Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834   Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
|
Автор: Dimets 
Забыл еще упомянуть, что ключи делал Ростелеком, их тех. поддержка обозначила проблему, которая уже всплывала с недоступностью из ключей в КриптоПро
Ростелеком, насколько мне известно, делает ключи, не совместимые с КриптоПро CSP. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 02.10.2017(UTC) Сообщений: 7
|
Автор: Grey Автор: apodosenin Если я при генерации тестового сертификата через ваш CA укажу в качестве носителя для контейнера свой ключ Jacarta, это может повредить имеющийся контейнер? Контейнеры разнесены по разным частям памяти. Так что при корректно работающей карте это невозможно. Автор: apodosenin Попробовал выписать сертификат через тестовый УЦ.
По косвенным признакам можно сделать вывод что CryptoPro пытается работать с PKI разделом ключа
т.к. при генерации запрашивается пароль на контейнер, подошел стандартный пароль от PKI.
Пароль на ГОСТ контейнер не подходит.
Это в принципе объясняет почему не виден сертификат, видимо он тоже пытается читать из PKI части.
Как заставить читать из ГОСТ контейнера?
Честно говоря, с чем именно пытается работать провайдер, мы не знаем. Взаимодействием с картой занимается промежуточная библиотека компании "Аладдин Р.Д.", которая входит в состав провайдера. Что такое "ГОСТ контейнер"? Если речь про контейнер, выпущенный Ростелекомом, то он обладает совершенно другим форматом и не воспринимается КриптоПро CSP. Если вас, все же, по каким-то причинам интересует работа с данным контейнером через наш CSP, предлагаю дождаться версии CSP 5.0, в которой их поддержка реализована. Поясню, в процессе выяснил что у меня ключ Jacarta PKI/ГОСТ. Как видно из скриншотов в предыдущем письме, есть часть для PKI(пустая) и часть для ГОСТ(содержит сертификат выписанный Такском). CSP пытается работать в первую очередь с частью PKI, видимо как с первой доступной, но т.к. в ней нет сертификатов, то дальше ничего не происходит. Насчет Аладдин понял, запрошу ещё их. Думаю СSP 5 вряд ли решит проблему.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 02.10.2017(UTC) Сообщений: 7
|
Автор: apodosenin Автор: Grey Автор: apodosenin Если я при генерации тестового сертификата через ваш CA укажу в качестве носителя для контейнера свой ключ Jacarta, это может повредить имеющийся контейнер? Контейнеры разнесены по разным частям памяти. Так что при корректно работающей карте это невозможно. Автор: apodosenin Попробовал выписать сертификат через тестовый УЦ.
По косвенным признакам можно сделать вывод что CryptoPro пытается работать с PKI разделом ключа
т.к. при генерации запрашивается пароль на контейнер, подошел стандартный пароль от PKI.
Пароль на ГОСТ контейнер не подходит.
Это в принципе объясняет почему не виден сертификат, видимо он тоже пытается читать из PKI части.
Как заставить читать из ГОСТ контейнера?
Честно говоря, с чем именно пытается работать провайдер, мы не знаем. Взаимодействием с картой занимается промежуточная библиотека компании "Аладдин Р.Д.", которая входит в состав провайдера. Что такое "ГОСТ контейнер"? Если речь про контейнер, выпущенный Ростелекомом, то он обладает совершенно другим форматом и не воспринимается КриптоПро CSP. Если вас, все же, по каким-то причинам интересует работа с данным контейнером через наш CSP, предлагаю дождаться версии CSP 5.0, в которой их поддержка реализована. Поясню, в процессе выяснил что у меня ключ Jacarta PKI/ГОСТ. Как видно из скриншотов в предыдущем письме, есть часть для PKI(пустая) и часть для ГОСТ(содержит сертификат выписанный Такском). CSP пытается работать в первую очередь с частью PKI, видимо как с первой доступной, но т.к. в ней нет сертификатов, то дальше ничего не происходит. Насчет Аладдин понял, запрошу ещё их. Думаю СSP 5 вряд ли решит проблему. Ответ Аладдин: при использовании электронных ключевых носителей с двумя апплетами и более, КриптоПро CSP использует первый по счету расположенный в памяти ключевого носителя. В случае с моделью JaCarta PKI/GOST это апплет PKI. Реализовывать поддержку каждого апплета в данном случае не имеет смысла, т.к. КриптоПро CSP со всеми апплетами работает одинаково без поддержки аппаратной криптографии, т.е. используется защищенное хранилище на пароле (пин-коде пользователя).
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.10.2017(UTC) Сообщений: 1 Откуда: Москва
|
Автор: Grey Автор: Dimets
Забыл еще упомянуть, что ключи делал Ростелеком, их тех. поддержка обозначила проблему, которая уже всплывала с недоступностью из ключей в КриптоПро
Ростелеком, насколько мне известно, делает ключи, не совместимые с КриптоПро CSP. Видимо Вам мало что известно об УЦ ПАО Ростелеком. Так как данный УЦ построен на базе ПАК «КриптоПро УЦ» 2.0 КС3. Отредактировано пользователем 9 октября 2017 г. 17:59:15(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 399
Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
|
Автор: apodosenin ...
Поясню, в процессе выяснил что у меня ключ Jacarta PKI/ГОСТ.
Как видно из скриншотов в предыдущем письме, есть часть для PKI(пустая) и часть для ГОСТ(содержит сертификат выписанный Такском).
....
 PKI_ГОСТ_SE_номер_модели Одно уточнение у вас не только PKI/ГОСТ но ещё и SE - 123J.J01 к тому же версия 2.1 которая как год уже почти была заменена. Такие ключи в основном сейчас для ЕГАИС-алко, где к сожалению и ломаются. Ранее отписывал, что благополучно на таком ключе удалось настроить вход в налоговую используя Випнет ЦСП т.к. контейнер випнетовский (в серти. видно что УЦ выдавал от випнета и контейнер такой же создался, потому было интересно как будет если где то выдаётся на УЦ Крипто). При создании сертификата (по "умолчанию") он настроен быть в разделе ГОСТ, потому пароли по умолчанию запрашивает на него (0987654321), а при формировании (запросе RSA) на основании сертиф. ГОСТ в раздел PKI пишется серт RSA (11111111). В вашем случае я понял, что по каким то причинам использовали этот ключ (если для того, чтоб генерить на нём не извлекаемый контейнер, то наверно так надо, если просто как хранилище то может просто ключи завалялись эти). Мне кажется у вас контейнер всё таки на випнете, раз вы его там видели, потому нет смысла его пытаться увидеть в КриптоПро.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
|
Автор: SergGreen
Видимо Вам мало что известно об УЦ ПАО Ростелеком.
Так как данный УЦ построен на базе ПАК «КриптоПро УЦ» 2.0 КС3.
То, что мало что известно - это факт. Просто несколько лет назад специально для поддержки ключей Ростелекома, которые генерировались штатными средствами JaCarta, мы выпускали даже специальный провайдера "КриптоПро еТокен ГОСТ". |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 04.10.2017(UTC) Сообщений: 8
|
Автор: Grey Автор: SergGreen
Видимо Вам мало что известно об УЦ ПАО Ростелеком.
Так как данный УЦ построен на базе ПАК «КриптоПро УЦ» 2.0 КС3.
То, что мало что известно - это факт. Просто несколько лет назад специально для поддержки ключей Ростелекома, которые генерировались штатными средствами JaCarta, мы выпускали даже специальный провайдера "КриптоПро еТокен ГОСТ". А сейчас уже не выпускаете?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 399
Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 04.10.2017(UTC) Сообщений: 8
|
Автор: Винтик Какой итог ? Заказали ключи ЦП (JaCarta) у другой конторы. Все подхватилось и заработало.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
