Статус: Новичок
Группы: Участники
Зарегистрирован: 19.08.2025(UTC) Сообщений: 3  Сказал(а) «Спасибо»: 1 раз
|
Добрый день. Есть 2 файла сертификата: открытая часть .cer и закрытая часть .pfx В открытой части, как обычно, хранится цепочка сертификатов: сам сертификат, сертификат промежуточного УЦ и сертификат корневого УЦ Требуется из командной строки а) установить сам сертификат в "личные" б) установить корневой сертификат УЦ в "доверенные корневые" Первую часть решил легко, вот так: Цитата:# пароль на сертификат
$CertPw = ConvertTo-SecureString -String '1' -AsPlainText -Force
# папка с сертификатом
$CertFolderPath = 'C:\mycert\'
# импортировать сертификат в реестр
$CurCertPath = (Get-ChildItem -Path ($CertFolderPath + "*.cer") -force)[0].fullname
Import-Certificate -FilePath $CurCertPath -CertStoreLocation 'Cert:\CurrentUser\My'
$CurCertPath = (Get-ChildItem -Path ($CertFolderPath + "*.pfx") -force)[0].fullname
Import-PfxCertificate -FilePath $CurCertPath -Password $CertPw -CertStoreLocation 'Cert:\CurrentUser\My'
как решить вторую часть - непонятно вообще, нигде не могу найти способов извлечь цепочку сертификатов из файла или, на худой конец, из установленного в хранилище сертификата. Всё, что нашёл, это Цитата:C:\Program Files\Crypto Pro\CSP>certmgr.exe -list -file "C:\mycert\1.cer" -chain Оно показывает имена и SHA1 Thumbprint цепочки, и только лишь. Пожалуйста, помогите.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,779
Сказал(а) «Спасибо»: 633 раз
Поблагодарили: 484 раз в 456 постах
|
Автор: Alex-2025  Есть 2 файла сертификата: открытая часть .cer и закрытая часть .pfx *.pfx это не сертификат, а файл-контейнер с закрытым ключом; Автор: Alex-2025 В открытой части, как обычно, хранится цепочка сертификатов: сам сертификат, сертификат промежуточного УЦ и сертификат корневого УЦ Почему Вы так считаете? Автор: Alex-2025 Первую часть решил легко, вот так: Почему не импорт с помощью certmgr от "КриптоПро", раз Вы к нему всё равно в дальнейшем прибегаете? Не совсем понятна конечная цель извлечения сертификатов из сертификата и контейнера. Можете подробней описать требуемую задачу, может кто подскажет, как это сделать правильней?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,533
Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 629 раз в 435 постах
|
Автор: Alex-2025 Есть 2 файла сертификата: открытая часть .cer и закрытая часть .pfx
В открытой части, как обычно, хранится цепочка сертификатов: сам сертификат, сертификат промежуточного УЦ и сертификат корневого УЦ Здравствуйте. В файле с расширением cer может храниться только один сертификат. Так что если вы здесь ничего не напутали, то корневого в этом месте нет, тут только ваш личный сертификат. Корневой может быть внутри pfx-а (например, Инструменты КриптоПро умеют так экспортировать ключи в pfx). Тогда с помощью Инструментов КриптоПро можно и установить этот pfx, если в нём есть корневые и/или промежуточные, то они будут записаны в соответствующие хранилища. Начиная с 2019-12-04 КриптоПро CSP 5.0.11635 Golem аналогичную задачу умеет выполнять certmgr -inst, если указать ему ключ -autodist Код:certmgr -inst -autodist -pfx -file ваш.pfx
Если же корневого тут нет, то с точки зрения безопасности его нельзя просто взять из результатов построения цепочки и поставить в доверенные. Вы должны доверенным образом получить этот корневой, чтобы быть уверенным, что ставите не подделку. Корневые сертификаты - краеугольный камень безопасности PKI, к ним необходимо относиться очень ответственно. |
|
 2 пользователей поблагодарили Русев Андрей за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.08.2025(UTC) Сообщений: 3 Сказал(а) «Спасибо»: 1 раз
|
Автор: Русев Андрей Автор: Alex-2025 аналогичную задачу умеет выполнять certmgr -inst, если указать ему ключ -autodist Код:certmgr -inst -autodist -pfx -file ваш.pfx
Спасибо, всё работает как нужно.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.08.2025(UTC) Сообщений: 3 Сказал(а) «Спасибо»: 1 раз
|
Автор: nickm Автор: Alex-2025 В открытой части, как обычно, хранится цепочка сертификатов: сам сертификат, сертификат промежуточного УЦ и сертификат корневого УЦ Почему Вы так считаете? Потому что ежели дважды щёлкнуть на контейнере .cer, то откроются подробности по сертификату, а дальше на закладочке "Certification Path" можно увидеть корневые, открыть их и установить, если требуется. Если их в файле .cer, как вы говорите, нет, то откуда же берётся открытая часть корневых ? В файле они, в файле, разумеется, больше им взяться неоткуда.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,779
Сказал(а) «Спасибо»: 633 раз
Поблагодарили: 484 раз в 456 постах
|
Автор: Alex-2025 Потому что ежели дважды щёлкнуть на контейнере .cer, то откроются подробности по сертификату, а дальше на закладочке "Certification Path" можно увидеть корневые, открыть их и установить, если требуется. Верно, только так будет, если эти самые, корневой и промежуточный сертификаты уже установлены в системные хранилища; Автор: Alex-2025 Если их в файле .cer, как вы говорите, нет, то откуда же берётся открытая часть корневых? Кто-то уже "постарался" и установил оные, корневой и промежуточный сертификаты для построения цепочки в систему за Вас, например, такое может происходить при установке СКЗИ "КриптоПро CSP"; Автор: Alex-2025 В файле они, в файле, разумеется, больше им взяться неоткуда. 99,9%, что Вы ошибаетесь.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
