Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2018(UTC) Сообщений: 36 Сказал(а) «Спасибо»: 9 раз
|
Добрый день.
Подскажите, пожалуйста ответы на несколько вопросов:
Я делаю подписанное сообщение из командной строки:
/opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint 0b...1a -der /tmp/file.name /tmp/file.name.sign
1. Как узнать, какие параметры будут использованы по умолчанию при создании подписи с помощью cryptcp (например параметр -hashAlg)? 2. Как влючить время создания подписи в сообщение (если ключик -ss, то какой адрес сервера времени использовать )? 3. В КриптоАРМ в настройках профиля есть Сертификаты получателей по умолчанию - я не понимаю, они как-нибудь влияют на получаемое сообщение при подписывании или нет.Если да, то как их добавить в cryptcp?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,404 Сказал «Спасибо»: 53 раз Поблагодарили: 779 раз в 721 постах
|
Автор: VictorFrom Добрый день.
Подскажите, пожалуйста ответы на несколько вопросов:
Я делаю подписанное сообщение из командной строки:
/opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint 0b...1a -der /tmp/file.name /tmp/file.name.sign
1. Как узнать, какие параметры будут использованы по умолчанию при создании подписи с помощью cryptcp (например параметр -hashAlg)? 2. Как влючить время создания подписи в сообщение (если ключик -ss, то какой адрес сервера времени использовать )? 3. В КриптоАРМ в настройках профиля есть Сертификаты получателей по умолчанию - я не понимаю, они как-нибудь влияют на получаемое сообщение при подписывании или нет.Если да, то как их добавить в cryptcp? Добрый день. 1) Используются параметры, соответствующие алгоритму используемого сертификата ( cryptcp -sign -help показывает их OID'ы). 2) Для тестовых целей Вы можете использовать адрес тестового TSP сервера, например этого. В общем случае Вам надо использовать адрес того TSP сервера, который предоставляет удостоверяющий центр, выпустивший Ваш сертификат. 3) Сертификаты получателей в КриптоАРМ нужны, когда Вы зашифровываете файл. При этом при зашифровании файла можно добавить нескольких получателей, которые смогут расшифровать полученный файл. |
|
1 пользователь поблагодарил Александр Лавник за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2018(UTC) Сообщений: 36 Сказал(а) «Спасибо»: 9 раз
|
Автор: Александр Лавник 3) Сертификаты получателей в КриптоАРМ нужны, когда Вы зашифровываете файл.
При этом при зашифровании файла можно добавить нескольких получателей, которые смогут расшифровать полученный файл.
Спасибо. Да, посмотрел в документации на cryptcp (как-то не обратил на это внимание) - там при операции -encr может быть много сертификатов (можно несколько раз указать параметр -thumbprint ?) А в -sign - только один. Если использовать операцию -sign, то влияет ли наличие корневых сертификатов на получаемое сообщение с подписью? Если другая сторона говорит, что она не в состоянии проверить подпись, достаточно ли того, что при данном формировании подписи (как я понимаю), в нее будет включен только мой сертификат? Или в сообщение с подписью как-то можно добавить еще что-то, что поможет проверить подпись?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,404 Сказал «Спасибо»: 53 раз Поблагодарили: 779 раз в 721 постах
|
Автор: VictorFrom Да, посмотрел в документации на cryptcp (как-то не обратил на это внимание) - там при операции -encr может быть много сертификатов (можно несколько раз указать параметр -thumbprint ?) А в -sign - только один.
Согласно cryptcp -encr -help чтобы зашифровать файл для нескольких получателей необходимо использовать опцию -f путь_к_файлу_сертификата необходимое количество раз. Автор: VictorFrom Если использовать операцию -sign, то влияет ли наличие корневых сертификатов на получаемое сообщение с подписью?
Нет. Цепочка сертификатов не включается в подпись. Автор: VictorFrom Если другая сторона говорит, что она не в состоянии проверить подпись, достаточно ли того, что при данном формировании подписи (как я понимаю), в нее будет включен только мой сертификат?
Или в сообщение с подписью как-то можно добавить еще что-то, что поможет проверить подпись?
Нет. В подпись больше ничего не включается. У проверяющей стороны должна строится цепочка сертификатов до корневого для сертификата подписавшего для проверки подписи. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2018(UTC) Сообщений: 36 Сказал(а) «Спасибо»: 9 раз
|
Если другая сторона прислала мне сертификат, которым нужно подписать файл, я его пытаюсь подписать так: Цитата: /opt/cprocsp/bin/amd64/cryptcp -sign -f /PATH_TO_CERT.cer -hashAlg 1.2.643.7.1.1.2.2 -der /input_file.xml /output_file CryptCP 4.0 (c) "Crypto-Pro", 2002-2017. Command prompt Utility for file signature and encryption.
The following certificate will be used: RDN: Москва, Москва, RU Valid from 08.02.2018 07:25:06 to 08.02.2019 07:25:06
Certificate chains are checked. Folder '/tmp/': /tmp/input_file... Error: Can not get certificate private key. /dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:438: 0x20000136 [ErrorCode: 0x20000136]
Как это сделать без ошибок?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,404 Сказал «Спасибо»: 53 раз Поблагодарили: 779 раз в 721 постах
|
Автор: VictorFrom Если другая сторона прислала мне сертификат, которым нужно подписать файл, я его пытаюсь подписать так: Цитата: /opt/cprocsp/bin/amd64/cryptcp -sign -f /PATH_TO_CERT.cer -hashAlg 1.2.643.7.1.1.2.2 -der /input_file.xml /output_file CryptCP 4.0 (c) "Crypto-Pro", 2002-2017. Command prompt Utility for file signature and encryption.
The following certificate will be used: RDN: Москва, Москва, RU Valid from 08.02.2018 07:25:06 to 08.02.2019 07:25:06
Certificate chains are checked. Folder '/tmp/': /tmp/input_file... Error: Can not get certificate private key. /dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:438: 0x20000136 [ErrorCode: 0x20000136]
Как это сделать без ошибок? Вы не сможете подписать файл чужим сертификатом - у Вас нет соответствующего закрытого ключа. Вы можете только зашифровать файл, используя присланный сертификат. Тогда расшифровать этот файл сможет только владелец сертификата (у которого есть закрытый ключ для этого сертификата). |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2018(UTC) Сообщений: 36 Сказал(а) «Спасибо»: 9 раз
|
Автор: Александр Лавник Вы не сможете подписать файл чужим сертификатом - у Вас нет соответствующего закрытого ключа.
Вот такой команды достаточно для того, чтобы в подписи появились все необходимые данные для проверки этой подписи? Цитата: /opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint 0b...1a -hashAlg 1.2.643.7.1.1.2.2 -der sorce_file_path dest_file_path
Тут в -thumbprint стоит хэш моего сертификата.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,404 Сказал «Спасибо»: 53 раз Поблагодарили: 779 раз в 721 постах
|
Автор: VictorFrom Автор: Александр Лавник Вы не сможете подписать файл чужим сертификатом - у Вас нет соответствующего закрытого ключа.
Вот такой команды достаточно для того, чтобы в подписи появились все необходимые данные для проверки этой подписи? Цитата: /opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint 0b...1a -hashAlg 1.2.643.7.1.1.2.2 -der sorce_file_path dest_file_path
Тут в -thumbprint стоит хэш моего сертификата. Добрый день. Этой командой Вы добавите свой сертификат к подписи (это максимум, что можно добавить в подпись в данном случае). Но, как я писал ранее, у проверяющей стороны должна строится цепочка до корневого сертификата для Вашего сертификата. |
|
1 пользователь поблагодарил Александр Лавник за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2018(UTC) Сообщений: 36 Сказал(а) «Спасибо»: 9 раз
|
Спасибо. Автор: Александр Лавник Этой командой Вы добавите свой сертификат к подписи (это максимум, что можно добавить в подпись в данном случае).
Но, как я писал ранее, у проверяющей стороны должна строится цепочка до корневого сертификата для Вашего сертификата.
Мне было нужно удостовериться, что я все, что мог со своей стороны сделал. Теперь проблему нужно искать на другой стороне. Еще раз спасибо.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 23.08.2018(UTC) Сообщений: 29
Сказал(а) «Спасибо»: 9 раз Поблагодарили: 1 раз в 1 постах
|
Здравствуйте, у меня тоже появился вопрос по утилите cryptcp на Linux. необходимо с помощью утилиты cryptcp сформировать усовершенствованную отсоединенную подпись. для этого выполняю команду Код:/opt/cprocsp/bin/amd64/cryptcp -sign '/home/user1/sav/t.pdf' '/home/user1/sav/t.pdf.sig' -thumbprint 'f8a529f7679e997b3c5804712879f37a12ea14c7' -xlongtype1 -cadesTSA '/*tsp server*/' -nochain -detached -der
на что получаю ошибку Код:Error: Can't open file 'cades library'.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:216: 0x20000065
[ErrorCode: 0x20000065]
Если не путаю, на Windows подобная ошибка лечилась установкой Криптопро ЭЦП Runtime. Для Linux такого не нашел. Возможно все необходимое, в том числе и cades library, должно было установиться при установке самого Криптопро CSP, и я накосячил с установкой? обычная подпись (без аргумента "-xlongtype1") формируется без ошибок.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close