Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline DaramPamPym  
#1 Оставлено : 15 февраля 2021 г. 11:00:10(UTC)
DaramPamPym

Статус: Участник

Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 13

Сказал(а) «Спасибо»: 3 раз
Добрый день!
В оснастке КриптоПро CSP имеется функционал "Скопировать контейнер" который позволяет конечному пользователю выполнить копирование всего контейнера. Я так понимаю, обработка происходит свойства "экспорт ключа" (байты 05 a0)
Вопрос, - как максимально оптимально сменить у контейнера это свойство на "запрещён"? Чтобы пользователи не могли скопировать контейнер через интерфейс Крипто Про.

Хотелось бы одной строкой:
csptest.exe -keycopy -contsrc "\\.\HDIMAGE\xxx" -contdest "\\.\HDIMAGE\xxx - new"
Но при копировании все свойства переносятся полностью, а ключики -exportable и даже -protected не подходят :( ...
Подскажите как оптимальнее? Сменить свойство копированием? Или элегантнее пересозданием контейнера?
Offline Санчир Момолдаев  
#2 Оставлено : 22 февраля 2021 г. 10:40:01(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
Добрый день!
штатных средств нет.
разве что в windows при импорте pfx можно пометить контейнер неэкспортируемым
Техническую поддержку оказываем тут
Наша база знаний
Offline DaramPamPym  
#3 Оставлено : 24 февраля 2021 г. 11:21:51(UTC)
DaramPamPym

Статус: Участник

Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 13

Сказал(а) «Спасибо»: 3 раз
Автор: Санчир Момолдаев Перейти к цитате
Добрый день!
штатных средств нет.
разве что в windows при импорте pfx можно пометить контейнер неэкспортируемым


Добрый день.
Вот примерно в эту сторону мысль есть, но немного не понятно, как сделать это в консоли.
Я так понимаю, в Крипто Про очень похожий инструмент для решения моей задачи есть.
Пробую:
1. Экспортирую ключ
.\certmgr.exe -export -pfx -container "\\.\HDIMAGE\oldcont" -dest "C:\Users\user\work folders\desktop\cert.pfx"
Т.е. теперь в "cert.pfx" я имею всё то, что мог иметь в контейнере?! Получается, если мог забрать открытый и закрытый ключ, то забрал?!

2. Далее необходимо создать контейнер и импортировать сертификат. Либо импортировать сертификат и чтобы автоматически создался контейнер с указанным именем. Возможно?

.\certmgr.exe -install -pfx -container "\\.\HDIMAGE\new" -file "C:\Users\user\work folders\desktop\cert.pfx"
Результат выполнения вроде успешный - 0, но контейнер не появляется ...

Пробую
.\cryptcp.x64.exe -instcert "C:\Users\user\work folders\desktop\cert.pfx" -cont "\\.\HDIMAGE\new"
Ошибка: Набор ключей не существует
e:\trunk\trunk_0\csp\samples\cpcrypt\enroll.cpp:784: 0x80090016
[ErrorCode: 0x80090016]

Тогда вопрос - как из "\\.\HDIMAGE\oldcont" экспортировать набор ключей и впоследствии создать новый контейнер с этими ключами (чтобы мышкой не водить туда-сюда) и импортировать сертификат?

Отредактировано пользователем 24 февраля 2021 г. 11:24:13(UTC)  | Причина: Не указана

Offline Санчир Момолдаев  
#4 Оставлено : 26 февраля 2021 г. 11:12:09(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
1. да
2. не совсем так. при импорте pfx нельзя задать имя контейнера. обычно выходит окно с просьбой задать пин для нового контейнера.
в этом окне указано имя контейнера
Техническую поддержку оказываем тут
Наша база знаний
Offline DaramPamPym  
#5 Оставлено : 1 марта 2021 г. 3:04:31(UTC)
DaramPamPym

Статус: Участник

Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 13

Сказал(а) «Спасибо»: 3 раз
Добрый день.

Автор: Санчир Момолдаев Перейти к цитате
1. да
2. не совсем так. при импорте pfx нельзя задать имя контейнера. обычно выходит окно с просьбой задать пин для нового контейнера.
в этом окне указано имя контейнера

1. Хорошо, пробую выполнить
Цитата:
.\certmgr.exe -install -pfx -file "C:\Users\user\work folders\desktop\cert.pfx"

Появляется, запрос, оставляю по умолчанию - контейнер есть, но сертификата нет!
Пробую в стихом режиме, тоже нет
Цитата:
.\certmgr.exe -install -pfx -file "C:\Users\user\work folders\desktop\cert.pfx" -silent

1.1. Сертификат просроченный, это может влиять?
1.1.1. Если это влияет, как игнорировать истёкший срок действия и выполнить автосоздание контейнера с автоимпорт сертификата?
Цитата:
Not valid before : 21/09/2018 01:34:00 UTC
Not valid after : 21/12/2019 01:34:00 UTC


2. Почему некоторые сертификаты экспортируются из контейнера без закрытого ключа?
К примеру, есть контейнер "\\.\HDIMAGE\yyy", в нём сертифкат действующий. В интерфейсе "КриптоПро CSP" контейнер позволяет делать экспорт, активна кнопка "Скопировать контейнер".
Пытаюсь сделать экспорт сертификата
Цитата:
.\certmgr.exe -export -pfx -container "\\.\HDIMAGE\yyy" -dest "C:\Users\user\work folders\desktop\cert2.pfx"

Операция успешно - 0, но в результате вывода есть строка информирующая, что нет закрытого ключа в результирующем файле?!
Цитата:
PrivateKey Link : No

Если файл открыть средствами Windows, то об этом и будет отображено оснасткой.
НО! Если в интерфейсе "КриптоПро CSP" нажать "установить сертификат", то он появится в хранилище Windows с пометкой как имеющий закрытый ключ и будет возможность сделать экспорт закрытого ключа.
2.1. Почему через certmgr.exe -export не экспортируется закрытый ключ?

3. Существует ли большой и исчерпывающий справочник How-To по консольным командам и их комбинациям для повседневных задач в целях системного администрирования и автоматизирования процессов?!

Отредактировано пользователем 1 марта 2021 г. 3:05:17(UTC)  | Причина: Не указана

Offline Санчир Момолдаев  
#6 Оставлено : 2 марта 2021 г. 8:24:36(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
давайте вернемся к началу.
пометить контейнер неэкспортируемым можно только через оснастку Windows. только там эта галочка есть.
через наш certmgr это сделать нельзя.
по поводу установки pfx. при установке в windows закрытый ключ из pfx устанавливается в хранилище контейнеров, а сертификат в хранилище сертификатов с ссылкой на ЗК.
в контейнере не будет сертификата, только закрытый ключ. это особенность ОС. установить сертификат в контейнер можно и позднее

есть вложенная справка: certmgr -help

Отредактировано пользователем 2 марта 2021 г. 8:25:26(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Санчир Момолдаев за этот пост.
DaramPamPym оставлено 11.03.2021(UTC)
Offline DaramPamPym  
#7 Оставлено : 11 марта 2021 г. 10:30:41(UTC)
DaramPamPym

Статус: Участник

Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 13

Сказал(а) «Спасибо»: 3 раз
Цитата:
при установке в Windows закрытый ключ из pfx устанавливается в хранилище контейнеров, а сертификат в хранилище сертификатов с ссылкой на ЗК

Спасибо за подсказку.
После этого прочитал Создание криптографического провайдера (CSP) для Windows, теперь общая логика понятна.
Дополнительный вопрос:
Если всё в мире .crt, .pfx является форматом asn1 и форматы файлов Крипто Про тому не исключение, почему совсем не получается сделать pfx (сертификат+закрытый ключ) силами утилиты certmgr.exe (или подобных, из состава Крипто Про)? Внутри контейнера только сертификат. Может какой то параметр добавить?
Цитата:
.\certmgr.exe -export -pfx -container "\\.\HDIMAGE\mycont" -dest "C:\crypto-tmp\cert.pfx" -pin "123"


PowerShell успешно создаёт.
Цитата:
$cert = Get-ChildItem -Path Cert:\CurrentUser\my
$mypwd = ConvertTo-SecureString -String "123" -Force -AsPlainText
Export-PfxCertificate -Cert $cert[10] -FilePath "C:\crypto-tmp\cert.pfx" -Password $mypwd

НО! Проблема в том, что мне обязательно нужно установить в ОС Windows сертификат, появится связь и силами ОС уже можно экспортировать PFX.
Но ведь весь сертификат с ключом лежит у меня в CSP. Как не через ОС, а через инструменты CSP создать PFX?
p.s. Возможно поведение требует ключей для особенностей из последней звёздочки Работа с PFX в *NIX системах?
Подскажите пожалуйста.

Отредактировано пользователем 11 марта 2021 г. 11:03:56(UTC)  | Причина: Не указана

Offline Санчир Момолдаев  
#8 Оставлено : 12 марта 2021 г. 4:39:45(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
Добрый день!
Цитата:
почему совсем не получается сделать pfx (сертификат+закрытый ключ) силами утилиты certmgr.exe (или подобных, из состава Крипто Про)? Внутри контейнера только сертификат. Может какой то параметр добавить?

команда корректная. почему вы пришли к такому выводу что в pfx только сертификат?
Техническую поддержку оказываем тут
Наша база знаний
Offline DaramPamPym  
#9 Оставлено : 12 марта 2021 г. 6:33:00(UTC)
DaramPamPym

Статус: Участник

Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 13

Сказал(а) «Спасибо»: 3 раз
Добрый день.
Во вложении приложил шаги действий и немного картинок.
В принципе, могу ещё скелет данных из asn1 редактора, единственное структура немного сложная, не понимаю особо куда смотреть. Но по данным сравнения видно, что прям блоки отсутствуют.
log.png (118kb) загружен 14 раз(а).
Offline Санчир Момолдаев  
#10 Оставлено : 12 марта 2021 г. 9:20:42(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
вообще не воспроизводится.
и на линуксе и на видне экпортируется нормально.
установка также проходит, привязка есть
какая ОС у вас. попробуйте csp 5.0 по новее
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.