| ||||
| ||||
Добрый день уважаемые ! У меня следующая ситуация. Руководство поручило исследовать возможности CryptoPro с целью его внедрения. Вот что я на данный момент сделал: 1) Установил CryptoPro на сервер с Microsoft CA 2) Запросил сертификат, у которого в качестве криптопровайдера выбрал CryptoPro 3) Установил сертификат (в качестве контейнера использован реестр) 4) в Outlook (2003) открыл Tools -> Options -> Security -> Settings и подключил свой сертификат для шифрования и подписи. 5) экспортировал открытый ключ и от имени другого пользователя отправил себе зашифрованное этим ключом сообщение. 6) Пытаюсь открыть это сообщение в Outlook и получаю следующую ошибку "Your Digital ID name can not be found by the underlying security system". Я не могу импортировать Digital ID, т.к. CryptoPro не позволяет экспортировать закрытый ключ в файл... как быть ? или я что-то делаю не так ? В вашем руководстве ничего не написано про Digital ID.. | ||||
Ответы: | ||||
| ||||
Вот руководство по работе с почтовыми клиентами http://www.cryptopro.ru/CryptoPro/documentation/pdf/smime.pdf | ||||
| ||||
Дело в том, что то что написано в этой документации я уже сделал. Но мне выдается ошибка, связанная с Digital ID. У вас ничего про это не написано. В случае обычных сертификатов (не Crypto Pro) я экспортировал закрытый ключ в файл и потом импортировал его в Outlook как Digital ID. В случае с Crypto Pro это сделать нельзя, потому что по вашмм правилам нельзя экспортировать закрытый ключ в файл. Как быть ? | ||||
| ||||
А Ваш сертификат установлен в Личных? | ||||
| ||||
Да, конечно же. Вот что у меня на данный момент есть: Я установил для своего аккаунта два сертификата: у одно в качестве криптопровайдера - Microsoft CSP, у другого - Crypto Pro. Все сведения в сертификатах абсолютно идентичны. Запрашивал через веб-форму Microsoft CA. Отправляю себе письмо от имени другого пользователя: 1) если шифрую открытым ключом от сертификата с криптопровайдером Microsoft,все отлично, письмо открывается и я его читаю 2) если шифрую открытым ключом от сертификата с Crypto Pro, то при открытии письма у меня идет запрос пароля на доступ к контейнеру (в моем случае это реестр), после ввода пароля выдется выше упомянутся ошибка про Digital ID. :( | ||||
| ||||
Версия CSP и ОС? | ||||
| ||||
ОС - Microsoft Windows Server 2003 Enterprise На нем стоит CA и на нем же я поставил Outlook 2003 для чтения почты (тестовый стенд). Почта пересылается через почтовик Postfix, установленный на другом Linux-сервере (SuSe 10 Prof). Криптопровайдер у сертификата - Crypto Pro GOST R 34.10-2001 KC1 CSP | ||||
| ||||
"Digital ID" - это всего-навсего сертификат с привязкой к ключевому контейнеру. Сообщение о том, что Digital ID нет может быть в случаях, если 1) отправитель использовал для шифрования не тот сертификат 2) ваш сертификат не установлен в хранилище "Личные" с привязкой к контейнеру ключа 3) нет доступа к контейнеру секретного ключа (в т.ч. если неправильный пароль) И ещё - сообщите, разные ли алгоритмы открытого ключа в сертификатах: 1) вашем и корневом MS CA 2) вашем и в сертификате отправителя (настроенном в клиенте как его сертификат шифрования) | ||||
| ||||
И ещё - сообщите, разные ли алгоритмы открытого ключа в сертификатах: 1) вашем и корневом MS CA 2) вашем и в сертификате отправителя (настроенном в клиенте как его сертификат шифрования) под "вашем" вы понимаете сертификат выданный пользователю для шифрования почты ? если да, то в качестве криптопровайдера сертификата как я уже сказал я выбрал Crypto Pro. А сертификат самого CA создавался при установке и был использован стандартный Microsoft CSP. Сертификат отправителя был мной получен простым экспортированием открытого ключа в файл. | ||||
| ||||
под "сертификат отправителя" я имел ввиду сертификат, который был мной использован для шифрования почты | ||||
| ||||
> Сертификат отправителя был мной получен простым экспортированием открытого ключа в файл Не понял эту фразу. Давайте по порядку. 1. Есть отправитель А, у него должен быть сертификат (А) с секретным ключом, настроенный в почтовом клиенте как сертификат подписи и как сертификат шифрования. 2. Есть получатель Б, у него должен быть сертификат (Б) с секретным ключом, настроенный в почтовом клиенте как сертификат подписи и как сертификат шифрования. 3. Б передаёт А свой сертификат, А добавляет его в контакт. 4. А зашифровывает письмо в адрес Б с использованием сертификата из контакта. Так вот, разные ли алгоритмы в сертификатах А и Б? | ||||
| ||||
Большое спасибо всем за помощь. Проблема решена. Я переустановил CA, используя Crypto Pro в качестве криптопровайдера для CA. Теперь все замечательно отправляется и читается :) | ||||