20.11.2006 13:08:14Объясните, пожалуйста, как создавать контейнеры Ответов: 8
bard
Успешно создал контейнер, воспользовавшись вашим тестовым ЦС - все очень хоршо работает. Но не совсем понимаю - можно ли создавать контейнер на основе уже существующей пары ключей (в файле pfx, например)? Причем при помощи вашего ПО, а не командами CryptoAPI. Если создавать на основе существующих ключей нельзя, то каким образом настроить свой ЦС, чтобы он мог создавать контейнеры?
Долго искал подобную информацию - не смог найти.
 
Ответы:
20.11.2006 14:30:00Kirill Sobolev
Нельзя, КриптоПро CSP не поддерживает экспорт ключей в pfx.
Уровень работы с функциями криптопровайдера - более низкий чем уровень CryptoAPI, почему именно он предпочтителен?
Контейнеры создает не ЦС, а пользователь, который создает запрос на сертификат. В частности, при использовании веб интерфейса службы сертификации MS этим занимается компонент ActiveX XEnroll
20.11.2006 14:52:19bard
Спасибо за ответ. В данном случае под фразой "при помощи вашего ПО" я не имел ввиду, что хочу это сделать функциями криптопровайдера. Я хотел спросить, можно ли поместить существующую в pfx ключевую пару в контейнер при помощи графического интерфейса КриптоПро CSP. Наше ПО, в сущности, и так с КриптоПро прекрасно работает, непонятно лишь как контейнеры создавать. Я с этим не сталкивался еще, только с обычными файликами pfx.
Из вашего ответа понял, что контейнер - вещь стандартная, не специфичная для КриптоПро. Буду пробовать дальше.
24.11.2006 10:17:59bard
Нет, что-то никак не получается. КриптоПРО предлагает пользователям свой собственный ЦС? Я беру обычный ЦС Microsoft и никак не выходит у меня создать такой же контейнер, как создает ваш тестовый ЦС. Похоже, нужно что-то дополнительное? Что? У меня установлен КриптоПро CSP 3.0 и стандартный ЦС Microsoft. Что мне еще требуется для создания контейнера с ключом (например, на дискете)?
Будьте добры, объясните или дайте ссылочку на соответствующие документы. Нам нужно определить, работает ли наш програмный продукт с КриптоПро (в части ЭЦП) и можно ли его рекомендовать нашим клиентам. Уже выяснили, что работает. Но остался открытым вопрос - как работать с этими контейнерами без вашего тестового ЦС.
24.11.2006 11:10:41Kirill Sobolev
Да, предлагает, http://www.cryptopro.ru/cryptopro/products/cc/default.htm
Вы MS CA устанавливали в соответствии с http://www.cryptopro.ru/cryptopro/solutions/ca.htm?
24.11.2006 12:35:31bard
Да. При установке я указал использование криптопровайдера КриптоПро CSP. В результате у меня на дискете создался контейнер с именем центра сертификации. При попытке просмотреть сертификаты в контейнере (при помощи ПО CryptoPro CSP) - пишет, что в контейнере отсутствуют сертификаты.

И вот что интересно - когда я пытаюсь сгенерировать какой-либо ключ этим ЦС от Microsoft, то в списке криптопровайдеров - КриптоПро нет. Т.е. криптопровайдер явно установлен, но выбрать его почему-то не предлагается.

В документе по вашей ссылке написано: "При установке ПО Microsoft Certification Authority установите флаг "Дополнительные возможности". При наличии этого флага можно выбрать криптопровайдер КриптоПро CSP (Crypto-Pro Cryptographic Service Provider) для формирования ключа и сертификата Центра."

Все так, действительно - для формирования ключа и сертификата центра - можно выбрать ваш CSP. А при формировании ключей для пользователей при помощи этого MS CA - не дает выбирать этот CSP.
24.11.2006 12:38:02bard
Судя по всему, контейнер создается тогда, когда ключ я формирую вашим CSP. И если бы я смог в своем MS CA его выбрать, то все было бы, похоже, в порядке. Но нет его в списке - вот в чем загвоздка-то.
24.11.2006 13:44:30Kirill Sobolev
Мб дело в этом?
http://www.cryptopro.ru/cryptopro/products/csp/faq.htm#6
24.11.2006 14:59:07bard
Большое, спасибо. дело было действительно в этом. Теперь все работает