Статус: Участник
Группы: Участники
Зарегистрирован: 28.10.2019(UTC) Сообщений: 10
|
root@srv-ids-01:/opt/cprocsp/bin/amd64# keytool -J-Dkeytool.compat=true -J-Duse.cert.stub=true -certreq -alias serverEncryptKey2020 -providername JCSP -keypass ***** -storetype HSMDB -keystore NONE -storepass 1 -sigalg GOST3411_2012_256withGOST3410_2012_256 -file 1.req окт 29, 2019 5:24:53 PM ru.CryptoPro.JCSP.MSCAPI.cl_6 enumInstalledProviders WARNING: Provider with type of 24 not found. окт 29, 2019 5:24:54 PM ru.CryptoPro.JCSP.MSCAPI.cl_6 enumInstalledProviders WARNING: Provider with type of 24 not found. окт 29, 2019 5:25:00 PM ru.CryptoPro.JCSP.Starter check INFO: Loading JCSP 5.0.40055 окт 29, 2019 5:25:00 PM ru.CryptoPro.JCSP.Starter check INFO: JCSP loaded. keytool error: java.lang.Exception: serverEncryptKey2020 has no public key (certificate)
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,910 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 685 раз в 646 постах
|
Автор: Малыгин Н. Попробовали после переустановки КриптоПРО сгенерировать новые контейнеры командой: keytool -J-Dkeytool.compat=true -genkey -alias serverSignKey2019 -keysize 512 -providername JCSP -storetype HSMDB -dname CN=serverSignKey2019,O=IDSystems,C=RU -keystore NONE -storepass 1 -keyalg GOST3410_2012_256 -sigalg GOST3411_2012_256withGOST3410_2012_256 -keypass ****** Теоретически, возможно, что проблема в невозможности использовать ДСЧ локального провайдера, т.к. в случае keytool контейнер сначала создается локально. |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,910 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 685 раз в 646 постах
|
Автор: n.matveev_1 keytool -J-Dkeytool.compat=true -J-Duse.cert.stub=true -certreq -alias serverEncryptKey2020 -providername JCSP -keypass ***** -storetype HSMDB -keystore NONE -storepass 1 -sigalg GOST3411_2012_256withGOST3410_2012_256 -file 1.req Создал контейнер так: /opt/cprocsp/bin/amd64/csptest -keyset -newkeyset -provider 'Crypto-Pro GOST R 34.10-2012 HSM CSP' -provtype 80 -cont '\\.\HSMDB\serverEncryptKey2020' -password 12345678 -keytype exchange А запрос: /home/user/jdk1.8.0_211/jre/bin/keytool -J-Dkeytool.compat=true -J-Duse.cert.stub=true -certreq -alias serverEncryptKey2020 ::::12345678 -providername JCSP -keypass 12345678 -storetype HSMDB -keystore NONE -storepass 1 -sigalg GOST3411_2012_256withGOST3410_2012_256 -file /home/user/1.req |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 28.10.2019(UTC) Сообщений: 10
|
создал контейнер:
root@srv-ids-01:/opt/cprocsp/bin/amd64# ./csptest -keyset -newkeyset -provider 'Crypto-Pro GOST R 34.10-2012 HSM CSP' -provtype 80 -cont '\\.\HSMDB\serverEncryptKey2022' -password 123456 -keytype exchange CSP (Type:80) v5.0.10001 KB2 Release Ver:5.0.10001 OS:Linux CPU:AMD64 FastCode:READY:SSSE3. AcquireContext: OK. HCRYPTPROV: 41577619 GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 HSM CSP Container name: "serverEncryptKey2022" Exchange key is not available. Attempting to create an exchange key... an exchange key created. Keys in container: exchange key Extensions: OID: 1.2.643.2.2.37.3.10 PrivKey: Not specified - 29.10.2022 11:40:51 (UTC) Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,350 sec [ErrorCode: 0x00000000]
По нему создал запрос на получение открытого ключа:
кт 29, 2019 7:17:58 PM ru.CryptoPro.JCSP.MSCAPI.cl_6 enumInstalledProviders WARNING: Provider with type of 24 not found. окт 29, 2019 7:17:59 PM ru.CryptoPro.JCSP.MSCAPI.cl_6 enumInstalledProviders WARNING: Provider with type of 24 not found. окт 29, 2019 7:18:04 PM ru.CryptoPro.JCSP.Starter check INFO: Loading JCSP 5.0.40055 окт 29, 2019 7:18:04 PM ru.CryptoPro.JCSP.Starter check INFO: JCSP loaded.
Получил открытый ключ, пытаюсь установить сертификата открытого ключа в контейнер ключевой пары:
oot@srv-ids-01:/opt/cprocsp/bin/amd64# keytool -J-Dkeytool.compat=true -J-Duse.cert.stub=true -import -alias serverEncryptKey2022::::123456 -providername JCSP -keypass 123456 -storetype HSMDB -keystore NONE -storepass 1 -file /home/iduser/certnew.p7b окт 29, 2019 7:30:20 PM ru.CryptoPro.JCSP.MSCAPI.cl_6 enumInstalledProviders WARNING: Provider with type of 24 not found. окт 29, 2019 7:30:21 PM ru.CryptoPro.JCSP.MSCAPI.cl_6 enumInstalledProviders WARNING: Provider with type of 24 not found. окт 29, 2019 7:30:27 PM ru.CryptoPro.JCSP.Starter check INFO: Loading JCSP 5.0.40055 окт 29, 2019 7:30:27 PM ru.CryptoPro.JCSP.Starter check INFO: JCSP loaded.
Top-level certificate in reply:
Owner: CN=CRYPTO-PRO Test Center 2, O=CRYPTO-PRO LLC, L=Moscow, C=RU, EMAILADDRESS=support@cryptopro.ru Issuer: CN=CRYPTO-PRO Test Center 2, O=CRYPTO-PRO LLC, L=Moscow, C=RU, EMAILADDRESS=support@cryptopro.ru Serial number: 37418882f539a5924ad44e3de002ea3c Valid from: Mon May 27 10:24:26 MSK 2019 until: Sun May 26 10:34:05 MSK 2024 Certificate fingerprints: MD5: F5:2C:78:8B:6F:76:BB:83:4F:EA:A7:0F:36:FB:CE:71 SHA1: CD:32:1B:87:FD:AB:B5:03:82:9F:88:DB:68:D8:93:B5:9A:7C:5D:D3 SHA256: 82:32:83:BA:8C:EB:BE:4E:B8:63:AF:ED:34:0D:CE:19:F5:9F:50:C6:95:67:2A:44:D8:83:73:E7:28:B5:B4:0D Signature algorithm name: 1.2.643.2.2.3 Subject Public Key Algorithm: -1-bit GOST3410EL key Version: 3
Extensions:
#1: ObjectId: 1.3.6.1.4.1.311.21.1 Criticality=false 0000: 02 03 01 00 01 .....
#2: ObjectId: 1.3.6.1.4.1.311.21.2 Criticality=false 0000: 04 14 04 62 55 29 0B 0E B1 CD D1 79 7D 9A B8 C8 ...bU).....y.... 0010: 1F 69 9E 36 87 F3 .i.6..
#3: ObjectId: 2.5.29.19 Criticality=true BasicConstraints:[ CA:true PathLen:2147483647 ]
#4: ObjectId: 2.5.29.15 Criticality=false KeyUsage [ DigitalSignature Key_CertSign Crl_Sign ]
#5: ObjectId: 2.5.29.14 Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: 4E 83 3E 14 69 EF EC 5D 7A 95 2B 5F 11 FE 37 32 N.>.i..]z.+_..72 0010: 16 49 55 2B .IU+ ] ]
... is not trusted. Install reply anyway? [no]: yes keytool error: java.security.AccessControlException: ProvParam ERROR: 0x80090022
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,910 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 685 раз в 646 постах
|
0x80090022 - Поставщик не смог выполнить действие, поскольку контекст был получен как "тихий". CSP-провайдер не может вывести некое окно в данном режиме (этот режим - silent - используется по умолчанию). Попробуйте сделать это другими средствами, например, в панели JCP (Управление ключами и сертификатами) или программно: Код:
X509Certificate cert = CertificateFactory.getInstance("X.509").generateCertificate("/home/iduser/certnew.cer");
KeyStore keyStore = KeyStore.getInstance("HSMDB", "JCSP");
keyStore.load(null, null);
keyStore.setCertificateEntry("serverEncryptKey2022::::123456", cert);
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.08.2018(UTC) Сообщений: 32 Сказал(а) «Спасибо»: 6 раз
|
Автор: Евгений Афанасьев Автор: Малыгин Н. На второй машине, с которой производился обмен шифрованными данными, также стояла версия java csp 5.0.40424, но на ней не проходило шифрование на открытом ключе, сгенерированном на первой машине.
Нужно с этим разобраться. Какие были ошибки? Ошибка была следующая: Caused by: ru.CryptoPro.CAdES.exception.EnvelopedException: Wrong key usage at ru.CryptoPro.CAdES.EnvelopedSignature.addKeyAgreeRecipient(Unknown Source) at ru.id_sys.ds_server.crypto.CryptTools.crypt(CryptTools.java:72) at ru.id_sys.prebiote.model.ClientData.getEncryptedData(ClientData.java:238) ... 53 more
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,910 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 685 раз в 646 постах
|
В сертификате получателя отсутствовало "Шифрование ключей" в "Использовании ключа". |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.08.2018(UTC) Сообщений: 32 Сказал(а) «Спасибо»: 6 раз
|
Ключевую пару генерировали командой: keytool -J-Dkeytool.compat=true -genkey -alias serverEncryptKey2019 -keysize 512 -providername JCSP -storetype HSMDB -dname CN=DSServerEncryptKey2019,O=IDSystems,C=RU -keystore NONE -storepass 1 -keyalg GOST3410DH_2012_256 -sigalg GOST3411_2012_256withGOST3410_2012_256 -keypass ******
Ранее генерировали точно таким же образом, и шифрование на сертификате открытого ключа проходило. Единственная разница была в версии Java CSP (и то в номере релиза). Разве указание -keyalg GOST3410DH_2012_256 не подразумевает, что ключ предназначен для шифрования по алгоритму Диффи-Хеллмана? Где можно посмотреть, подходит ли сертификат для шифрования?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,910 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 685 раз в 646 постах
|
Автор: Малыгин Н. Где можно посмотреть, подходит ли сертификат для шифрования? В использовании ключа (KeyUsage) в сертификате. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.08.2018(UTC) Сообщений: 32 Сказал(а) «Спасибо»: 6 раз
|
Вот файл сертификата (он просрочен, знаю, но раньше использовался). Как определить, подходит ли он для шифрования? clientEncryptKey.zip (1kb) загружен 4 раз(а).
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close