Статус: Новичок
Группы: Участники
Зарегистрирован: 30.10.2020(UTC) Сообщений: 3  Сказал(а) «Спасибо»: 1 раз
|
Добрый день! У нас группа компаний. Часть компаний сдает отчетность через Астрал-Отчет и с ключами в VipNet. Часть - в Криптопро Потребовалось подключить сервис 1С-ЭДО. Для единообразия решил все ключи переделать на КриптоПро. Из Випнета по этой инструкциии https://support.cryptopr...pnet-csp-v-kriptopro-csp ключ экспортировал в pfx файл. И даже импортировал его (вроде как) в Крипто Про. Но теперь при проверке сертификатов в 1С получаю ошибку: "Не удалось пройти проверку подписания на компьютере по причине: КриптоПро CSP (ГОСТ 2012/256): Сертификат, связанный с закрытым ключом, указывает на модуль криптографии, отличный от текущего. Сертификат связан с модулем криптографии "Microsoft Software Key Storage Provider" с типом 0." Я в ключах плохо разбираюсь. Можно ли все-таки как-то перейти на КриптоПро с ВипНета или же ключ привязан к Випнету и возможно только новый выпустить, но уже в КриптоПро?
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
|
Добрый день. Можно технически (зависит от совместимости конкретных версий КриптоПро и Випнет) - пробовал на одном сертификате с целью обойтись одним КриптоПро на компьютере. Правда я делал перевод pfx в контейнер через батник и p12util. Код:p12util.x64.exe -p12tocp -rdrfolder f:\ -contname 888888 -ex -passcp 1234 -passp12 12345678 -infile d:\2019.pfx
Однако это незаконно в том смысле, что согласно ФЗ форма квалифицированного сертификата утверждена отдельно соответствующим органом. В утвержденной приказом ФСБ форме квалифицированного сертификата есть поле СКЗИ субъекта. Если Вы изначально получали ключ для Випнета, то в этом поле СКЗИ субъекта в сертификате указан Випнет. Когда Вы переносите ключ в КриптоПро, но используете тот же сертификат для Випнета, возникает несоответствие используемого СКЗИ и СКЗИ указанного в сертификате. Естественно удаленно никто этого не обнаружит, но любая проверка на месте дает возможность усомниться в юридической значимости подписанных документов. Соответственно возникает проблема с корректной регистрацией контейнера в журнале и т.д. Поэтому работать-то конечно будет, но при любой проверке нужно будет предъявить именно Випнет и скрывать переделанный контейнер. Несоответствие конечно можно устранить, если выпустить сертификат уже с указанием СКЗИ "КриптоПро", но обычно такой опции смены указания СКЗИ у УЦ нет. Если же прислать новый запрос с тем же открытым ключом на тот же УЦ, запрос по законодательству обязаны отклонить и отозвать "старый" сертификат. Поэтому скорее всего придется посылать модифицированный запрос на другой УЦ (+требование совместимости с 1с-ЭДО), а это по сути будет то же самое, что заказать сертификат за новые деньги. По технической части: укажите версии КриптоПро CSP и Випнет CSP, также желательно проверить, что в сертификате не прописано какой-то лишней информации о старом контейнере Випнет (у меня не было, но вдруг на новой версии Випнета что-то добавлено). Что значит "даже импортировал его (вроде как) в Крипто Про"? КриптоПро видит вновь созданный контейнер (имя обычно абракадаброй, когда не через p12util)? Судя по сообщению, предположу что что-то не так при установке сертификата в хранилище сертификатов, похоже ссылка на контейнер неправильная. Нужно переустановить с привязкой именно к новому контейнеру, убедившись что выбран криптопровайдер для гост-2012. Отредактировано пользователем 31 октября 2020 г. 6:49:39(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 30.10.2020(UTC) Сообщений: 3 Сказал(а) «Спасибо»: 1 раз
|
В свойствах сертификата прописано:
Средство электронной подписи: СКЗИ "ViPNet CSP", версия 4.2
Средство электронной подписи: "Средство криптографической защиты информации ViPNet CSP 4.2" (вариант исполнения 2)
Заключение на средство ЭП: СФ/124-3433 от 06 июля 2018 г.
Средство УЦ: Программный комплекс "ViPNet Удостоверяющий центр 4 (версия 4.6)"
Заключение на средство УЦ: СФ/118-3510 от 25 октября 2018 г.
Я думаю, это многое и определяет. И в 1С ошибка об этом и говорит - другой (не КриптоПро) модуль криптографии.
Попробую сейчас разобраться - возможно ли тогда выпустить новый сертификат без засылания генерального в контору по выдаче.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз
Поблагодарили: 706 раз в 614 постах
|
Приложите вывод certmgr.exe -list |
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
|
Цитата:Я думаю, это многое и определяет. Нет, конкретно эти строки не влияют на привязку контейнера. Из них юридическая проблема в первой строке (которая отдельно и без заключения). Четыре строки (среди которых заключения) - нормальны, так как УЦ Випнет может подписать запрос на сертификат, сделанный на КриптоПро и наоборот. При этом есть несколько технических моментов с выпуском сертификата, но юридически все ок и в готовом сертификате все ок. Сравните с сертификатом самого УЦ, там у Минкомсвязи чуть ли не "единственное своем роде изделие", которое выдает сертификаты самым разным средствам УЦ. Я спрашивал про всякие посторонние расширения (у которых как будто не показывается значение или показывается информационное сообщение вместо полного значения). Это означает, что стандартное CryptoApi их не распознало и внутри может быть какая-то специфическая скрытая информация (например, привязка или лицензия).
|
 1 пользователь поблагодарил two_oceans за этот пост.
|
Zebar оставлено 03.11.2020(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 30.10.2020(UTC) Сообщений: 3 Сказал(а) «Спасибо»: 1 раз
|
В общем, мы проблему решили, и вообще третьим путем.
Рассматривали варианты такие:
Переоформление сертификата по безбумажной технологии и без выезда - просто с Випнета на КриптоПро. В Астрале нам сказали: "Криптопровайдер входит в структуру сертификата,поэтому требуется перевыпуск по бумажной схеме с личным визитом пользователя."
Другой вариант - это именно перетащить сертификат. Но там юридические проблемы, как было ранее озвучено, поэтому совсем глубже копать не стал.
А решение получилось вообще не оттуда - нашли КриптоПрошный ключ, оформленный для других целей у другого СЦ. Этот ключ подошел, мы его теперь используем.
В любом случае, спасибо Вам за помощь!
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
