Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Helgi  
#1 Оставлено : 9 октября 2024 г. 15:14:57(UTC)
Helgi

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.10.2024(UTC)
Сообщений: 5
Российская Федерация

Версия 5.0.13

Такой строкой
certmgr.exe -install -store uMy -pfx -silent -keep_exportable -cont "ФИО 24-25" -file "C:\...\Desktop\DOOut.pfx"

PFX устанавливается успешно, но контейнеру не задается новое имя. Берется ФИО и номер из файла.

Можно вручную в реестре задать, и его нормально видит утилита CryptoPro, но через -list видно, что контейнер так и именуется, как было (Контейнер: REGISTRY\\ФИО Цифра)

Как возможно переименовать этот контейнер?
Offline nickm  
#2 Оставлено : 9 октября 2024 г. 15:30:41(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,275

Сказал(а) «Спасибо»: 558 раз
Поблагодарили: 388 раз в 367 постах
При импорте из *.pfx, указать желаемое имя создаваемого контейнера не возможно.

Но, есть способ добиться этого последовательностью действий - импортировать, а после переименовать.

Недавно на форуме подобное обсуждалось, надо поискать тему.
Offline Helgi  
#3 Оставлено : 9 октября 2024 г. 16:31:15(UTC)
Helgi

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.10.2024(UTC)
Сообщений: 5
Российская Федерация

Переименовать в реестре или есть команда для этого?

- тему не нашел, чтобы с ответом

Переименование папки в реестре хоть и меняет наименование в утилите, но оно все также остается в name.key, менять name.key в реестре?

иначе как будет работать -delete по имени, хотя оно итак удаляет только из хранилища, бросая ветку в реестре
Offline nickm  
#4 Оставлено : 9 октября 2024 г. 18:49:25(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,275

Сказал(а) «Спасибо»: 558 раз
Поблагодарили: 388 раз в 367 постах
Что-то типа такого, предварительно протестируйте на стенде (кодировка сценария CP866):
Код:
@echo off

::Зададим некоторые переменные
set "newcontname=mycont"
set "pathtopfx=%~dp012345678.pfx"
set "pinforpfx=12345678"

::Сменим исполняемый каталог
pushd "%ProgramFiles%\Crypto Pro\CSP\"

::Импортируем контейнер из *.pfx
for /f "tokens=1,2 delims=:" %%a In ('certmgr.exe -inst -keep_exportable -file "%pathtopfx%" -pin %pinforpfx% -pfx -silent ^| findstr Контейнер') do set "contname=%%b"

::Удалим ведущий пробел в наименовании контейнера
set "oldcontname=%contname:~1%"

::Скопируем контейнер под новым именем
csptest.exe -keycopy -contsrc "\\.\REGISTRY\%oldcontname%" -contdest "\\.\REGISTRY\%newcontname%" -silent >nul 2>&1

::Удалим импортированный из *.pfx контейнер
csptest.exe -keyset -deletekeyset -container "\\.\REGISTRY\%oldcontname%" >nul 2>&1

::Переустановим сертификаты из контейнеров
csptest.exe -absorb -certs >nul 2>&1

::Вернёмся в сохранённый каталог
popd

Отредактировано пользователем 9 октября 2024 г. 18:50:05(UTC)  | Причина: Не указана

Offline Русев Андрей  
#5 Оставлено : 10 октября 2024 г. 10:26:04(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,416

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 565 раз в 393 постах
Автор: Helgi Перейти к цитате
certmgr.exe -install -store uMy -pfx -silent -keep_exportable -cont "ФИО 24-25" -file "C:\...\Desktop\DOOut.pfx"
Как возможно переименовать этот контейнер?
Задать имя контейнера при импорте нельзя, так как в общем случае в pfx может быть не один контейнер, а несколько. Если при экспорте в pfx в нём было сохранено имя контейнера (наш код делает именно так), то при импорте будет попытка использовать то самое имя, которое указано внутри pfx. Если имя уже занято, то будет сгенерировано новое. Если при импорте указать один из параметров -provname, -provtype, -carrier или -newpin (доступно начиная с 2022-09-02 КриптоПро CSP 5.0.12600 Quinotaur, см. CPCSP-9359), то механизм импорта усложняется:

  • импорт будет не в провайдер по умолчанию, а в указанный провайдер
  • имена контейнеров не будут сохранены - будут сгененрированы случайные
  • если при "простом" импорте ключ silent приводит к безусловному импорту на HDIMAGE или REGISTRY, то в "сложном" можно явно указать носитель, на который надо импортировать контейнеры
  • в неинтерактивном режиме можно задать PIN на контейнеры, но он будет одинаковый для всех контейнеров (что впрочем логично, например, при импорте на токен)

Добавлю, что имена контейнеров - это скорее внутренние свойства провайдера, так что настоятельно не рекомендуется привязывать к их значениям что-либо. Прикладное ПО должно ориентироваться только на сертификаты. Например, использование не-ASCII-символов в именах контейнеров является нерекомендованным. Кроме того, на имя контейнера есть ограничения по длине, зависящие от ключевого носителя (где-то это ограничение 57 байт), так что не любое ФИО сможет туда влезть.
Официальная техподдержка. Официальная база знаний.
thanks 1 пользователь поблагодарил Русев Андрей за этот пост.
nickm оставлено 10.10.2024(UTC)
Offline Helgi  
#6 Оставлено : 10 октября 2024 г. 13:18:05(UTC)
Helgi

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.10.2024(UTC)
Сообщений: 5
Российская Федерация

Имена контейнера позволяют ориентироваться в списке сертификатов, ну или не позволяют, вероятно поэтому к ним столько внимания.
Работать со списком 50-70-100 подписей, не видя, например, срок действия очень неудобно. И если это Имя контейнера только наименование папки в реестре + name.key, то можно смело использовать такую удобную возможность.
Или нельзя?

Отредактировано пользователем 10 октября 2024 г. 13:18:44(UTC)  | Причина: Не указана

Offline nickm  
#7 Оставлено : 10 октября 2024 г. 13:26:34(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,275

Сказал(а) «Спасибо»: 558 раз
Поблагодарили: 388 раз в 367 постах
Автор: Helgi Перейти к цитате
Имена контейнера позволяют ориентироваться в списке

Пока не понятен практический выхлоп от Вашего желания.

Сценарий тестировали, не подошёл? Он рабочий, на стенде прогонял пару-тройку раз, но Сам думаю это всё излишества и абсолютно солидарен с Русевым Андреем.
Offline Helgi  
#8 Оставлено : 10 октября 2024 г. 14:41:18(UTC)
Helgi

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.10.2024(UTC)
Сообщений: 5
Российская Федерация

Практический смысл в удобном управлении сертификатами на рабочем месте.
Когда у тебя каша в списке, и приходится или заглядывать по одному, или в утилиту от контура или еще куда.

Нужна информативность и множественная обработка в графическом исполнении.
И объективно понятно, что у разработчиков задачи поважнее интерфейса, но и нам как-то нужно в пару кликов поставить 50 подписей, увидеть какие истекут в этом месяце, сделать копию в отдельную папку, например, всех врачей. Не заходя в консольный Ад ... задач как известно много, и забивать голову чем попало не стоит.
Offline nickm  
#9 Оставлено : 10 октября 2024 г. 16:09:22(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,275

Сказал(а) «Спасибо»: 558 раз
Поблагодарили: 388 раз в 367 постах
Автор: Helgi Перейти к цитате
Практический смысл в удобном управлении сертификатами на рабочем месте.

Ну, как бы сертификат - это сертификат, а контейнер - это контейнер.

Интересно, в каком сценария через сертификат, Вы собрались работать с контейнером?

Автор: Helgi Перейти к цитате
Когда у тебя каша в списке, и приходится или заглядывать по одному, или в утилиту от контура или еще куда.

О каком списке идёт речь?

Не заваривайте эту кашу, тогда и расхлёбывать её не придётся;

Автор: Helgi Перейти к цитате
Нужна информативность и множественная обработка в графическом исполнении.

Множественная обработка как раз таки и должна исключать графический режим вовсе;

Автор: Helgi Перейти к цитате
но и нам как-то нужно в пару кликов поставить 50 подписей

Можно вообще без кликов обойтись;

Автор: Helgi Перейти к цитате
увидеть какие истекут в этом месяце, сделать копию в отдельную папку, например, всех врачей.

По истечении чего и копию чего Вы хотите делать ежемесячно?

Возможно, что Вам следует правильно подавить задачу и найти более оптимальное решение.
Offline Helgi  
#10 Оставлено : 10 октября 2024 г. 17:46:15(UTC)
Helgi

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.10.2024(UTC)
Сообщений: 5
Российская Федерация

Когда задачи пользователей плохо представляются это ... случается часто.

Вопрос был про именование контейнеров. Ответ - да, не работает, таков замысел.

Вопрос Наименование это лишь имя папки в реестре и name.key. Хватило бы Да или Нет

Других вопросов нет.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.