Статус: Новичок
Группы: Участники
Зарегистрирован: 20.01.2019(UTC) Сообщений: 5
|
Добрый день. Получили для HSM серт и контейнер от стороннего аккредитованного УЦ. планируется загрузить набор в HSM. Но HSM воспринимает только карты (думал записать через АРМ администратора). На АРМ администратора CryproPro CSP - это ведь КС3, а HSM это КВ. HSM воспримет такой контейнер и сертификат? Может есть детальная инструкция как заменить серт и ключ в HSM? Отредактировано пользователем 20 января 2019 г. 13:20:09(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.01.2014(UTC) Сообщений: 28
Сказал(а) «Спасибо»: 1 раз Поблагодарили: 6 раз в 6 постах
|
Добрый день!
Сторонний УЦ выдал сертификат с расширением "Средства электронной подписи: ПАКМ "Крипто-Про HSM""? Если нет, то формально это будет нарушением использования КЭП. Для квалифицированной подписи необходимо использовать СКЗИ, которое указанно в расширении сертификата.
Если УЦ выдало сертификат с расширением для HSM, то вопрос в том, какая версия Вашего ПАКМ и экспортируемый ли закрытый ключ?
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.01.2019(UTC) Сообщений: 5
|
Добрый день. Да, сертификат с расширением СЭП ПАКМ "Крипто-Про HSM". Версия Крипто-Про HSM 2.0 ЗК экспортируемый. Update, удалось записать контейнер и серт на карту которая шла в поставке с HSM. Может кто подскажет как на HSM установить новый серт и контейнер. в режиме full и admin only такого пункта на "LCD" дисплее нет. Может есть какой-то гайд как это сделать? Отредактировано пользователем 22 января 2019 г. 10:33:57(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.01.2014(UTC) Сообщений: 28
Сказал(а) «Спасибо»: 1 раз Поблагодарили: 6 раз в 6 постах
|
На АРМ c подключением через HSM Client (трей или сервис), в командной строке выполните команду: C:\Program Files\Crypto Pro\CSP\csptest -keycopy -provsrc "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -prodest "Crypto-Pro GOST R 34.10-2012 HSM CSP" -typesrc 80 -typedest 80 -contsrc "Имя контейнера" -contdest "Имя контейнера" -pinsrc ........ -pindest ........
Установку сертификата делаете через оснастку Крипто Про PKI, ПКМ по Крипто ПРО HSM, Все задачи - Посмотреть сертификаты в контейнере (или установить сертификат если файл сертификата хранится отдельно), выбираете провайдер, указываете, через Обзор ключ на HSM, устанавливаете.
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.01.2019(UTC) Сообщений: 5
|
Добрый день. Подскажите, есть 2 сервера приложений перед HSM. На первый сервер сертификат(пользователя HSM) выпустил на HSM на карту, для второго сервера приложений выпустили на стороннем УЦ. Подскажите как сертификат второго сервера приложения загрузить для валидации в HSM, это уместно?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.01.2014(UTC) Сообщений: 28
Сказал(а) «Спасибо»: 1 раз Поблагодарили: 6 раз в 6 постах
|
Здравствуйте!
Для подключения к HSM может использоваться только ключ с сертификатом, который выдан для определённого пользователя HSM, подписанный внутреннем корневым. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.01.2019(UTC) Сообщений: 5
|
Подскажите, возможно я не правильно что-то понял. 1. HSM может валидировать сообщения (soap\xml) от сервера приложений только с теми сертификатами, которые выпущены на нем. 2. HSM не сможет валидировать (soap\xml) сообщения от серверов приложений подписанных на сертах выданных сторонним УЦ, потому что в него в приницпе никакие серты сгрухить нельзя. 3. Сам HSM выпускает сертификаты для серверов на карту, причем что подписывает от эти серты для серверов приложений только своим root-сертификатом который самоподписанный. 4. Как другие приложения (стороних организаций) узнают что (soap\xml) сообщения, подписаны норм сертом, потому что root серт никем не подписан. 5. Для связки серверов приложений и HSM, На серверы приложений надо ставить HSM клиент? Отредактировано пользователем 25 января 2019 г. 16:27:40(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,376 Сказал «Спасибо»: 53 раз Поблагодарили: 773 раз в 715 постах
|
Автор: SRG077 Подскажите, возможно я не правильно что-то понял. 1. HSM может валидировать сообщения (soap\xml) от сервера приложений только с теми сертификатами, которые выпущены на нем. 2. HSM не сможет валидировать (soap\xml) сообщения от серверов приложений подписанных на сертах выданных сторонним УЦ, потому что в него в приницпе никакие серты сгрухить нельзя. 3. Сам HSM выпускает сертификаты для серверов на карту, причем что подписывает от эти серты для серверов приложений только своим root-сертификатом который самоподписанный. 4. Как другие приложения (стороних организаций) узнают что (soap\xml) сообщения, подписаны норм сертом, потому что root серт никем не подписан. 5. Для связки серверов приложений и HSM, На серверы приложений надо ставить HSM клиент? Добрый день. Для подключения к КриптоПро HSM используются ключи доступа и соответствующие им подписанные корневым сертификатом КриптоПро HSM сертификаты. Ключи доступа могут быть созданы: - локально через LCD-панель КриптоПро CSP на картах, которые идут в комплекте с КриптоПро HSM (в данном случае ключевые контейнеры неэкспортируемые), - через web-интерфейс администратора КриптоПро HSM на любых поддерживаемых КриптоПро CSP 4.0 ключевых носителях (в данном случае ключевые контейнеры экспортируемые). Для каждого пользователя КриптоПро HSM (по сути для каждого ключа доступа) на КриптоПро HSM есть собственное хранилище ключевых контейнеров (с или без сертификата внутри). И уже эти ключевые контейнеры и соответствующие им сертификаты используются в конечных приложениях. |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,376 Сказал «Спасибо»: 53 раз Поблагодарили: 773 раз в 715 постах
|
Для подключения компьютера/сервера на Windows к КриптоПро HSM нужно установить КриптоПро HSM Client.
Для подключения компьютера/сервера на *nix к КриптоПро HSM нужно изменить файл конфигурации КриптоПро CSP и настроить подключение через stunnel. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.01.2019(UTC) Сообщений: 5
|
По гайду пользователя: "В процессе работы пользователь при помощи специализированных приложений формирует ключи подписи в ПАКМ, формирует запросы на сертификаты ключей подписей, отправляя их в удостоверяющие центры (УЦ), получает из УЦ готовые сертификаты ключей ЭЦП и устанавливает их у себя. После этого он может формировать ЭЦП под документами." подскажите как сделать: "формирует запросы на сертификаты ключей подписей, отправляя их в удостоверяющие центры (УЦ), получает из УЦ готовые сертификаты ключей ЭЦП и устанавливает их у себя." Что-то я
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close