Статус: Участник
Группы: Участники
Зарегистрирован: 18.06.2012(UTC)
Сообщений: 11
Откуда: Moscow
Сказал(а) «Спасибо»: 1 раз
|
Описываю что делаю на серверной машине:
Во-первых openssl c с поддержкой ГОСТ. Сборка OpenSSL от криптоком.
Создаю CA.cert + CA.key
Создаю клиентские client01.key и client01.csr.
Создаю сертификат ca -config ca.config -in client01.csr -out client01.crt -batch
Пакую в pkcs12 (я так понимаю этот шаг вообще делать не надо, криптопро с этим форматом не работает. Так ли?)
pkcs12 -export -in client05.crt -inkey client05.key -certfile ca.crt -out client05.p12
На машине клиентской установлен КриптоПро 3.6 CSP
pkcs12 не устанавливается средствами Win, нет поддержки ГОСТ.
В КриптоПРО формат pkcs12 не распознается, при установке сертификата, поэтому отправляю клиенту его client01.key и client01.crt (это тестовой режим, поэтому передаю закрытый ключ как хочу)
Открываю CSP, установить личный сертификат, дохожу до "имени ключевого контейнера" и .. а дальше надо создать ключевой контейнер как я понимаю. Либо сделать это на каком то из предыдущих шагов.
Поэтому вопрос следующий:
Как сформировать ключевой контейнер. (В реестр и на Etoken/Rutoken).
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про
|
Есть возможность создать запрос/сертификат на существующих закрытых ключах но никак не наоборот. http://www.openssl.org/related/binaries.html может это поможет? Или на виндовой машине сделать запрос на сертификат + закрытые ключи а на сервере с помощью openssl его обработать.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.06.2012(UTC)
Сообщений: 11
Откуда: Moscow
Сказал(а) «Спасибо»: 1 раз
|
Тоесть виндовыми средствами, если устанавливать сертификаты клиенты и сервера, то в certmgr сертификаты установлены, цепочка доверенный - личный отображается. Но нет информации о закрытом ключе.
На винде делал запрос на сертификат, через openssl. На сервере подписал запрос и отправил клиенту cer. В итоге у клиента имеется серверный сертификат, клиентский и закрытый клиентский ключ. (.key). А контейнера ключей нету.
Я так понял вся задача как раз упирается в то, как связать клиентский сертификат с клиентским ключом.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.06.2012(UTC)
Сообщений: 11
Откуда: Moscow
Сказал(а) «Спасибо»: 1 раз
|
С этим разобрался. Весь ответ состоял в том что в криптопро из соображений безопасности ключ необходимо сгенерировать именно в контейнер, и по-видимому нельзя просто как в OpenSSL сгенерировать в file.key на другой машине и отправить клиенту. Появилася новый вопрос. Если сгенерировать ключ на виндовой машине, используя КриптоПро 3.6, через сервис https://www.cryptopro.ru/certsrv/certrqma.aspпросто сохранив запрос, то такой запрос я подписываю на локальном CA без проблем и все функционирует. А если создать запрос на линуксовой машине с помощью cprocsp командой: Код:/opt/cprocsp/bin/amd64/cryptcp -creatrqst -provtype 75 -ex -cont "\\\\.\\HDIMAGE\\testsrv" -dn "CN=localIP, O=IS, C=RU, E=test@mailserver.ru" -certusage "1.3.6.1.5.5.7.3.1" /tmp/testsrv.pem
Потом подписать запрос, тоесть выпустить сертификат: Код:ca -config ca.config -in testsrv.pem -out testsrv.crt -batch
То при устаовке сертификата: Код:/opt/cprocsp/bin/amd64/cryptcp -instcert -provtype 75 /tmp/server-gost.cer
возникает следующая ошибка: OSS Certificate encode/decode error code base (0x80093000) Контейнер выбран верно, ключ там точно содержится тот самый, с которого генерировал запрос. Запрос сразу не подписывается, приходится в начало и конец файла добавлять -----BEGIN NEW CERTIFICATE REQUEST----- -----END NEW CERTIFICATE REQUEST----- Полагаю что ошибка где то в создании запроса с помощью cryptcp. Отредактировано пользователем 21 июня 2012 г. 18:49:51(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про
|
То что cryptcp не создает заголовки это не ошибка. Сделать запрос на винде можно либо так же с помощью cryptcp либо на тестовом УЦ. Пользователь rozhkov прикрепил следующие файлы:  1212.png (49kb) загружен 507 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.06.2012(UTC)
Сообщений: 11
Откуда: Moscow
Сказал(а) «Спасибо»: 1 раз
|
Как раз создавая запрос в винде проблем не возникает. Подписывается без проблем. А вот с cryptcp ошибка. Значит Код:/opt/cprocsp/bin/amd64/cryptcp -creatrqst -provtype 75 -ex -cont "\\\\.\\HDIMAGE\\testsrv" -dn "CN=localIP, O=IS, C=RU, E=test@mailserver.ru" -certusage "1.3.6.1.5.5.7.3.1" /tmp/testsrv.pem
Получается, что команда cryptcp -creatrqst чем то не соответствует запросу на скриншоте выше. ну помимо заголовка. (Certificate encode/decode error code base )
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про
|
А какая ошибка?
Создание запроса без заголовков это не ошибка.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.06.2012(UTC)
Сообщений: 11
Откуда: Moscow
Сказал(а) «Спасибо»: 1 раз
|
zver4ok написал:То при устаовке сертификата: Код:/opt/cprocsp/bin/amd64/cryptcp -instcert -provtype 75 /tmp/server-gost.cer
возникает следующая ошибка: OSS Certificate encode/decode error code base (0x80093000) Полагаю что ошибка где то в создании запроса с помощью cryptcp. заголовок и конец файла я естественно добавил.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про
|
zver4ok написал:OSS Certificate encode/decode error code base (0x80093000) Ошибка из-за заголовков возникает.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
