Статус: Участник
Группы: Участники
Зарегистрирован: 16.10.2014(UTC) Сообщений: 19  Откуда: Нижний Новгоро Сказал(а) «Спасибо»: 9 раз
|
В КриптоПро CSP существует возможность экспортировать сертификат и ключ в файл p12/pfx.
Хотелось бы просмотреть этот файл с помощью утилиты openssl.
Но она его не понимает, точно так же как КриптоПро CSP не понимает файлы p12, в которые упакован закрытый ключ и сертификат посредством openssl.
То есть у меня не получится ГОСТовые ключи сгенерированные в openssl сконвертировать в p12 и установить к себе в Windows, чтобы работать с ними через КриптПро CSP?
Подскажите пожалуйста как поступать?
Или вариант только один выполнять запрос на сертификат на клиентской машине с Windows и подписывать его в openssl?
Спасибо.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,404  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
Формат нашего pfx отличается от p12, но использовать ключи openssl получится. Недавно мы выложили утилиту с подобным функционалом: https://www.cryptopro.ru/downloadsУтилита для импорта транспортных контейнеров PKCS#12 в контейнеры КриптоПро CSP: Утилита предназначена для импорта транспортных контейнеров ключей ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012, соответствующих формату PKCS#12 (с учетом Рекомендаций по стандартизации ТК 26), в контейнеры КриптоПро CSP. p12tocp.zipОтредактировано пользователем 5 мая 2016 г. 18:22:47(UTC)
| Причина: Не указана |
|
 1 пользователь поблагодарил Максим Коллегин за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.10.2014(UTC) Сообщений: 19 Откуда: Нижний Новгоро Сказал(а) «Спасибо»: 9 раз
|
Подскажите пожалуйста, возможно я делаю что-то не так. Пытаюсь выполнить команду получаю: C:\Users\aleksey\Desktop>p12utility.x64.exe -p12tocp -rdrfolder I:\ -contname My Cont -sg -passp12 123 -infile C:\sert12111.p12 -provtype 75 Ошибка при открытии ключевого контейнера PKCS#12. При выполнении операции произошла ошибка. Формировал контейнер вот так openssl pkcs12 -engine gost -export -in demoCA/newcerts/06.pem -inkey privkey.pem -certfile demoCA/cacert.pem -name "ExportFile" -out sert12111.p12 Алгоритм подписи ГОСТ Р 34.11/34.10-2001 Отредактировано пользователем 5 мая 2016 г. 18:48:37(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.10.2014(UTC) Сообщений: 19 Откуда: Нижний Новгоро Сказал(а) «Спасибо»: 9 раз
|
Не подскажете в чем может быть проблема, возможно нужно какие-то еще данные от меня, могу переслать.
Контейнер в openssl читается нормально.
openssl pkcs12 -in cert12.p12
Enter Import Password:
MAC verified OK
Bag Attributes
localKeyID: 81 6D C5 13 EB 9A F2 EB 59 35 00 D7 7C C0 CF 2B C0 B3 BF DF
subject=/C=RU/ST=\xD0\x9D\xD0\xB8\xD0\xB6\xD0\xBD\xD0\xB8\xD0\xB9 \xD0\x9.........................\x9D\xD0\xB8\xD0\xB6\xD0\xBD\xD0\xB8\xD0\xB9 \xD0\x9D\xD0\xBE\xD0\xB2\xD0\xB3\xD0\xBE\xD1\x80\xD0\xBE\xD0\x////////////////////2323233
issuer=/C=RU/ST=\xD0\x9D\xD0\xB8\xD0\xB6\xD0\xBD\xD0\xB8\xD0\xB9 \xD0\x9D\xD0\xBE\xD0\xB2\xD0\xB3\xD0\xBE\xD1\x80\xD0\xBE\xD0\xB4/L=\xD0\x9D\xD0\xB8\xD0\xB6\xD0\xBD\xD0\xB8\xD0\xB9 \xD0\x9D\xD0\xBE\xD0\xB2\xD0\xB3\xD0\xBE\xD1\x80\xD0\xBE\xD0\xB4/O=\xD0\x90\xD0.........................D0\xB8\xD1\x8F/CN=\xD0\x90\xD0\x9E \xD0\xAD\xD0\xA2\xD0\xA1/emailAddress=test.@test.ru
-----BEGIN CERTIFICATE-----
MIID4jCCA4+gAwIBAgIBBzAKBgYqhQMCAgMFADCBzDELMAkGA1UEBhMCUlUxJjAk
BgNVBAgMHdCd0LjQttC90LjQuSDQndC+0LLQs9C+0YDQvtC0MSYwJAYDVQQHDB3Q
ndC40LbQvdC40Lkg0J3QvtCy0LPQvtGA0L7QtDEUMBIGA1UECgwL0JDQniDQrdCi
.................................................RU/8cpUOEfc
qjKM9LgR5lRYVUiCHK6inE5sSJpy1KtczV1yIoJKLvl1khfQ3gc=
-----END CERTIFICATE-----
Bag Attributes
localKeyID: 81 6D C5 13 EB 9A F2 EB 59 35 00 D7 7C C0 CF 2B C0 B3 BF DF
Key Attributes: <No Attributes>
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.05.2016(UTC) Сообщений: 19 Откуда: Москва Поблагодарили: 5 раз в 5 постах
|
Добрый день!
Можете, пожалуйста, приложить пример проблемного контейнера?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.10.2014(UTC) Сообщений: 19 Откуда: Нижний Новгоро Сказал(а) «Спасибо»: 9 раз
|
У вас уже получалось использовать данную утилиту для конвертирования контейнера? Отредактировано пользователем 6 мая 2016 г. 15:38:32(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.05.2016(UTC) Сообщений: 19 Откуда: Москва Поблагодарили: 5 раз в 5 постах
|
Ключ и сертификат в контейнере зашифрованы на иностранных алгоритмах, с ними утилита не работает.
P.S. В режиме -p12tocp provtype указывать не надо.
|
1 пользователь поблагодарил nikolaev за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.10.2014(UTC) Сообщений: 19 Откуда: Нижний Новгоро Сказал(а) «Спасибо»: 9 раз
|
Создавал контейнер следующим образом, openssl pkcs12 -engine gost -export -in demoCA/newcerts/06.pem -inkey privkey.pem -certfile demoCA/cacert.pem -name "ExportFile" -out сert12.p12
То есть явно надо указать ему как зашифровать ключи в контейнере, это с помощью опций:
-certpbe alg specify certificate PBE algorithm (default RC2-40)
-keypbe alg specify private key PBE algorithm (default 3DES)
?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.05.2016(UTC) Сообщений: 19 Откуда: Москва Поблагодарили: 5 раз в 5 постах
|
Утилита работает с контейнерами PKCS#12, которые выработаны в соответствии с рекомендациями ТК26. Среди прочих требований сертификат и ключ должны быть зашифрованы с помощью алгоритма ГОСТ 28147-89. Коль скоро openssl по умолчанию ставит не его, то да, это надо явно указать.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.11.2015(UTC)
Сообщений: 3
|
та же проблема,
создаю pfx
openssl pkcs12 -engine gost -export -in cert.crt -inkey cert.key -certfile ca.pem -keypbe gost89 -certpbe gost89 -out out.pfx
при импорте через утилиту:
p12util.x64.exe -p12tocp -rdrfolder d:\ -contname 888888 -ex -passcp 1234567890 -passp12 1234567890 -infile out.pfx
Failed to open PKCS#12 key container file.
Failed while executing.
какие параметры OpenSSL правильные?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
