Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline SRG077  
#1 Оставлено : 20 января 2019 г. 13:19:31(UTC)
SRG077

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2019(UTC)
Сообщений: 5
Российская Федерация

Добрый день.
Получили для HSM серт и контейнер от стороннего аккредитованного УЦ.
планируется загрузить набор в HSM.
Но HSM воспринимает только карты (думал записать через АРМ администратора).
На АРМ администратора CryproPro CSP - это ведь КС3, а HSM это КВ.
HSM воспримет такой контейнер и сертификат?
Может есть детальная инструкция как заменить серт и ключ в HSM?

Отредактировано пользователем 20 января 2019 г. 13:20:09(UTC)  | Причина: Не указана

Offline Константин Гаинцев  
#2 Оставлено : 21 января 2019 г. 12:31:26(UTC)
Константин Гаинцев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.01.2014(UTC)
Сообщений: 28

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 6 раз в 6 постах
Добрый день!

Сторонний УЦ выдал сертификат с расширением "Средства электронной подписи: ПАКМ "Крипто-Про HSM""? Если нет, то формально это будет нарушением использования КЭП. Для квалифицированной подписи необходимо использовать СКЗИ, которое указанно в расширении сертификата.

Если УЦ выдало сертификат с расширением для HSM, то вопрос в том, какая версия Вашего ПАКМ и экспортируемый ли закрытый ключ?




Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline SRG077  
#3 Оставлено : 22 января 2019 г. 6:59:15(UTC)
SRG077

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2019(UTC)
Сообщений: 5
Российская Федерация

Добрый день.
Да, сертификат с расширением СЭП ПАКМ "Крипто-Про HSM".
Версия Крипто-Про HSM 2.0
ЗК экспортируемый.

Update, удалось записать контейнер и серт на карту которая шла в поставке с HSM.
Может кто подскажет как на HSM установить новый серт и контейнер.
в режиме full и admin only такого пункта на "LCD" дисплее нет.
Может есть какой-то гайд как это сделать?

Отредактировано пользователем 22 января 2019 г. 10:33:57(UTC)  | Причина: Не указана

Offline Константин Гаинцев  
#4 Оставлено : 22 января 2019 г. 12:32:40(UTC)
Константин Гаинцев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.01.2014(UTC)
Сообщений: 28

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 6 раз в 6 постах
На АРМ c подключением через HSM Client (трей или сервис), в командной строке выполните команду:
C:\Program Files\Crypto Pro\CSP\csptest -keycopy -provsrc "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -prodest "Crypto-Pro GOST R 34.10-2012 HSM CSP" -typesrc 80 -typedest 80 -contsrc "Имя контейнера" -contdest "Имя контейнера" -pinsrc ........ -pindest ........

Установку сертификата делаете через оснастку Крипто Про PKI, ПКМ по Крипто ПРО HSM, Все задачи - Посмотреть сертификаты в контейнере (или установить сертификат если файл сертификата хранится отдельно), выбираете провайдер, указываете, через Обзор ключ на HSM, устанавливаете.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline SRG077  
#5 Оставлено : 24 января 2019 г. 7:41:21(UTC)
SRG077

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2019(UTC)
Сообщений: 5
Российская Федерация

Добрый день.
Подскажите, есть 2 сервера приложений перед HSM.
На первый сервер сертификат(пользователя HSM) выпустил на HSM на карту,
для второго сервера приложений выпустили на стороннем УЦ.
Подскажите как сертификат второго сервера приложения загрузить для валидации в HSM, это уместно?
Offline Константин Гаинцев  
#6 Оставлено : 24 января 2019 г. 12:06:08(UTC)
Константин Гаинцев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.01.2014(UTC)
Сообщений: 28

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 6 раз в 6 постах
Здравствуйте!

Для подключения к HSM может использоваться только ключ с сертификатом, который выдан для определённого пользователя HSM, подписанный внутреннем корневым.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline SRG077  
#7 Оставлено : 25 января 2019 г. 15:49:58(UTC)
SRG077

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2019(UTC)
Сообщений: 5
Российская Федерация

Подскажите, возможно я не правильно что-то понял.
1. HSM может валидировать сообщения (soap\xml) от сервера приложений только с теми сертификатами, которые выпущены на нем.
2. HSM не сможет валидировать (soap\xml) сообщения от серверов приложений подписанных на сертах выданных сторонним УЦ, потому что в него в приницпе никакие серты сгрухить нельзя.
3. Сам HSM выпускает сертификаты для серверов на карту, причем что подписывает от эти серты для серверов приложений только своим root-сертификатом который самоподписанный.
4. Как другие приложения (стороних организаций) узнают что (soap\xml) сообщения, подписаны норм сертом, потому что root серт никем не подписан.
5. Для связки серверов приложений и HSM, На серверы приложений надо ставить HSM клиент?

Отредактировано пользователем 25 января 2019 г. 16:27:40(UTC)  | Причина: Не указана

Offline Александр Лавник  
#8 Оставлено : 25 января 2019 г. 16:13:29(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: SRG077 Перейти к цитате
Подскажите, возможно я не правильно что-то понял.
1. HSM может валидировать сообщения (soap\xml) от сервера приложений только с теми сертификатами, которые выпущены на нем.
2. HSM не сможет валидировать (soap\xml) сообщения от серверов приложений подписанных на сертах выданных сторонним УЦ, потому что в него в приницпе никакие серты сгрухить нельзя.
3. Сам HSM выпускает сертификаты для серверов на карту, причем что подписывает от эти серты для серверов приложений только своим root-сертификатом который самоподписанный.
4. Как другие приложения (стороних организаций) узнают что (soap\xml) сообщения, подписаны норм сертом, потому что root серт никем не подписан.
5. Для связки серверов приложений и HSM, На серверы приложений надо ставить HSM клиент?

Добрый день.

Для подключения к КриптоПро HSM используются ключи доступа и соответствующие им подписанные корневым сертификатом КриптоПро HSM сертификаты.

Ключи доступа могут быть созданы:

- локально через LCD-панель КриптоПро CSP на картах, которые идут в комплекте с КриптоПро HSM (в данном случае ключевые контейнеры неэкспортируемые),

- через web-интерфейс администратора КриптоПро HSM на любых поддерживаемых КриптоПро CSP 4.0 ключевых носителях (в данном случае ключевые контейнеры экспортируемые).

Для каждого пользователя КриптоПро HSM (по сути для каждого ключа доступа) на КриптоПро HSM есть собственное хранилище ключевых контейнеров (с или без сертификата внутри).

И уже эти ключевые контейнеры и соответствующие им сертификаты используются в конечных приложениях.
Техническую поддержку оказываем тут
Наша база знаний
Offline Александр Лавник  
#9 Оставлено : 25 января 2019 г. 16:16:48(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Для подключения компьютера/сервера на Windows к КриптоПро HSM нужно установить КриптоПро HSM Client.

Для подключения компьютера/сервера на *nix к КриптоПро HSM нужно изменить файл конфигурации КриптоПро CSP и настроить подключение через stunnel.
Техническую поддержку оказываем тут
Наша база знаний
Offline SRG077  
#10 Оставлено : 25 января 2019 г. 16:28:31(UTC)
SRG077

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2019(UTC)
Сообщений: 5
Российская Федерация

По гайду пользователя:
"В процессе работы пользователь при помощи специализированных приложений формирует
ключи подписи в ПАКМ, формирует запросы на сертификаты ключей подписей, отправляя их в
удостоверяющие центры (УЦ), получает из УЦ готовые сертификаты ключей ЭЦП и устанавливает их
у себя. После этого он может формировать ЭЦП под документами."

подскажите как сделать:
"формирует запросы на сертификаты ключей подписей,
отправляя их в удостоверяющие центры (УЦ),
получает из УЦ готовые сертификаты ключей ЭЦП и устанавливает их у себя."

Что-то я Brick wall Brick wall Brick wall
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.