Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы12>
Можно ли из командной строки узнать действителен ли сертификат ?
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline mitiya  
#1 Оставлено : 19 декабря 2015 г. 18:51:17(UTC)
mitiya

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.12.2015(UTC)
Сообщений: 6
Если открыть сертификат, то иногда можно увидеть там красный крестик. Чаще всего это из-за отсутствия корневого сертификата или из-за того что период действия уже истек.
Хотелось бы иметь возможность в командной строке проверить "наличие этого крестика".
В том плане, что период действия можно узнать через
Код:
csptest -certprop -cert NAME
, а вот все ли хорошо с теми же коневыми сертификатами я не знаю как проверить.
Так же подозреваю что могут быть еще какие-то причины этого "красного крестика", так что хотелось бы проверить сразу рабочий сертификат в принципе или нет.
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Kirill Sobolev  
#2 Оставлено : 20 декабря 2015 г. 0:08:04(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Код:
csptest -rc

Или посмотрите утилиту certutil от MS.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline mitiya  
#3 Оставлено : 21 декабря 2015 г. 1:29:26(UTC)
mitiya

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.12.2015(UTC)
Сообщений: 6
А можно как-то получить список сертификатов в хранилище ?
И как быть с совпадающими именами ?
Вверх
Offline Kirill Sobolev  
#4 Оставлено : 21 декабря 2015 г. 9:01:30(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Код:
certutil -store

Вы проверяете какой-то конкретный сертификат или хотите проверить все сертификаты в хранилище?
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline mitiya  
#5 Оставлено : 21 декабря 2015 г. 15:30:31(UTC)
mitiya

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.12.2015(UTC)
Сообщений: 6
на самом деле я хочу проверить все. и по возможности удалить истекшие, и если у не истекших не хватает корневого то установить его.
Вверх
Offline Андрей Писарев  
#6 Оставлено : 21 декабря 2015 г. 15:38:24(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,701
Мужчина
Российская Федерация

Сказал «Спасибо»: 500 раз
Поблагодарили: 2049 раз в 1589 постах
Автор: mitiya Перейти к цитате
на самом деле я хочу проверить все. и по возможности удалить истекшие, и если у не истекших не хватает корневого то установить его.


У Вас используется шифрование данных в каком либо ПО?
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline mitiya  
#7 Оставлено : 21 декабря 2015 г. 17:03:44(UTC)
mitiya

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.12.2015(UTC)
Сообщений: 6
Нет зашифрованных данных нет. Но я так понимаю заново поставить сертификат можно? Я просто бэкаплю контейнеры в реестр а от туда сохраняю в файл, и пусть лежат. Но пользователи ноют когда много сертификатов, к тому же как правило при выборе сертификата видно только название, а чтоб посмотреть дату надо лезть куда-нибудь.
Вверх
Offline Русев Андрей  
#8 Оставлено : 21 декабря 2015 г. 18:20:53(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,272

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 446 раз в 325 постах
На Windows сертификаты со сроками в личном хранилище можно получить так:
Код:
certutil -silent -user -store "My"
...
================ Сертификат 3 ================
Серийный номер: 4c698d040000004bea89
Поставщик: CN=test-ca, DC=cp, DC=ru
 NotBefore: 25.06.2015 5:30
 NotAfter: 25.06.2025 12:10
Субъект: E=cln1024s@cryptopro.ru, CN=cln1024s
Не корневой сертификат
Шаблон: 
Хеш сертификата(sha1): e4 11 24 bd bd c2 34 59 7b ea 02 c4 72 95 21 a9 c3 e8 9e f1
  Контейнер ключа = REGISTRY\\cln1024s
  Простое имя контейнера: cln1024s
  Поставщик = Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider
Закрытый ключ НЕ экспортируем
Подпись прошла проверку
...

Начиная с CSP 4.0 на Windows портировано наше Unix-приложение certmgr, что позволяет удобно и единообразно работать с сертификатами на любых ОС.

Установить удалённые из личного хранилища сертификаты можно легко, если они установлены в ключевые контейнеры и носители с этими контейнерами (токены/флешки) вставлены в компьютер. Например, для восстановления всего с носителя FAT12:
Код:
csptest -absorb -cert -pattern "FAT12"
Skip: REGISTRY\\cln1024b
Skip: REGISTRY\\cln1024e
Skip: REGISTRY\\cln1024s
Skip: REGISTRY\\cln512b
Skip: REGISTRY\\cln512e
Skip: REGISTRY\\cln512s
Skip: REGISTRY\\srv1024b
Skip: REGISTRY\\srv1024e
Skip: REGISTRY\\srv1024s
Skip: REGISTRY\\srv512b
Skip: REGISTRY\\srv512e
Skip: REGISTRY\\srv512s
Match: FAT12\CEBBD841_data\8910071.000\D3EB
Match: FAT12\CEBBD841_data\93076217.000\119D
Match: FAT12\CEBBD841_data\nopinron.000\FD7F
Match: FAT12\CEBBD841_data\nopinrtw.000\06EF
Match: FAT12\CEBBD841_data\zakupkiu.000\8FE7
OK.
Total: SYS: 0,780 sec USR: 3,744 sec UTC: 4,814 sec
[ErrorCode: 0x00000000]

Если указать -pattern "", то установится всё. Надо отметить, что старые личные сертификаты, контейнеры которых уничтожены, не восстановятся.

Отредактировано пользователем 21 декабря 2015 г. 18:22:35(UTC)  | Причина: Не указана

Официальная техподдержка. Официальная база знаний.
Вверх
Offline mitiya  
#9 Оставлено : 22 декабря 2015 г. 1:05:41(UTC)
mitiya

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.12.2015(UTC)
Сообщений: 6
а можно сделать что то типа этого
Код:
certutil -silent -user -store "My"
но только не в хранилище, а в контейнере ? Пока сертификат еще не установлен ?
Вверх
Offline Русев Андрей  
#10 Оставлено : 22 декабря 2015 г. 10:10:39(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,272

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 446 раз в 325 постах
Есть:
Код:
csptest -keyset -container FAT12\CEBBD841_data\nopinron.000\FD7F -info
CSP (Type:80) v4.0.9005 KC1 Release Ver:4.0.9660 OS:Windows CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 93835008
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Container name: "nopin_one"
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x613cf90
uec key is not available.

CSP algorithms info:
  Type:Encrypt    Name:'GOST 28147-89'(14) Long:'GOST 28147-89'(14)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026142

  Type:Hash       Name:'GR 34.11-2012 256'(18) Long:'GOST R 34.11-2012 256'(22)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032801

  Type:Signature  Name:'GR 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256'(22)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00011849

  Type:Exchange   Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043590

  Type:Exchange   Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043591

  Type:Hash       Name:'HMAC GOST 28147-89'(19) Long:'HMAC GOST 28147-89'(19)
  DefaultLen:32   MinLen:32   MaxLen:32    Prot:0   Algid:00032799

Key pair info:
  HCRYPTKEY:  0x613cf90
  AlgID:      CALG_DH_EL_SF = 0x0000aa24 (00043556):
    AlgClass: ALG_CLASS_KEY_EXCHANGE
    AlgType:  ALG_TYPE_DH
    AlgSID:   36
  KP_HASHOID:
    1.2.643.2.2.30.1 (GOST R 34.11-94, default parameters)
  KP_DHOID:
    1.2.643.2.2.36.0 (GOST R 34.10-2001, default exchange parameters)
  KP_SIGNATUREOID:
    1.2.643.2.2.36.0 (GOST R 34.10-2001, default exchange parameters)
  Permissions:
    CRYPT_READ
    CRYPT_WRITE
    CRYPT_IMPORT_KEY
    CRYPT_ARCHIVE
    0x800
    0x10000
    0x100000
KP_CERTIFICATE:
Subject: E=test@cryptopro.ru, CN=nopin_one
Valid  : 16.10.2015 15:55:24 - 01.10.2030 15:55:24 (UTC)
Issuer : E=test@cryptopro.ru, CN=nopin_one

Keys in container:
  exchange key
Extensions (maxLength: 1435):
  ParamLen: 47
  OID: 1.2.643.2.2.37.3.10
  Critical: FALSE
  Size: 19
  Decoded size: 24
  PrivKey: Not specified - 14.01.2017 21:55:23 (UTC)
Total: SYS: 0,406 sec USR: 1,856 sec UTC: 2,321 sec
[ErrorCode: 0x00000000]

Вам нужно:
Код:
KP_CERTIFICATE:
Subject: E=test@cryptopro.ru, CN=nopin_one
Valid  : 16.10.2015 15:55:24 - 01.10.2030 15:55:24 (UTC)
Issuer : E=test@cryptopro.ru, CN=nopin_one

Не путать со сроком действия закрытого ключа (этого расширения в контейнере может не быть):
Код:
Extensions (maxLength: 1435):
  ParamLen: 47
  OID: 1.2.643.2.2.37.3.10
  Critical: FALSE
  Size: 19
  Decoded size: 24
  PrivKey: Not specified - 14.01.2017 21:55:23 (UTC)
Официальная техподдержка. Официальная база знаний.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET