21.11.2006 14:41:09CryptoPro и Outlook 2003 Ответов: 11
Александр
Добрый день уважаемые !

У меня следующая ситуация. Руководство поручило исследовать возможности CryptoPro с целью его внедрения.
Вот что я на данный момент сделал:
1) Установил CryptoPro на сервер с Microsoft CA
2) Запросил сертификат, у которого в качестве криптопровайдера выбрал CryptoPro
3) Установил сертификат (в качестве контейнера использован реестр)
4) в Outlook (2003) открыл Tools -> Options -> Security -> Settings и подключил свой сертификат для шифрования и подписи.
5) экспортировал открытый ключ и от имени другого пользователя отправил себе зашифрованное этим ключом сообщение.
6) Пытаюсь открыть это сообщение в Outlook и получаю следующую ошибку "Your Digital ID name can not be found by the underlying security system".
Я не могу импортировать Digital ID, т.к. CryptoPro не позволяет экспортировать закрытый ключ в файл... как быть ? или я что-то делаю не так ?

В вашем руководстве ничего не написано про Digital ID..


 
Ответы:
21.11.2006 17:26:16Kirill Sobolev
Вот руководство по работе с почтовыми клиентами
http://www.cryptopro.ru/CryptoPro/documentation/pdf/smime.pdf
22.11.2006 10:29:17Александр
Дело в том, что то что написано в этой документации я уже сделал. Но мне выдается ошибка, связанная с Digital ID. У вас ничего про это не написано. В случае обычных сертификатов (не Crypto Pro) я экспортировал закрытый ключ в файл и потом импортировал его в Outlook как Digital ID. В случае с Crypto Pro это сделать нельзя, потому что по вашмм правилам нельзя экспортировать закрытый ключ в файл. Как быть ?
22.11.2006 10:57:22Kirill Sobolev
А Ваш сертификат установлен в Личных?
22.11.2006 11:50:25Александр
Да, конечно же. Вот что у меня на данный момент есть:

Я установил для своего аккаунта два сертификата:
у одно в качестве криптопровайдера - Microsoft CSP, у другого - Crypto Pro.
Все сведения в сертификатах абсолютно идентичны. Запрашивал через веб-форму Microsoft CA.
Отправляю себе письмо от имени другого пользователя:
1) если шифрую открытым ключом от сертификата с криптопровайдером Microsoft,все отлично, письмо открывается и я его читаю
2) если шифрую открытым ключом от сертификата с Crypto Pro, то при открытии письма у меня идет запрос пароля на доступ к контейнеру (в моем случае это реестр), после ввода пароля выдется выше упомянутся ошибка про Digital ID. :(
22.11.2006 11:59:36Kirill Sobolev
Версия CSP и ОС?
22.11.2006 12:04:35Александр
ОС - Microsoft Windows Server 2003 Enterprise
На нем стоит CA и на нем же я поставил Outlook 2003 для чтения почты (тестовый стенд).
Почта пересылается через почтовик Postfix, установленный на другом Linux-сервере (SuSe 10 Prof).
Криптопровайдер у сертификата - Crypto Pro GOST R 34.10-2001 KC1 CSP
22.11.2006 12:22:42Василий
"Digital ID" - это всего-навсего сертификат с привязкой к ключевому контейнеру.
Сообщение о том, что Digital ID нет может быть в случаях, если
1) отправитель использовал для шифрования не тот сертификат
2) ваш сертификат не установлен в хранилище "Личные" с привязкой к контейнеру ключа
3) нет доступа к контейнеру секретного ключа (в т.ч. если неправильный пароль)

И ещё - сообщите, разные ли алгоритмы открытого ключа в сертификатах:
1) вашем и корневом MS CA
2) вашем и в сертификате отправителя (настроенном в клиенте как его сертификат шифрования)
22.11.2006 13:01:18Александр
И ещё - сообщите, разные ли алгоритмы открытого ключа в сертификатах:
1) вашем и корневом MS CA
2) вашем и в сертификате отправителя (настроенном в клиенте как его сертификат шифрования)

под "вашем" вы понимаете сертификат выданный пользователю для шифрования почты ? если да, то в качестве криптопровайдера сертификата как я уже сказал я выбрал Crypto Pro. А сертификат самого CA создавался при установке и был использован стандартный Microsoft CSP.

Сертификат отправителя был мной получен простым экспортированием открытого ключа в файл.
22.11.2006 13:02:26Александр
под "сертификат отправителя" я имел ввиду сертификат, который был мной использован для шифрования почты
22.11.2006 13:26:37Василий
> Сертификат отправителя был мной получен простым экспортированием открытого ключа в файл

Не понял эту фразу.

Давайте по порядку.
1. Есть отправитель А, у него должен быть сертификат (А) с секретным ключом, настроенный в почтовом клиенте как сертификат подписи и как сертификат шифрования.
2. Есть получатель Б, у него должен быть сертификат (Б) с секретным ключом, настроенный в почтовом клиенте как сертификат подписи и как сертификат шифрования.
3. Б передаёт А свой сертификат, А добавляет его в контакт.
4. А зашифровывает письмо в адрес Б с использованием сертификата из контакта.

Так вот, разные ли алгоритмы в сертификатах А и Б?
22.11.2006 14:52:15Александр
Большое спасибо всем за помощь. Проблема решена.
Я переустановил CA, используя Crypto Pro в качестве криптопровайдера для CA. Теперь все замечательно отправляется и читается :)