Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Анатолий Колкочев  
#1 Оставлено : 17 августа 2021 г. 17:55:17(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
Попытался импортировать файл .pfx через инструменты КриптоПро: Сервис -> Установить личный сертификат.
При попытке импорта pfx возникает ошибка "0x80090005 плохие данные".

Сам pfx во вложении: temp.zip (2kb) загружен 2 раз(а).

Пароль: 111

Подскажите, пожалуйста, в чем проблема?
Импорт через встроенный инструмент Windows (мастер импорта сертификатов) проходит успешно

Отредактировано пользователем 17 августа 2021 г. 18:23:18(UTC)  | Причина: Не указана

Offline Андрей *  
#2 Оставлено : 17 августа 2021 г. 18:33:52(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Здравствуйте.

В каком CSP\ПО создавали такой ... pfx?

Для примера (слева нормальный PFX, справа вложенный на форуме)
Snimok ehkrana ot 2021-08-17 19-32-45.png (76kb) загружен 16 раз(а).
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#3 Оставлено : 17 августа 2021 г. 18:35:03(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: Анатолий Колкочев Перейти к цитате


Сам pfx во вложении: temp.zip (2kb) загружен 2 раз(а).

Пароль: 111



Не принимает 111:
Snimok ehkrana ot 2021-08-17 19-34-23.png (22kb) загружен 7 раз(а).
Техническую поддержку оказываем тут
Наша база знаний
Offline Анатолий Колкочев  
#4 Оставлено : 17 августа 2021 г. 18:39:51(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
Автор: Андрей * Перейти к цитате
Здравствуйте.

В каком CSP\ПО создавали такой ... pfx?

Для примера (слева нормальный PFX, справа вложенный на форуме)
Snimok ehkrana ot 2021-08-17 19-32-45.png (76kb) загружен 16 раз(а).


Создавал в BouncyCastle... Удивился сам сейчас содержимому (и тому, что мастер импорта сертификатов не ругается)

Автор: Андрей * Перейти к цитате

Не принимает 111:
Snimok ehkrana ot 2021-08-17 19-34-23.png (22kb) загружен 7 раз(а).


У меня принимает пароль 111 ...
Сейчас изменю пароль и новый залью

UPD: новый pfx temp.zip (2kb) загружен 1 раз(а).
Пароль: 1234

Отредактировано пользователем 17 августа 2021 г. 18:43:00(UTC)  | Причина: Не указана

Offline Андрей *  
#5 Оставлено : 17 августа 2021 г. 18:43:50(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: Анатолий Колкочев Перейти к цитате

Создавал в BouncyCastle... Удивился сам сейчас содержимому (и тому, что мастер импорта сертификатов не ругается)



Конечная цель какая?

Почему не используется генерация ключа в КриптоПРО CSP?
Техническую поддержку оказываем тут
Наша база знаний
Offline Анатолий Колкочев  
#6 Оставлено : 17 августа 2021 г. 18:52:20(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
Автор: Андрей * Перейти к цитате
Автор: Анатолий Колкочев Перейти к цитате

Создавал в BouncyCastle... Удивился сам сейчас содержимому (и тому, что мастер импорта сертификатов не ругается)



Конечная цель какая?

Почему не используется генерация ключа в КриптоПРО CSP?


Если честно, цель - исключительно научный интерес) Хотел сгенерировать ключи в BouncyCastle и попробовать скормить это КриптоПро через pfx. Поэтому ключи генерировались не КриптоПро
Offline Анатолий Колкочев  
#7 Оставлено : 18 августа 2021 г. 11:23:08(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
Разобрался в проблеме формирования pfx. Была путаница между PEM и DER. Пришлось еще немного в исходниках BC поковыряться. Еще обнаружил следующее: если BouncyCastle передать пароль для pfx при его создании, то BouncyCastle автоматом шифрует и certBag. На время вырезал это. Поэтому так странно, на первый взгляд, изначально выглядело.

Вот новый pfx: temp.zip (3kb) загружен 3 раз(а).. Пароль: 1234

Но проблема, к сожалению, осталась. Импорт через КриптоПро не проходит. Ошибка та же: "0x80090005 плохие данные"

Отредактировано пользователем 18 августа 2021 г. 12:18:49(UTC)  | Причина: Не указана

Offline two_oceans  
#8 Оставлено : 19 августа 2021 г. 1:27:17(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Подозреваю, что при экспорте и импорте применены разные алгоритмы. К слову, импортировать можно по-разному: 1) через certmgr (или двойным щелчком или из контекстного меню или командной строкой); 2) через p12util. При этом у них разные требования к алгоритмам p12/pfx: 1) смешанно гост и не гост; 2) только гост.

Еще вариант - если BC, допустим, работает с сертификатом гост, связанным с контейнером криптопро csp (и неявно обращается к криптопро csp), то стоит помнить, что криптопро csp вместо реального закрытого ключа возвращает всем внешним приложениям дескриптор, связанный с закрытым ключом, который сохранять или экспортировать смысла не имеет. Однако если этот дескриптор пока еще связан с ключом, то при передаче обратно в криптопро csp он будет работать как будто передан реальный ключ. При перезапуске криптопровайдера дескриптор закрывается (читай отвязывается от ключа) и сохраненный дескриптор "превращается в тыкву".
Offline Анатолий Колкочев  
#9 Оставлено : 19 августа 2021 г. 8:50:28(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
Автор: two_oceans Перейти к цитате
Подозреваю, что при экспорте и импорте применены разные алгоритмы. К слову, импортировать можно по-разному: 1) через certmgr (или двойным щелчком или из контекстного меню или командной строкой); 2) через p12util. При этом у них разные требования к алгоритмам p12/pfx: 1) смешанно гост и не гост; 2) только гост.

Еще вариант - если BC, допустим, работает с сертификатом гост, связанным с контейнером криптопро csp (и неявно обращается к криптопро csp), то стоит помнить, что криптопро csp вместо реального закрытого ключа возвращает всем внешним приложениям дескриптор, связанный с закрытым ключом, который сохранять или экспортировать смысла не имеет. Однако если этот дескриптор пока еще связан с ключом, то при передаче обратно в криптопро csp он будет работать как будто передан реальный ключ. При перезапуске криптопровайдера дескриптор закрывается (читай отвязывается от ключа) и сохраненный дескриптор "превращается в тыкву".


Сравнил OID-ы алгоритмов - действительно разные (слева - pfx BouncyCastle, справа - pfx КриптоПро):
BC vs CP.gif (50kb) загружен 6 раз(а).

При попытке импорта через утилиту certmgr возникает "ошибка при шифровании или расшифровывании. [Error code: 0x80092002]". Я так и не понял, что за OID алгоритма шифрования в pfx, полученном при экспорте ключей с использованием КриптоПро: 1.2.840.113549.1.12.1.80. Вроде как ветка 1.2.840 к США относится, но в инете так и не нашел информации об этом OID:
OIDs.jpg (248kb) загружен 4 раз(а)..

Через p12util пока не пробовал импортировать, но импорт через через встроенный инструмент Windows (мастер импорта сертификатов) проходит успешно.

Отредактировано пользователем 19 августа 2021 г. 9:11:13(UTC)  | Причина: Не указана

Offline Андрей *  
#10 Оставлено : 19 августа 2021 г. 9:48:47(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: Анатолий Колкочев Перейти к цитате

Через p12util пока не пробовал импортировать, но импорт через через встроенный инструмент Windows (мастер импорта сертификатов) проходит успешно.


Тот, что выкладывали с 1234 - не проходит импорт.
Пробуйте сами на другой ОС (чистой, только с КриптоПРО CSP)
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.