 1 раз
|
И ещё по поводу -inst-to-cont, оказвыается нужно писать -inst_to_cont, так действительно прошло Код:certmgr -install -inst_to_cont -cont '\\.\Aktiv Rutoken lite 00 00\a09067e6c-c56f-2901-22ad-357692a2b78' -file certificate.cer -at_signature
Certmgr 1.1 (c) "Crypto-Pro", 2007-2021.
Program for managing certificates, CRLs and stores.
WARNING: Legacy parameter: "-inst_to_cont"
Installing:
=============================================================================
1-------
Issuer : INNLE=7717107991, E=info@cryptopro.ru, OGRN=1037700085444, C=RU, S=77 Москва, L=Москва, STREET=ул. Сущёвский вал д. 18, O="ООО ""КРИПТО-ПРО""", CN="Тестовый подчиненный УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)"
Subject : E=andreyfrolov@lamoda.ru ...
Serial : 0x049C54A8007EB02D9B44F395698769591E
SHA1 Thumbprint : 2bc7c55cd4dd5ac2cd112e0a6de3ad23ec80023e
SubjKeyID : 663f7dab294cc4c91c43f4b23bcc9ed71114d52f
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 512 бит (1024 bits)
Not valid before : 15/09/2023 10:02:53 UTC
Not valid after : 15/12/2023 10:12:53 UTC
PrivateKey Link : No
Identification Kind : Without personal presence by international passport
OCSP URL : http://testca2012.cryptopro.ru/ocsp2/ocsp.srf
OCSP URL : http://testca2012.cryptopro.ru/ocspservice
CA cert URL : http://testca2012.cryptopro.ru/aia/83c2bcc9f60421fa3fcee75ae414f1fb9d73396f.crt
CDP : http://testca2012.cryptopro.ru/cdp/83c2bcc9f60421fa3fcee75ae414f1fb9d73396f.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.4 Защищенная электронная почта
1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
1.2.643.2.2.34.6
=============================================================================
[ErrorCode: 0x00000000]
Походу проблема решена, спасибо.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,297 Сказал «Спасибо»: 549 раз Поблагодарили: 2201 раз в 1717 постах
|
Автор: log-la По поводу -to-container - у меня такой опции тоже нету Код:certmgr -install -to-container -cont '\\.\Aktiv Rutoken lite 00 00\a09067e6c-c56f-2901-22ad-357692a2b78' -file certificate.cer -at_signature
Certmgr 1.1 (c) "Crypto-Pro", 2007-2021.
Program for managing certificates, CRLs and stores.
/opt/cprocsp/bin/amd64/certmgr: unrecognized option `-to-container'
Unrecognized option
[ErrorCode: 0x00000667]
Хотя это пробовал на 5 версии, в cryptopro tools пишут версию 5.0.12000, а эта опция на какой версии есть? Я вроде скачивал последнюю сертифицированную crypto pro csp, кнопка такая была на сайте. Нашёл доку на 5 версию csp, там тоже не пишут про такую опцию, смотрел здесь - https://cryptopro.ru/sit...82%D0%B0%D0%BC%D0%B8.pdf . 5r3 |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close