logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline krglogin  
#1 Оставлено : 18 февраля 2015 г. 15:16:22(UTC)
krglogin

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.02.2015(UTC)
Сообщений: 3
Российская Федерация

День добрый.

Лирическое отступление:
В связи с переходом с Windows 2003 на Windows 2012 у нас возникла задача переноса контейнеров и сертификатов с одного сервера на другой.
На текущий момент у нас используются порядка 15 серверов, 500+ сертификатов. С ними работают 60 пользователей.
Соответственно выполнить миграцию вручную представляется мало возможным.
Было решено осуществить миграцию при помощи скрипта на PowerShell 4.

Суть проблемы:
В качестве хранилища контейнеров мы используем реестр Windows. При этом часть контейнеров в реестре повреждена (отсутствует открытый ключ, параметр header.key в реестре).
Сами сертификаты уже установлены в системе. Мы хотим при помощи консольной программы csptest, находящейся в папке с дистрибутивом Crypto Pro CSP 3.6 R4 выполнить лечение контейнера,
использую команду: csptest -ipsec -reg -mycert c:\cert_der.cer -key name_container
Для этого мы хотим выгрузить все установленные сертификаты в папку и для каждого поврежденного контейнера по очереди для каждого выгруженного сертификата выполнить предыдущую команду.

Вопросы:
1. При использовании csptest привяжет нужный сертификат к контейнеру или может привязать не тот?
2. Возможно ли выполнить подвязку путем перебора не выгружая сертификаты на диск (т.е. использовать уже установленные сертификаты, при этом многие сертификаты имеют одинаковые имена)?
3. Вместо выгрузки на диск каждого сертификаты выполнить выгрузку всех сертификатов, содержащихся в одном файле и далее этот файл использовать при привязке?
Offline Максим Коллегин  
#2 Оставлено : 18 февраля 2015 г. 16:17:31(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,217
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 472 раз в 431 постах
Если нет header.key - то контейнер восстановить довольно сложно.
Если все ключи хранятся в реестре - экспортируйте ветку, поменяйте SID и импортируйте под нужным пользователем (но после установки CryptoPro CSP)
Затем экспортируйте все сертификаты в файлы (на форуме была утилита), и установите их, связав с закрытым ключом.
Для команды ipsec -reg будут полезны опции:
autocont - автопоиск контейнера
nopin - поиск без обращения к закрытому ключу (полезно, когда контейнеры с паролем)

Отредактировано пользователем 18 февраля 2015 г. 16:22:13(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline krglogin  
#3 Оставлено : 19 февраля 2015 г. 12:13:06(UTC)
krglogin

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.02.2015(UTC)
Сообщений: 3
Российская Федерация

Создали в Хранилище сертификатов Локально машины подпапку Temp
csptest -ipsec -Reg Temp -key Имя_Контейнера -mycert С:\Файл_Сертифтката.cer
Данной коммандой пытаемся импортировать в него сертификат, но она вываливается в ошибку.
При использовании данной комманды она проверяет что контейнер и сертификат соответствуют друг другу.
Как можно импортировать сертификат в контейнер Temp, чтобы выполнялась проверка на соответствие?


Offline Максим Коллегин  
#4 Оставлено : 19 февраля 2015 г. 14:58:56(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,217
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 472 раз в 431 постах
Какой-то непонятный набор слов.
Сертификат в контейнер можно установить командой csptest -keyset -impcert

Отредактировано пользователем 19 февраля 2015 г. 15:36:13(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline krglogin  
#5 Оставлено : 23 февраля 2015 г. 22:37:36(UTC)
krglogin

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.02.2015(UTC)
Сообщений: 3
Российская Федерация

Спасибо, разобрался. В итоге сделал скрипт, который пробегает по реестру и выгружает контейнеры в файлы, если контейнер поврежден, то выполняет его лечение, попутно приводя все названия к единообразному виду. Вся информацию по сертификату заноситься в Excel, в котором, если нам надо установить сертификат, то на пересечении сооветствующей строки с именем сертификата и столбца с именем пользователя проставляем '+', а если удалить то '-'. И при следующем входе в систему сертификат автоматически устанавливается (удаляется) у пользователя. Теперь установка нового сертификата выполняется так: ставим с носителя сертификат на тестовую машину -> запускаем скрипт -> в Excel проставляем '+' кому надо установить -> наслаждаемся жизнью :)

Отредактировано пользователем 23 февраля 2015 г. 22:39:21(UTC)  | Причина: Не указана

Offline alexusbbb  
#6 Оставлено : 28 апреля 2015 г. 6:57:53(UTC)
alexusbbb

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.05.2014(UTC)
Сообщений: 1
Российская Федерация
Откуда: Москва

krglogin
Это же существенно облегчает установку.
Огромная просьба, поделись пожалуйста скриптом
Offline Fanbir  
#7 Оставлено : 1 августа 2018 г. 16:46:39(UTC)
Fanbir

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.07.2018(UTC)
Сообщений: 7
Беларусь
Откуда: Минск

Автор: Максим Коллегин Перейти к цитате
Какой-то непонятный набор слов.
Сертификат в контейнер можно установить командой csptest -keyset -impcert

только в том случае, если сертификат сгенерен в кодировке .DER c .base64 данная команда не работает
Offline Максим Коллегин  
#8 Оставлено : 1 августа 2018 г. 22:59:06(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,217
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 472 раз в 431 постах
Ясно, спасибо за информацию, постараемся исправить.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.