18.01.2005 21:09:45Перенос Центра Сертификатов Ответов: 3
Vlad
Как правильно перенести Центр сертификатов (Microsoft’овский) на другую машину при использовании КриптоПро 1.1.129.1?

У меня возникла ошибка
Не удалось построить цепочку сертификатов
-2146885628 Объект или свойство не найдено (это из EventLogа)

Необходимость возникла, поскольку хотим использовать более мощные компьютеры для сервера [и будет кластер, 2 машины] (но менять сертификат ЦС не хочется)

Что пробовал делать:
- сначала устанавливал ЦС на новой машине, задавая параметры сертификата ЦС аналогично параметрам сертификата ЦС переносимой машины
- далее импортировал ключ КриптоПро в реестр
- импортировал в MY локальной машины сертификата ЦС переносимой машины
- перепривязал (с помощью своей утилиты) секретный ключ с сертификата, созданного при установке ЦС, на импортированный сертификат (сертификат ЦС переносимой машины)
- импортировал ключ реестра ЦС переносимой машины HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
- перенес \CAConfig

Вообще однажды проделывал все это на одной и той же машине (снес ЦС, потом восстановил ее), и получилось

Но при переносе на другую машину - проблема. ЦС изолированный. Имя машины делал такое же. Windows правда стоит не на D:, а на C:, но я создал аналогичные паталоги на D:. Возможно еще менялось что-то в настройках домена - но первая машина была в том же домене (потом отключили, уже после установки ЦС, и он там работает), что и вторая

Итого:
1) Есть ли правильный способ переноса ЦС? Где почитать? Сходу не нашел в форуме. Для RSA можно было выбрать pfx на этапе инсталляции ЦС (пробовал также поставить 2.0, проимпортровать, вернуться к 1.1, не получалось)
2) Как правильно перенести сертификат с ассоциированным с ним секретным ключом, если ключ не содержит сертификата? (как это в случае с ключом ЦС; свой кривой способ описал с импортом и перепривязкой секретного ключа описал выше). Как правильно сказать ЦС, чтобы она использовала данный сертификат в качестве сертификата ЦС?
3) возможно, кроме HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc нужно перенести что-то еще?
 
Ответы:
19.01.2005 13:42:07Василий
Есть инструкция по переносу. Вышлю на e-mail.
19.01.2005 15:12:49Vlad
Василий, спасибо за быстрый ответ. Но перенести ЦС пока не получилось.

По ссылке
"HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\KeyDevices\passwords\<имя>"
ничего не нашел
(там вообще нет KeyDevices, такое имя встречается только здесь:
Crypto Pro\Cryptography\CurrentVersion\KeyDevices, но внутри нет passwords)
соответственно восстанавливать мне было нечего
(используем CryptoPro 1.1.129.1, как уже писал; ключ ЦС хранится в реестре,
пароль шифрования задавался пустой)

В результате хотя сертификат ЦС перенести в My и ассоциировать
с секретным ключом смог без проблем (по инструкции),
но при установке ЦС выбрать "Использовать существующие ключи" не могу
(ни одного ключа там нет, галочка недоступна)

Можно ли осуществить перенос ЦС при данной версии CryptoPro?


С уважением,
Влад Степанов, СФТ
19.01.2005 17:21:50fav
Посмотрите еще одну инструкцию (высылаю вам по почте). Но в ней ряд действий используется КриптоПро CSP 2.0. В этом документе вам будут интересны: раздел 2, путнкты: 2.1 (без абзаца: "Рекомендуется также
..."), 2.2, 2.3., 2.5. (важный пункт, здесь необходимо верно установить сертификат ЦС), 2.6., 2.7.