Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,121   Сказал «Спасибо»: 615 раз
Поблагодарили: 2381 раз в 1873 постах
|
Автор: neigel  Андрей, вы предлагаете этот сценарий для теста или для боевого применения? Меня интересует вопрос как это делается в бою? Вот придет мне после праздников лицензия на КриптоПро и ключевой носитель. Я хочу сгенерировать ключевую пару и запрос на сертификат. С этим делом побежать в УЦ (согласное его регламенту он поддерживает подпись запроса на сертификат). Как мне это сделать? Не будете же вы мне предлагать сгенерировать это всё в интернете? ) Так в чем дело? Запросите в этом УЦ оффлайн форму, отключайтесь от внешнего мира  и вперед... Автор: neigel
Не будете же вы мне предлагать сгенерировать это всё в интернете? )
О каком интернете речь? Для генерации контейнера, ключей, запроса никакого интернета не нужно. Рецепт: Открыть страницу, отключить интернет, если так страшно, создать запрос. Сохранить запрос... Если подойти к внутреннему миру IE + ActiveX через javascript: сохранить страницу, оставить нужный код, сгенерировать запрос... Я за оффлайн форму (от УЦ) в вашем случае, там и необходимые поля для квалифицированного сертификата и расширения улучшенного ключа... |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.12.2014(UTC) Сообщений: 91 Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: Андрей * Так в чем дело? Запросите в этом УЦ оффлайн форму, отключайтесь от внешнего мира и вперед... Извините, я просто может быть туплю от долгого использования OpenSSL, но мне как-то не пришло в голову, что для того, чтобы сгенерировать мой собственный запрос на сертификат, мне нужно что-то у кого-то запросить. Как-то казалось очевидным, что это должно уметь делать клиентское ПО. Если я правильно понял, то оффлайн форма подразумевает использование какого-то конкретного CSP. Например, КриптоПро CSP. А если я хочу использовать КриптоПро Рутокен CSP, то это уже не прокатит. Или я ошибаюсь? Я просто может быть испорчен долгим использованием OpenSSL и PGP, но мне кажется как-то странным, что запрос на сертификат привязывается к конкретному CSP. На мой взгляд, он может зависить только от применяемых криптоалгоритмов. Автор: Андрей *
Я за оффлайн форму (от УЦ) в вашем случае,
там и необходимые поля для квалифицированного сертификата и расширения улучшенного ключа...
Мне УЦ предлагает не форму, а программу http://zaozet.ru/Certificate.exeОтредактировано пользователем 25 декабря 2014 г. 17:46:35(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,121 Сказал «Спасибо»: 615 раз
Поблагодарили: 2381 раз в 1873 постах
|
Автор: neigel Автор: Андрей * Так в чем дело? Запросите в этом УЦ оффлайн форму, отключайтесь от внешнего мира и вперед... Извините, я просто может быть туплю от долгого использования OpenSSL, но мне как-то не пришло в голову, что для того, чтобы сгенерировать мой собственный запрос на сертификат, мне нужно что-то у кого-то запросить. Как-то казалось очевидным, что это должно уметь делать клиентское ПО. Можете не запрашивать в УЦ ничего. Клиентское ПО - либо браузер+ActiveX, либо приложение... Автор: neigel
Если я правильно понял, то оффлайн форма подразумевает использование какого-то конкретного CSP. Например, КриптоПро CSP. А если я хочу использовать КриптоПро Рутокен CSP, то это уже не прокатит. Или я ошибаюсь?
Зависит от формы (где-то есть список, где-то жестко прописано в запросе к ActiveX). Автор: neigel
Я просто может быть испорчен долгим использованием OpenSSL и PGP, но мне кажется как-то странным, что запрос на сертификат привязывается к конкретному CSP. На мой взгляд, он может зависить только от применяемых криптоалгоритмов.
Так у нас сколько производителей СКЗИ, столько и форматов "внутренних" контейнеров. Соответственно, использовать контейнер с ключами от КриптоПРО CSP нельзя в ViPNet CSP и т.д. Автор: neigel Автор: Андрей *
Я за оффлайн форму (от УЦ) в вашем случае,
там и необходимые поля для квалифицированного сертификата и расширения улучшенного ключа...
Мне УЦ предлагает не форму, а программу http://zaozet.ru/Certificate.exe Так решайтесь... Что-то смущает (приложение без подписи)? Пользователь Андрей * прикрепил следующие файлы:  запрос на сертификат.png (63kb) загружен 43 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться. |
|
 1 пользователь поблагодарил Андрей * за этот пост.
|
neigel оставлено 25.12.2014(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.12.2014(UTC) Сообщений: 91 Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: Андрей *
Клиентское ПО - либо браузер+ActiveX, либо приложение...
Воспользовался предложенной вами формой. Она же генерит сертификат, а не запрос на сертификат. Или там можно где-то, что-то выбрать? Автор: Андрей *
Так у нас сколько производителей СКЗИ, столько и форматов "внутренних" контейнеров.
Соответственно, использовать контейнер с ключами от КриптоПРО CSP нельзя в ViPNet CSP и т.д.
В зоопарке внутренних контейров с ключами в принципе ничего страшного нет. Я говорил именно о файле запроса на сертификат. В нём, мне кажется, сложно изобрести велосипед. Автор: Андрей *
Так решайтесь...
Я уже попробовал. Сейчас у меня стоит демо-версия КриптоПро CSP, и всё вроде бы работает. Однако в конечном итоге меня интересует КриптоПро Рутокен CSP, его я получу, видимо, только после нового года. Однако к тому моменту хочется уже разобраться и расставить все точки над i. Автор: Андрей *
Что-то смущает (приложение без подписи)?
Это, конечно, называется сапожник без сапог ) А что делать дальше? Вот мне сгенерируют по моему запросу сертификат. Как его записать на ключевой носитель, не передавая его в руки УЦ? Отредактировано пользователем 25 декабря 2014 г. 18:26:28(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,121 Сказал «Спасибо»: 615 раз
Поблагодарили: 2381 раз в 1873 постах
|
Автор: neigel Автор: Андрей *
Клиентское ПО - либо браузер+ActiveX, либо приложение...
Воспользовался предложенной вами формой. Она же генерит сертификат, а не запрос на сертификат. Или там можно где-то, что-то выбрать? Форма генерирует запрос на сертификат. Далее его необходимо передать в УЦ. Автор: neigel Автор: Андрей *
В зоопарке внутренних контейров с ключами в принципе ничего страшного нет. Я говорил именно о файле запроса на сертификат. В нём, мне кажется, сложно изобрести велосипед.
Запрос на сертификат содержит открытый ключ, который математически связан с закрытым, который в контейнере. Форматы контейнеров у каждого производителя - свои. Автор: neigel Автор: Андрей *
А что делать дальше? Вот мне сгенерируют по моему запросу сертификат. Как его записать на ключевой носитель, не передавая его в руки УЦ?
ЖТЯИ.00071-01 90 03. Инструкция по использованию.pdf Цитата:
2.4.3. Установка личного сертификата, хранящегося в файле
При установке сертификата - отметить опцию: Установить сертификат в контейнер. в архиве на странице загрузки: https://www.cryptopro.ru...ts/fkc/rutoken/downloadsОтредактировано пользователем 25 декабря 2014 г. 18:45:33(UTC)
| Причина: ссылка на документацию... почитайте на досуге |
|
1 пользователь поблагодарил Андрей * за этот пост.
|
neigel оставлено 25.12.2014(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.12.2014(UTC) Сообщений: 91 Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: Андрей *
Форма генерирует запрос на сертификат.
Далее его необходимо передать в УЦ.
Разобрался: надо было поставить галочку "Сохранять запрос" Автор: Андрей *
Запрос на сертификат содержит открытый ключ, который математически связан с закрытым, который в контейнере.
Это очевидная вещь. Автор: Андрей *
Форматы контейнеров у каждого производителя - свои.
А зачем УЦ и не только УЦ пытаются работать напрямую с контейнерами, ежели всё это абстрагированно в CSP API? Автор: Андрей * ЖТЯИ.00071-01 90 03. Инструкция по использованию.pdf Цитата:
2.4.3. Установка личного сертификата, хранящегося в файле
При установке сертификата - отметить опцию: Установить сертификат в контейнер. в архиве на странице загрузки: https://www.cryptopro.ru...ts/fkc/rutoken/downloads Андрей, спасибо огромное за помощь!
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.12.2014(UTC) Сообщений: 91 Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: Андрей *
Форма генерирует запрос на сертификат.
Далее его необходимо передать в УЦ.
Разобрался: надо было поставить галочку "Сохранять запрос" Автор: Андрей *
Запрос на сертификат содержит открытый ключ, который математически связан с закрытым, который в контейнере.
Это очевидная вещь. Автор: Андрей *
Форматы контейнеров у каждого производителя - свои.
А вот неочевидная: зачем УЦ и не только УЦ пытаются работать напрямую с контейнерами, ежели всё это абстрагированно в CSP API? Автор: Андрей * ЖТЯИ.00071-01 90 03. Инструкция по использованию.pdf Цитата:
2.4.3. Установка личного сертификата, хранящегося в файле
При установке сертификата - отметить опцию: Установить сертификат в контейнер. в архиве на странице загрузки: https://www.cryptopro.ru...ts/fkc/rutoken/downloads Андрей, спасибо огромное за помощь! Отредактировано пользователем 25 декабря 2014 г. 19:24:33(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,121 Сказал «Спасибо»: 615 раз
Поблагодарили: 2381 раз в 1873 постах
|
Автор: neigel Автор: Андрей *
Форматы контейнеров у каждого производителя - свои.
А зачем УЦ и не только УЦ пытаются работать напрямую с контейнерами, ежели всё это абстрагированно в CSP API? Почему напрямую? Там такое же клиентское ПО... браузер+web-форма или клиенское ПО для генерации запроса... в стенах УЦ\ЦР. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.12.2014(UTC) Сообщений: 91 Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: Андрей *
Почему напрямую? Там такое же клиентское ПО... браузер+web-форма или клиенское ПО для генерации запроса... в стенах УЦ\ЦР.
Тогда почему они выдвигают требование, что надо обязательно юзать КритоПро? Что надо использовать только конкретные носители ключей? Ну то есть понятно, когда я их прошу сгенерить ключи. А если я их сам в состоянии сгенерить, то откуда такие требования? У меня вообще из телефоного общения с различными УЦ создалось впечатления, что люди, которые там работают вообще не понимают чем они занимаются, кто такие Алиса и Боб и так далее ) Делают что-то тупо по инструкции, как тётушки, которые работали на центрифугах по обогащению урана в Манхетенском проекте, и не задают лишних вопросов.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,121 Сказал «Спасибо»: 615 раз
Поблагодарили: 2381 раз в 1873 постах
|
Автор: neigel Автор: Андрей *
Почему напрямую? Там такое же клиентское ПО... браузер+web-форма или клиенское ПО для генерации запроса... в стенах УЦ\ЦР.
Тогда почему они выдвигают требование, что надо обязательно юзать КритоПро? Что надо использовать только конкретные носители ключей? Ну то есть понятно, когда я их прошу сгенерить ключи. А если я их сам в состоянии сгенерить, то откуда такие требования? У меня вообще из телефоного общения с различными УЦ создалось впечатления, что люди, которые там работают вообще не понимают чем они занимаются, кто такие Алиса и Боб и так далее ) Делают что-то тупо по инструкции, как тётушки, которые работали на центрифугах по обогащению урана в Манхетенском проекте, и не задают лишних вопросов. Могу предположить: аттестованные места для генерации запроса оборудованы тем же СКЗИ, которое применяется и в самом УЦ.
Про Алису и Боба ... 
|
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
