Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Запись корневого сертификата на рутокен
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline log-la  
#1 Оставлено : 22 сентября 2023 г. 12:21:05(UTC)
log-la

Статус: Участник

Группы: Участники
Зарегистрирован: 19.05.2023(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 1 раз
Здравствуйте.
Есть рутокен лайт. На нём контейнер, с ним ассоциирован личный сертификат.
Вопрос, а можно ли в токен установить промежуточный и корневой сертификат, чтобы не доставать по интернету?
Пробовал установить в контейнер промежуточный сертификат через
Цитата:
certmgr -install -inst_to_cont -store uca -cont ...
, но получал ошибку
Цитата:
Public keys in certificate and container are not identical
, что как будто бы указывает на то, что в токене может быть только личный сертификат, так ли это?

Также вроде есть возможность экспортировать из личного сертификата промежуточный если я ничего не путаю через
Цитата:
certmgr -export -dn ...
, но не понятно как установить личный сертификат в контейнер так, чтобы экспорт промежуточного работал.
Без рутокена я делал через crypto pro utils, там можно было экспортировать всё в .pfx с полной цепочкой сертификатов, и тогда получалось экспортировать промежуточный сертификат из личного. Но вот как с токеном что-нибудь подобное сделать не понятно.
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Русев Андрей  
#2 Оставлено : 22 сентября 2023 г. 14:17:29(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,416

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 565 раз в 393 постах
Здравствуйте.
Промежуточные и корневые хранятся в специальном расширении в контейнере. Загрузить их туда можно с помощью:
Код:
csptest -keyset -container имя_контейнера -loadext pkcs7_файл_с_цепочкой.p7b

Выглядеть это будет так:
Код:
root@mini-docker-c6-14:~# /opt/cprocsp/bin/amd64/csptest -keyset -container ttt -loadext /tmp/chain5.p7b -keytype exchange
CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 33306515
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "ttt"
Exchange key is available. HCRYPTKEY: 0x2023493
Loading extensions...
Root certificates:
Subject: C=RU, O=CryptoPro, CN=CHAIN_ROOT
Valid  : 05.05.2008 07:21:25 - 05.05.2009 07:21:25 (UTC) expired
Issuer : C=RU, O=CryptoPro, CN=CHAIN_ROOT

Intermediate certificates:
Subject: C=RU, O=CryptoPro, CN=CHAIN_INTER0
Valid  : 05.05.2008 07:21:26 - 05.05.2009 07:21:26 (UTC) expired
Issuer : C=RU, O=CryptoPro, CN=CHAIN_ROOT

Subject: C=RU, O=CryptoPro, CN=CHAIN_INTER2
Valid  : 05.05.2008 07:21:28 - 05.05.2009 07:21:28 (UTC) expired
Issuer : C=RU, O=CryptoPro, CN=CHAIN_INTER1

Subject: C=RU, O=CryptoPro, CN=CHAIN_INTER1
Valid  : 05.05.2008 07:21:27 - 05.05.2009 07:21:27 (UTC) expired
Issuer : C=RU, O=CryptoPro, CN=CHAIN_INTER0

User certificate:
Subject: C=RU, O=CryptoPro, CN=CHAIN_SERVER
Valid  : 05.05.2008 07:21:30 - 05.05.2009 07:21:30 (UTC) expired
Issuer : C=RU, O=CryptoPro, CN=CHAIN_INTER2
Crypto-Pro GOST R 34.10-2012 KC1 CSP requests container password
Type password:
Keys in container:
  exchange key
Extensions:
  OID: 1.2.643.2.2.37.3.10
  PrivKey: Not specified - 22.12.2024 08:00:02 (UTC)

  OID: 1.2.643.2.2.37.3.1
  Certificates: 3:
    DName: C=RU, O=CryptoPro, CN=CHAIN_INTER1
    DName: C=RU, O=CryptoPro, CN=CHAIN_INTER2
    DName: C=RU, O=CryptoPro, CN=CHAIN_INTER0

  OID: 1.2.643.2.2.37.3.3
  Certificates: 1:
    DName: C=RU, O=CryptoPro, CN=CHAIN_ROOT
Total: SYS: 0.000 sec USR: 0.040 sec UTC: 3.920 sec
[ErrorCode: 0x00000000]

Обращаю внимание, что p7b-файл должен содержать цепочку с листовым (пользовательским) сертификатом. Он будет отброшен, но он необходим для правильного разделения сертификатов на группы.
Официальная техподдержка. Официальная база знаний.
Вверх
thanks 2 пользователей поблагодарили Русев Андрей за этот пост.
nickm оставлено 22.09.2023(UTC), Андрей * оставлено 22.09.2023(UTC)
Offline log-la  
#3 Оставлено : 22 сентября 2023 г. 16:21:45(UTC)
log-la

Статус: Участник

Группы: Участники
Зарегистрирован: 19.05.2023(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 1 раз
Добавил этим способом, всё прошло успешно.
А как теперь установить промежуточный и корневой сертификат с контейнера?
Способы с "csptestf -absorb -certs" и "certmgr -export" здесь не работают, я так понимаю тут какая-то специальная команда установка будет, но вот какая вопрос.
Вверх
Offline Русев Андрей  
#4 Оставлено : 23 сентября 2023 г. 23:14:55(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,416

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 565 раз в 393 постах
Начиная с сертифицированного 2020-11-24 КриптоПро CSP 5.0.12000 Kraken в "Инструментах КриптоПро" (cptools) на вкладке "Контейнеры" кнопка "Установить" в том числе поставит сертификаты из расширений в соответсвующие хранилища. В консоли можно только получить обратно сертификаты в виде файла
Код:
csptest -keyset -container имя_контейнера -saveext pkcs7_файл_с_сертификатами_УЦ.p7b

и руками их разложить по хранилищам.
Официальная техподдержка. Официальная база знаний.
Вверх
Offline log-la  
#5 Оставлено : 25 сентября 2023 г. 10:26:51(UTC)
log-la

Статус: Участник

Группы: Участники
Зарегистрирован: 19.05.2023(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 1 раз
Понял, спасибо.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET