Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
При попытке импорта .pfx вылезает ошибка "0x80090005 плохие данные"
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC) Сообщений: 467
Сказал(а) «Спасибо»: 43 раз Поблагодарили: 69 раз в 61 постах
|
Попытался импортировать файл .pfx через инструменты КриптоПро: Сервис -> Установить личный сертификат. При попытке импорта pfx возникает ошибка "0x80090005 плохие данные". Сам pfx во вложении: temp.zip (2kb) загружен 2 раз(а).Пароль: 111 Подскажите, пожалуйста, в чем проблема? Импорт через встроенный инструмент Windows (мастер импорта сертификатов) проходит успешно Отредактировано пользователем 17 августа 2021 г. 18:23:18(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,630 Сказал «Спасибо»: 494 раз Поблагодарили: 2034 раз в 1578 постах
|
Здравствуйте. В каком CSP\ПО создавали такой ... pfx? Для примера (слева нормальный PFX, справа вложенный на форуме) Snimok ehkrana ot 2021-08-17 19-32-45.png (76kb) загружен 16 раз(а). |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,630 Сказал «Спасибо»: 494 раз Поблагодарили: 2034 раз в 1578 постах
|
Автор: Анатолий Колкочев Сам pfx во вложении: temp.zip (2kb) загружен 2 раз(а).Пароль: 111 Не принимает 111: Snimok ehkrana ot 2021-08-17 19-34-23.png (22kb) загружен 7 раз(а). |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC) Сообщений: 467
Сказал(а) «Спасибо»: 43 раз Поблагодарили: 69 раз в 61 постах
|
Автор: Андрей * Здравствуйте. В каком CSP\ПО создавали такой ... pfx? Для примера (слева нормальный PFX, справа вложенный на форуме) Snimok ehkrana ot 2021-08-17 19-32-45.png (76kb) загружен 16 раз(а). Создавал в BouncyCastle... Удивился сам сейчас содержимому (и тому, что мастер импорта сертификатов не ругается) Автор: Андрей * Не принимает 111: Snimok ehkrana ot 2021-08-17 19-34-23.png (22kb) загружен 7 раз(а). У меня принимает пароль 111 ... Сейчас изменю пароль и новый залью UPD: новый pfx temp.zip (2kb) загружен 1 раз(а).Пароль: 1234 Отредактировано пользователем 17 августа 2021 г. 18:43:00(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,630 Сказал «Спасибо»: 494 раз Поблагодарили: 2034 раз в 1578 постах
|
Автор: Анатолий Колкочев Создавал в BouncyCastle... Удивился сам сейчас содержимому (и тому, что мастер импорта сертификатов не ругается) Конечная цель какая? Почему не используется генерация ключа в КриптоПРО CSP? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC) Сообщений: 467
Сказал(а) «Спасибо»: 43 раз Поблагодарили: 69 раз в 61 постах
|
Автор: Андрей * Автор: Анатолий Колкочев Создавал в BouncyCastle... Удивился сам сейчас содержимому (и тому, что мастер импорта сертификатов не ругается) Конечная цель какая? Почему не используется генерация ключа в КриптоПРО CSP? Если честно, цель - исключительно научный интерес) Хотел сгенерировать ключи в BouncyCastle и попробовать скормить это КриптоПро через pfx. Поэтому ключи генерировались не КриптоПро |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC) Сообщений: 467
Сказал(а) «Спасибо»: 43 раз Поблагодарили: 69 раз в 61 постах
|
Разобрался в проблеме формирования pfx. Была путаница между PEM и DER. Пришлось еще немного в исходниках BC поковыряться. Еще обнаружил следующее: если BouncyCastle передать пароль для pfx при его создании, то BouncyCastle автоматом шифрует и certBag. На время вырезал это. Поэтому так странно, на первый взгляд, изначально выглядело. Вот новый pfx: temp.zip (3kb) загружен 3 раз(а).. Пароль: 1234 Но проблема, к сожалению, осталась. Импорт через КриптоПро не проходит. Ошибка та же: "0x80090005 плохие данные" Отредактировано пользователем 18 августа 2021 г. 12:18:49(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 393 раз в 366 постах
|
Подозреваю, что при экспорте и импорте применены разные алгоритмы. К слову, импортировать можно по-разному: 1) через certmgr (или двойным щелчком или из контекстного меню или командной строкой); 2) через p12util. При этом у них разные требования к алгоритмам p12/pfx: 1) смешанно гост и не гост; 2) только гост. Еще вариант - если BC, допустим, работает с сертификатом гост, связанным с контейнером криптопро csp (и неявно обращается к криптопро csp), то стоит помнить, что криптопро csp вместо реального закрытого ключа возвращает всем внешним приложениям дескриптор, связанный с закрытым ключом, который сохранять или экспортировать смысла не имеет. Однако если этот дескриптор пока еще связан с ключом, то при передаче обратно в криптопро csp он будет работать как будто передан реальный ключ. При перезапуске криптопровайдера дескриптор закрывается (читай отвязывается от ключа) и сохраненный дескриптор "превращается в тыкву".
Сам же криптопро csp экспортирует ключ не снимая шифрования с которым ключ хранился в контнейнере - то есть ключ получается шифрован дважды (как минимум). Поэтому иногда рекомендуют снять пин-код у контейнера перед экспортом.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC) Сообщений: 467
Сказал(а) «Спасибо»: 43 раз Поблагодарили: 69 раз в 61 постах
|
Автор: two_oceans Подозреваю, что при экспорте и импорте применены разные алгоритмы. К слову, импортировать можно по-разному: 1) через certmgr (или двойным щелчком или из контекстного меню или командной строкой); 2) через p12util. При этом у них разные требования к алгоритмам p12/pfx: 1) смешанно гост и не гост; 2) только гост. Еще вариант - если BC, допустим, работает с сертификатом гост, связанным с контейнером криптопро csp (и неявно обращается к криптопро csp), то стоит помнить, что криптопро csp вместо реального закрытого ключа возвращает всем внешним приложениям дескриптор, связанный с закрытым ключом, который сохранять или экспортировать смысла не имеет. Однако если этот дескриптор пока еще связан с ключом, то при передаче обратно в криптопро csp он будет работать как будто передан реальный ключ. При перезапуске криптопровайдера дескриптор закрывается (читай отвязывается от ключа) и сохраненный дескриптор "превращается в тыкву".
Сам же криптопро csp экспортирует ключ не снимая шифрования с которым ключ хранился в контнейнере - то есть ключ получается шифрован дважды (как минимум). Поэтому иногда рекомендуют снять пин-код у контейнера перед экспортом.
Сравнил OID-ы алгоритмов - действительно разные (слева - pfx BouncyCastle, справа - pfx КриптоПро): BC vs CP.gif (50kb) загружен 6 раз(а).При попытке импорта через утилиту certmgr возникает "ошибка при шифровании или расшифровывании. [Error code: 0x80092002]". Я так и не понял, что за OID алгоритма шифрования в pfx, полученном при экспорте ключей с использованием КриптоПро: 1.2.840.113549.1.12.1.80. Вроде как ветка 1.2.840 к США относится, но в инете так и не нашел информации об этом OID: OIDs.jpg (248kb) загружен 4 раз(а)..
Мне кажется, простая замена OID с "непонятного" на "понятный" не поможет (например, с 1.2.840.113549.1.12.1.80 на 1.2.840.113549.1.12.1.3), но попробовать стоит).
Через p12util пока не пробовал импортировать, но импорт через через встроенный инструмент Windows (мастер импорта сертификатов) проходит успешно. Отредактировано пользователем 19 августа 2021 г. 9:11:13(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,630 Сказал «Спасибо»: 494 раз Поблагодарили: 2034 раз в 1578 постах
|
Автор: Анатолий Колкочев Через p12util пока не пробовал импортировать, но импорт через через встроенный инструмент Windows (мастер импорта сертификатов) проходит успешно. Тот, что выкладывали с 1234 - не проходит импорт. Пробуйте сами на другой ОС (чистой, только с КриптоПРО CSP) |
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
При попытке импорта .pfx вылезает ошибка "0x80090005 плохие данные"
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close