Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline nikolaev  
#11 Оставлено : 27 июня 2019 г. 17:56:59(UTC)
nikolaev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.05.2016(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 5 раз в 5 постах
Добрый день.

Попробуйте вызвать p12util с параметрами -noMACVerify и -noCPKM сначала по отдельности, потом вместе.
Offline shade777  
#12 Оставлено : 27 июня 2019 г. 19:23:06(UTC)
shade777

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.11.2015(UTC)
Сообщений: 3

Автор: nikolaev Перейти к цитате
Добрый день.

Попробуйте вызвать p12util с параметрами -noMACVerify и -noCPKM сначала по отдельности, потом вместе.


Добрый день, не помогло :(

поигрался с параметрами OpenSSL - тот же результат:
Цитата:
openssl pkcs12 -engine gost -export -in cert.crt -inkey cert.key -certfile ca.pem -keypbe gost89 -certpbe gost89 -macalg md_gost94 -out out.pfx
openssl pkcs12 -engine gost -export -in cert.crt -inkey cert.key -certfile ca.pem -keypbe gost89 -certpbe gost89 -out out.pfx
openssl pkcs12 -engine gost -export -in cert.crt -inkey cert.key -certfile ca.pem -out out.pfx


Вот certmgr.exe

Цитата:
C:\Program Files\Crypto Pro\CSP>certmgr.exe -inst -pfx -keep_exportable -pin "1234567890" -file "out.pfx"
Certmgr 1.1 (c) "Crypto-Pro", 2007-2019.
program for managing certificates, CRLs and stores

Error while importing pfx

An error occurred during encode or decode operation.

[ErrorCode: 0x80092002]
Offline two_oceans  
#13 Оставлено : 28 июня 2019 г. 5:18:52(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Тоже не очень понимаю эту головоломку. У меня конкретно был случай, что несколько лет назад перевел ключ гост-2001 в pem формат и использовал для внутреннего УЦ на основе openssl. Потом вышла gostengy и там была возможность работать именно с контейнером КриптоПро без перевода и openssl 1.1.0 стала формировать ОГРН ИНН правильно. Вот только исходный контейнер/pfx уже утерялись/уничтожены и перевести ключ в контейнер снова у меня не вышло. Однако перескажу, что мне отвечали в процессе: для pfx по требованиям ТК26 нужно использовать утилиту p12tocp. Как сформировать по требованиям ТК26 в openssl так и осталось для меня загадкой - с учетом вывода гост-2001 это уже стало не так актуально.

Для certmgr.exe в то же время используется собственный алгоритм КриптоПро не по требованиям TK 26, а с непонятным для openssl оидом, в нем как я понял фактически используются не только гост, а еще и зарубежные алгоритмы. Поэтому скорее всего экспортировав pfx с алгоритмами гост, импортировать такой pfx в certmgr не выйдет в принципе.

С p12tocp шансов на успех больше. На днях тут на форуме мелькнула новая версия утилиты, возможно она подойдет.
Offline nikolaev  
#14 Оставлено : 28 июня 2019 г. 14:00:48(UTC)
nikolaev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.05.2016(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 5 раз в 5 постах
shade777, а у Вас свежая версия утилиты? Если нет - скачайте свежую и попробуйте её. Если таки свежая - пришлите, пожалуйста, тестовый pfx контейнер.

two_oceans, certmgr, действительно, производит экспорт pfx только специального формата. Контейнеры ТК26 при этом могут быть импортированы.
Offline two_oceans  
#15 Оставлено : 1 июля 2019 г. 12:50:42(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Автор: nikolaev Перейти к цитате
two_oceans, certmgr, действительно, производит экспорт pfx только специального формата. Контейнеры ТК26 при этом могут быть импортированы.
Спасибо за уточнение, приму к сведению.

Offline mefimov  
#16 Оставлено : 10 января 2022 г. 9:33:07(UTC)
mefimov

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.01.2022(UTC)
Сообщений: 3
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Добрый день!
Какие в итоге должны быть параметры openssl при создании pfx файла, чтобы можно было успешно сконвертировать через утилиту p12tocp?
С текущей версией утилиты получаю всё ту же ошибку
Код:
Failed to open PKCS#12 key container file.
Failed while executing
Offline two_oceans  
#17 Оставлено : 10 января 2022 г. 12:31:00(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Добрый день. Попробовать все не было нужды но вроде как шифрование гост-89, хэши гост-2012 512. Однако у утилиты есть еше и параметры для пропуска проверок -noCPKM -noMACVerify , поэтому в теории можно вытащить ключи и из старых версий, которые гост-2012 не умеют. Вот такой пример был в том сообщении.

Код:
openssl pkcs12 -engine gost -export -inkey seckey.pem -in cert.pem -out pkcs12.p12 -password pass:12345 -keypbe gost89 -certpbe gost89 -macalg md_gost12_512

Отредактировано пользователем 10 января 2022 г. 20:13:10(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
mefimov оставлено 10.01.2022(UTC)
Offline mefimov  
#18 Оставлено : 10 января 2022 г. 12:51:04(UTC)
mefimov

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.01.2022(UTC)
Сообщений: 3
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
@two_oceans, спасибо за ответ, но понятней не стало. "В теории" может и должно работать, но на практике пока не получается.
Генерирую pfx файл следующим набором команд:
Код:

$ /usr/local/bin/openssl version
OpenSSL 1.1.1g  21 Apr 2020
$ /usr/local/bin/openssl engine
(dynamic) Dynamic engine loading support
(gost) Reference implementation of GOST engine

$ /usr/local/bin/openssl genpkey -algorithm gost2012_512 -pkeyopt paramset:A -out gost-key-2.pem
$ /usr/local/bin/openssl req -x509 -nodes -days 10000 -key gost-key-2.pem -out gost-cert-2.pem
$ /usr/local/bin/openssl pkcs12 -engine gost -export -inkey gost-key-2.pem -in gost-cert-2.pem -name gost-cryptopro -out gost.pfx

Затем передаю pfx файл утилите (пробовал и с -noMACVerify и с -noCPKM в разных комбинациях - результат одинаковый)
Код:

p12util.x64.exe -p12tocp -rdrfolder . -infile .\gost.pfx -contname gost -ex -passp12 PASSWORD -passcp PASSWORD -noCPKM -noMACVerify
Failed to open PKCS#12 key container file.
Failed while executing.
Offline two_oceans  
#19 Оставлено : 10 января 2022 г. 13:31:05(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
В сообщении выше добавлен пример строки. Его не пробовали?
thanks 1 пользователь поблагодарил two_oceans за этот пост.
mefimov оставлено 10.01.2022(UTC)
Offline mefimov  
#20 Оставлено : 10 января 2022 г. 13:52:08(UTC)
mefimov

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.01.2022(UTC)
Сообщений: 3
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Там в команде не хватает pkcs12 перед -engine
Получилось, спасибо!
А как теперь этот контейнер импортировать в cryptopro?
Код:
10.01.2022  13:54                68 primary2.key
10.01.2022  13:54                88 masks2.key
10.01.2022  13:54               893 header.key
10.01.2022  13:54                88 masks.key
10.01.2022  13:54                68 primary.key
10.01.2022  13:54                 8 name.key


Update: Разобрался, ответ здесь. Ещё раз спасибо!

Отредактировано пользователем 10 января 2022 г. 14:29:21(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил mefimov за этот пост.
two_oceans оставлено 10.01.2022(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.