Сформировать ключевой контейнер.

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Сформировать ключевой контейнер.

Опции

Предыдущая тема Следующая тема

zver4ok		#1 Оставлено : 18 июня 2012 г. 20:32:28(UTC)
Статус:: Участник Группы: Участники Зарегистрирован: 18.06.2012(UTC) Сообщений: 11 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз		Описываю что делаю на серверной машине: Во-первых openssl c с поддержкой ГОСТ. Сборка OpenSSL от криптоком. Создаю CA.cert + CA.key Создаю клиентские client01.key и client01.csr. Создаю сертификат ca -config ca.config -in client01.csr -out client01.crt -batch Пакую в pkcs12 (я так понимаю этот шаг вообще делать не надо, криптопро с этим форматом не работает. Так ли?) pkcs12 -export -in client05.crt -inkey client05.key -certfile ca.crt -out client05.p12 На машине клиентской установлен КриптоПро 3.6 CSP pkcs12 не устанавливается средствами Win, нет поддержки ГОСТ. В КриптоПРО формат pkcs12 не распознается, при установке сертификата, поэтому отправляю клиенту его client01.key и client01.crt (это тестовой режим, поэтому передаю закрытый ключ как хочу) Открываю CSP, установить личный сертификат, дохожу до "имени ключевого контейнера" и .. а дальше надо создать ключевой контейнер как я понимаю. Либо сделать это на каком то из предыдущих шагов. Поэтому вопрос следующий: Как сформировать ключевой контейнер. (В реестр и на Etoken/Rutoken).


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

rozhkov		#2 Оставлено : 19 июня 2012 г. 11:06:07(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 25.01.2011(UTC) Сообщений: 589 Откуда: Крипто-Про		Есть возможность создать запрос/сертификат на существующих закрытых ключах но никак не наоборот. http://www.openssl.org/related/binaries.html может это поможет? Или на виндовой машине сделать запрос на сертификат + закрытые ключи а на сервере с помощью openssl его обработать.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

zver4ok		#3 Оставлено : 19 июня 2012 г. 14:38:38(UTC)
Статус:: Участник Группы: Участники Зарегистрирован: 18.06.2012(UTC) Сообщений: 11 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз		Тоесть виндовыми средствами, если устанавливать сертификаты клиенты и сервера, то в certmgr сертификаты установлены, цепочка доверенный - личный отображается. Но нет информации о закрытом ключе. На винде делал запрос на сертификат, через openssl. На сервере подписал запрос и отправил клиенту cer. В итоге у клиента имеется серверный сертификат, клиентский и закрытый клиентский ключ. (.key). А контейнера ключей нету. Я так понял вся задача как раз упирается в то, как связать клиентский сертификат с клиентским ключом.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

zver4ok		#4 Оставлено : 21 июня 2012 г. 18:22:18(UTC)
Статус:: Участник Группы: Участники Зарегистрирован: 18.06.2012(UTC) Сообщений: 11 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз		С этим разобрался. Весь ответ состоял в том что в криптопро из соображений безопасности ключ необходимо сгенерировать именно в контейнер, и по-видимому нельзя просто как в OpenSSL сгенерировать в file.key на другой машине и отправить клиенту. Появилася новый вопрос. Если сгенерировать ключ на виндовой машине, используя КриптоПро 3.6, через сервис https://www.cryptopro.ru/certsrv/certrqma.asp просто сохранив запрос, то такой запрос я подписываю на локальном CA без проблем и все функционирует. А если создать запрос на линуксовой машине с помощью cprocsp командой: Код: `/opt/cprocsp/bin/amd64/cryptcp -creatrqst -provtype 75 -ex -cont "\\\\.\\HDIMAGE\\testsrv" -dn "CN=localIP, O=IS, C=RU, E=test@mailserver.ru" -certusage "1.3.6.1.5.5.7.3.1" /tmp/testsrv.pem` Потом подписать запрос, тоесть выпустить сертификат: Код: `ca -config ca.config -in testsrv.pem -out testsrv.crt -batch` То при устаовке сертификата: Код: `/opt/cprocsp/bin/amd64/cryptcp -instcert -provtype 75 /tmp/server-gost.cer` возникает следующая ошибка: OSS Certificate encode/decode error code base (0x80093000) Контейнер выбран верно, ключ там точно содержится тот самый, с которого генерировал запрос. Запрос сразу не подписывается, приходится в начало и конец файла добавлять -----BEGIN NEW CERTIFICATE REQUEST----- -----END NEW CERTIFICATE REQUEST----- Полагаю что ошибка где то в создании запроса с помощью cryptcp. Отредактировано пользователем 21 июня 2012 г. 18:49:51(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

rozhkov		#5 Оставлено : 22 июня 2012 г. 10:29:56(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 25.01.2011(UTC) Сообщений: 589 Откуда: Крипто-Про		То что cryptcp не создает заголовки это не ошибка. Сделать запрос на винде можно либо так же с помощью cryptcp либо на тестовом УЦ. Пользователь rozhkov прикрепил следующие файлы: 1212.png (49kb) загружен 507 раз(а). У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

zver4ok		#6 Оставлено : 25 июня 2012 г. 11:57:08(UTC)
Статус:: Участник Группы: Участники Зарегистрирован: 18.06.2012(UTC) Сообщений: 11 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз		Как раз создавая запрос в винде проблем не возникает. Подписывается без проблем. А вот с cryptcp ошибка. Значит Код: `/opt/cprocsp/bin/amd64/cryptcp -creatrqst -provtype 75 -ex -cont "\\\\.\\HDIMAGE\\testsrv" -dn "CN=localIP, O=IS, C=RU, E=test@mailserver.ru" -certusage "1.3.6.1.5.5.7.3.1" /tmp/testsrv.pem` Получается, что команда cryptcp -creatrqst чем то не соответствует запросу на скриншоте выше. ну помимо заголовка. (Certificate encode/decode error code base )


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

rozhkov		#7 Оставлено : 25 июня 2012 г. 13:11:07(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 25.01.2011(UTC) Сообщений: 589 Откуда: Крипто-Про		А какая ошибка? Создание запроса без заголовков это не ошибка.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

zver4ok		#8 Оставлено : 25 июня 2012 г. 19:35:01(UTC)
Статус:: Участник Группы: Участники Зарегистрирован: 18.06.2012(UTC) Сообщений: 11 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз		zver4ok написал: То при устаовке сертификата: Код: `/opt/cprocsp/bin/amd64/cryptcp -instcert -provtype 75 /tmp/server-gost.cer` возникает следующая ошибка: OSS Certificate encode/decode error code base (0x80093000) Полагаю что ошибка где то в создании запроса с помощью cryptcp. заголовок и конец файла я естественно добавил.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

rozhkov		#9 Оставлено : 26 июня 2012 г. 10:54:17(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 25.01.2011(UTC) Сообщений: 589 Откуда: Крипто-Про		zver4ok написал: OSS Certificate encode/decode error code base (0x80093000) Ошибка из-за заголовков возникает.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest (2)

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close