Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Андрей2100  
#21 Оставлено : 14 ноября 2019 г. 9:16:27(UTC)
Андрей2100

Статус: Участник

Группы: Участники
Зарегистрирован: 19.09.2019(UTC)
Сообщений: 14
Российская Федерация
Откуда: Москва

Здравствуйте.
Следует учитывать, что myDSS не используется для подписи документов. Вы имеете ввиду, что myDSS используется только для аутентификации и подтверждения подписания документа? Или смысл какой-то иной?

То есть в любом случае необходимо использовать некоторое приложение для подписи, например, с использованием облачного токена в КриптоПро CSP 5.0. Под облачным токеном имеется ввиду хранение ключа в HSM или имеется ввиду продукт КриптоПро CloudCSP?
Offline Александр Лавник  
#22 Оставлено : 18 ноября 2019 г. 10:56:05(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,677
Мужчина
Российская Федерация

Сказал «Спасибо»: 44 раз
Поблагодарили: 602 раз в 567 постах
Автор: Андрей2100 Перейти к цитате
Здравствуйте.
Следует учитывать, что myDSS не используется для подписи документов. Вы имеете ввиду, что myDSS используется только для аутентификации и подтверждения подписания документа? Или смысл какой-то иной?

То есть в любом случае необходимо использовать некоторое приложение для подписи, например, с использованием облачного токена в КриптоПро CSP 5.0. Под облачным токеном имеется ввиду хранение ключа в HSM или имеется ввиду продукт КриптоПро CloudCSP?

Здравствуйте.

Цитата:
Вы имеете ввиду, что myDSS используется только для аутентификации и подтверждения подписания документа? Или смысл какой-то иной?


Да, верно.

Цитата:
Под облачным токеном имеется ввиду хранение ключа в HSM или имеется ввиду продукт КриптоПро CloudCSP?


Имеется ввиду возможность работать с ключами в КриптоПро DSS через функционал Cloud Token, который поддерживается в КриптоПро CSP 5.0 и в КриптоПро Cloud CSP.
Техническую поддержку оказываем тут
Наша база знаний
Offline МММ  
#23 Оставлено : 31 мая 2021 г. 16:39:54(UTC)
МММ

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.04.2021(UTC)
Сообщений: 9

Сказал(а) «Спасибо»: 4 раз
Автор: Санчир Момолдаев Перейти к цитате
Автор: Андрей2100 Перейти к цитате
Здравствуйте! Прошу сильно не ругаться за возможно глупые вопросы.

1. при генерации зк, можно сохранить файл запроса, и этот запрос может обработать уже выбранный вами УЦ, и выдать по полученному запросу сертификат. - проблема в том, что мне не понятно как можно создать в HSM ключ и запрос к нему без вводных данных от того УЦ, в котором потом я хочу этот сертификат подписать. Ведь если мы говорим про аккредитованные УЦ, то у каждого УЦ есть конкретные требования к сертификату, который выпускает этот аккредитованный УЦ. Как правило УЦ либо сами выпускают ключ и сертификат для пользователя при личном присутствии либо процедура организована через временный сертификат или временный доступ к УЦ.

2. в дальнейшем этот сертификат можно установить уже с привязкой к закрытому ключу, который находится в HSM - этот сертификат может сам пользователь установить в HSM через HSM Client или такую установку сертификата может сделать только привилегированный пользователь HSM?

3. загрузить контейнеры из других носителей в HSM возможно - А не могли бы пояснить как это делается? В соответствии с 63-ФЗ пользователь должен обеспечивать конфиденциальность своих ключей, значит ключ должен загрузить сам пользователь. Как он это может сделать, если по сути доступ этого пользователя непосредственно к HSM должен быть ограничен.



1. пример с помощью cryptcp можно посмотреть здесь

2. установка описано в указанной статье.

3. примерно так csptest.exe -keycopy -provsrc "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -provdest "Crypto-Pro GOST R 34.10-2012 HSM Svc CSP" -typesrc 80 -typedest 80 -contsrc "\\.\FAT12_D\test1" -contdest "\\.\HSMDB\test2 -pinsrc 111 -pindest 11111111

уточните какая ваша конечная цель?
хсм обычно используется в следующих схемах:
hsm - service (CA, DSS, JCSP, ...) - user
hsm - service (т.е. сервис явлется конечным клиентом)

схемы hsm - user нет.


Здравствуйте, при генерации зк в HSM средствами cryptcp, выпуске сертификата при попытке установки сертификата на контейнер(ставлю маркер найти контейнер автоматически), выдает ошибку: "Ошибка обращения к контейнеру закрытого ключа 0x8009001A: Неправильно зарегистрированный набор ключей" подскажите с чем это может быть связано?
Offline Константин Гаинцев  
#24 Оставлено : 31 мая 2021 г. 18:38:02(UTC)
Константин Гаинцев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.01.2014(UTC)
Сообщений: 26

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 6 раз в 6 постах
Здравствуйте!
Нам известно об этой проблеме, к сожалению этот функционал не работает в HSM Client. Нужно выбирать конкретный контейнер, через "Обзор", при этом выбирая правильный провайдер (который использовался при генерации контейнера).
thanks 1 пользователь поблагодарил Константин Гаинцев за этот пост.
МММ оставлено 01.06.2021(UTC)
Offline МММ  
#25 Оставлено : 1 июня 2021 г. 14:11:23(UTC)
МММ

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.04.2021(UTC)
Сообщений: 9

Сказал(а) «Спасибо»: 4 раз
Автор: Константин Гаинцев Перейти к цитате
Здравствуйте!
Нам известно об этой проблеме, к сожалению этот функционал не работает в HSM Client. Нужно выбирать конкретный контейнер, через "Обзор", при этом выбирая правильный провайдер (который использовался при генерации контейнера).


Спасибо за ответ! Но к сожалению, проблему не решило, генерация контейнера происходила с использованием провайдера "Crypto-Pro GOST R 34.10-2012 HSM Svc CSP", при попытке установить сертификат выдает ошибку: "Закрытый ключ на указанном контейнере не соответствует открытому ключу в сертификате, выберите другой ключевой контейнер". Контейнер создавался один, поэтому перепутать было невозможно)))
Offline Константин Гаинцев  
#26 Оставлено : 1 июня 2021 г. 14:36:37(UTC)
Константин Гаинцев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.01.2014(UTC)
Сообщений: 26

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 6 раз в 6 постах
Попробуйте альтернативный способ установки:
C:\Program Files\Crypto Pro\CSP\certmgr -install -file <путь к сертификату> -store uMy -cont <contname> -provname "Crypto-Pro GOST R 34.10-2012 HSM Svc CSP" -provtype 80

contname можно скопировать через "Обзор" в оснастке HSM Client
Личное хранилище текущего пользователя uMy, хранилище локального компьютера - mMy
А также нужна опция -at_signature, если при создании запроса был создан ключ подписи
thanks 1 пользователь поблагодарил Константин Гаинцев за этот пост.
МММ оставлено 02.06.2021(UTC)
Offline МММ  
#27 Оставлено : 3 июня 2021 г. 17:24:28(UTC)
МММ

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.04.2021(UTC)
Сообщений: 9

Сказал(а) «Спасибо»: 4 раз
Автор: Константин Гаинцев Перейти к цитате
Попробуйте альтернативный способ установки:
C:\Program Files\Crypto Pro\CSP\certmgr -install -file <путь к сертификату> -store uMy -cont <contname> -provname "Crypto-Pro GOST R 34.10-2012 HSM Svc CSP" -provtype 80

contname можно скопировать через "Обзор" в оснастке HSM Client
Личное хранилище текущего пользователя uMy, хранилище локального компьютера - mMy
А также нужна опция -at_signature, если при создании запроса был создан ключ подписи


Спасибо! С лексемой Svc все получилось, но при попытке воссоздать ситуацию с криптопровайдером "Crypto-Pro GOST R 34.10-2012 HSM CSP" не получилось, при установке сертификата запрос Pin-кода был выведен на LCD-панель (согласно документации запросы на LCD-панель выводятся только при использовании криптопровайдера с лексемой Svc), после ввода PIN-кода на LCD-панели ничего не произошло, никакой ошибки не выдало, но и сертификат не установился...очень странная ситуация, прокомментируйте, пожалуйста, как можно решить данную проблему ?
Offline Константин Гаинцев  
#28 Оставлено : 3 июня 2021 г. 18:03:09(UTC)
Константин Гаинцев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.01.2014(UTC)
Сообщений: 26

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 6 раз в 6 постах
С лексемой Svc получилось в оснастке HSM Client?
Вывод запроса пин-кода на LCD панель зависит от типа пользователя по сертификату которого осуществляется подключение. Если в сертификате присутствует EKU Администратор cервера КриптоПро HSM (1.2.643.2.2.34.22), то запрос выводится на LCD панели, а данное расширение попадает в сертификат только для пользователей с типом "компьютер", и только с таким сертификатом работает сервисный провайдер (с лексемой Svc). Т.е. правильнее сказать, что для провайдера с лексемой Svc запросы пин-кода выводятся только на LCD панель, а для треевого провайдера всё зависит от типа пользователя по сертификату которого происходит подключение.
Таймаут ожидания клиента, по умолчанию, для сервисного провайдера - 1 мин, а для треевого - 15 сек. Соответственно, даже если стоять наготове, то ввести пин-код на LCD панели за 15 сек. не реально.
Для того чтобы не бегать к LCD панели можно передавать пин-код в команде, например, для certmgr это опция -pin 12345.., но в оснастке HSM Client такой возможности передать пин-код нет.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.