Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123
Опции
К последнему сообщению К первому непрочитанному
Offline TolikTipaTut1  
#41 Оставлено : 24 декабря 2021 г. 23:05:36(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 318

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 35 раз в 32 постах
Автор: Iam2310 Перейти к цитате
Автор: TolikTipaTut1 Перейти к цитате

Понятно. Для того, чтобы экспорт "отработал" корректно, необходимо создать привязки каждого сертификата к каждому контейнеру закрытого ключа. Один из простых способов - установка сертификата в контейнер (привязка создается автоматически). Вроде в GUI есть возможность автоматического поиска подходящего контейнера, чтобы вручную не перебирать. В консоли не знаю как сделать. Элементарный вариант - простой перебор.

Когда я экспортирую ручками через "сертификаты", то полученный pfx через gui ставится автоматом в личное и закрытый ключ также экспортируется.
А если через консоль экспортирую по команде выше, то такое впечатление что закрытый ключ не выгружается (файл меньше размером). Если ручками выбирают установить в личное, то все также - не пишет что есть закртый ключ.


А как вы импортируете? А.. проблема на уровне экспорта, экспортируется некорректно...

Отредактировано пользователем 24 декабря 2021 г. 23:06:31(UTC)  | Причина: Не указана

Offline TolikTipaTut1  
#42 Оставлено : 24 декабря 2021 г. 23:11:24(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 318

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 35 раз в 32 постах
Я попробовал вот как сделать: создал на тестовой странице КриптоПро контейнер и запросил сертификат тестового УЦ КриптоПро (и установил сертификат в контейнер). Далее "экспортировал" контейнер в pfx. После этого контейнер удалил, и импортировал pfx. Контейнер нормально встал, без проблем.

Команды:
Код:
./certmgr -export -pfx -container '\\.\HDIMAGE\38c11b48c-c445-6a28-5844-69af753b45c' -dest ~/1.pfx -pin 123 #экспорт в pfx
./csptest -keyset -delete -cont '\\.\HDIMAGE\38c11b48c-c445-6a28-5844-69af753b45c' #удаление контейнера
./certmgr -install -pfx -file ~/1.pfx -store uMy -pin 123 #импорт pfx

Отредактировано пользователем 24 декабря 2021 г. 23:13:01(UTC)  | Причина: Не указана

Offline Iam2310  
#43 Оставлено : 24 декабря 2021 г. 23:19:48(UTC)
Iam2310

Статус: Участник

Группы: Участники
Зарегистрирован: 10.01.2015(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: TolikTipaTut1 Перейти к цитате
А.. проблема на уровне экспорта, экспортируется некорректно...


командная строка
"C:\Program Files\Crypto Pro\CSP\certmgr" -export -pfx -container "\\.\FAT12_D\2021-12-..." -pin 123 -all -dest 123.pfx
все создает не ругается, но размер 2,5кб а не 6 как обычно

Цитата:
Exporting:
=============================================================================
1-------
Issuer : E=
Subject : E=
Serial : 0x
SHA1 Hash : 29
SubjKeyID : b6
Signature Algorithm : GOST R 34.11-2012/34.10-2012 256 bit
PublicKey Algorithm : GOST R 34.10-2012 256 bit (512 bits)
Not valid before : 24/12/2021 10:53:51 UTC
Not valid after : 24/03/2023 11:03:51 UTC
PrivateKey Link : No
OCSP URL : http://ocsp.keydisk.ru/ocsp-cp-2021/ocsp.srf
CA cert URL : http://dp.keydisk.ru/root/cp/astral-cp-2021.cer
CDP : http://www.dp.keydisk.ru/cdp/cp/astral-cp-2021.crl
CDP : http://www.dp-tender.key...dp/cp/astral-cp-2021.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.4
=============================================================================
Offline TolikTipaTut1  
#44 Оставлено : 24 декабря 2021 г. 23:26:19(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 318

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 35 раз в 32 постах
Автор: Iam2310 Перейти к цитате
Автор: TolikTipaTut1 Перейти к цитате
А.. проблема на уровне экспорта, экспортируется некорректно...


командная строка
"C:\Program Files\Crypto Pro\CSP\certmgr" -export -pfx -container "\\.\FAT12_D\2021-12-..." -pin 123 -all -dest 123.pfx
все создает не ругается, но размер 2,5кб а не 6 как обычно

Цитата:
Exporting:
=============================================================================
1-------
Issuer : E=
Subject : E=
Serial : 0x
SHA1 Hash : 29
SubjKeyID : b6
Signature Algorithm : GOST R 34.11-2012/34.10-2012 256 bit
PublicKey Algorithm : GOST R 34.10-2012 256 bit (512 bits)
Not valid before : 24/12/2021 10:53:51 UTC
Not valid after : 24/03/2023 11:03:51 UTC
PrivateKey Link : No
OCSP URL : http://ocsp.keydisk.ru/ocsp-cp-2021/ocsp.srf
CA cert URL : http://dp.keydisk.ru/root/cp/astral-cp-2021.cer
CDP : http://www.dp.keydisk.ru/cdp/cp/astral-cp-2021.crl
CDP : http://www.dp-tender.key...dp/cp/astral-cp-2021.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.4
=============================================================================


Попробуйте создать тестовый контейнер, запросить сертификат, экспортировать два pfx файла: один через консоль, а второй через mmc (GUI), - и оба загрузить сюда.
Offline Iam2310  
#45 Оставлено : 24 декабря 2021 г. 23:34:04(UTC)
Iam2310

Статус: Участник

Группы: Участники
Зарегистрирован: 10.01.2015(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: TolikTipaTut1 Перейти к цитате
Попробуйте создать тестовый контейнер, запросить сертификат, экспортировать два pfx файла: один через консоль, а второй через mmc (GUI), - и оба загрузить сюда.


Вот данные certutil -dump по выгруженному через gui

Цитата:
================ Сертификат 0 ================
================ Начало уровня вложенности 1 ================
Элемент 0:
Серийный номер:
Поставщик:
NotBefore: 24.12.2021 13:53
NotAfter: 24.03.2023 14:03
Субъект:
Не корневой сертификат
Шаблон: 1.2.643.2.2.46.0.8
Хеш сертификата(sha1): 29 77 ce 1a da 56 94 bc 08 ce 66 37 16 f5 a3 39 7f 6a 73 8
---------------- Конец уровня вложенности 1 ----------------
Поставщик = Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Закрытый ключ НЕ экспортируем
ОШИБКА: не удалось проверить открытый ключ сертификата закрытым ключом
Тест шифрования пройден
CertUtil: -dump — команда успешно выполнена.


А вот выгруженному по командной строке

Цитата:
================ Сертификат 0 ================
================ Начало уровня вложенности 1 ================
Элемент 0:
Серийный номер:
Поставщик:
NotBefore: 24.12.2021 13:53
NotAfter: 24.03.2023 14:03
Субъект:
Не корневой сертификат
Шаблон: 1.2.643.2.2.46.0.8
Хеш сертификата(sha1): 29 77 ce 1a da 56 94 bc 08 ce 66 37 16 f5 a3 39 7f 6a 73 8
---------------- Конец уровня вложенности 1 ----------------
Нет информации о поставщике ключа
ОШИБКА теста шифрования
CertUtil: -dump — команда успешно выполнена.


И опций то особо нет (
Offline TolikTipaTut1  
#46 Оставлено : 24 декабря 2021 г. 23:38:59(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 318

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 35 раз в 32 постах
Автор: Iam2310 Перейти к цитате
Автор: TolikTipaTut1 Перейти к цитате
Попробуйте создать тестовый контейнер, запросить сертификат, экспортировать два pfx файла: один через консоль, а второй через mmc (GUI), - и оба загрузить сюда.


Вот данные certutil -dump по выгруженному через gui

Цитата:
================ Сертификат 0 ================
================ Начало уровня вложенности 1 ================
Элемент 0:
Серийный номер:
Поставщик:
NotBefore: 24.12.2021 13:53
NotAfter: 24.03.2023 14:03
Субъект:
Не корневой сертификат
Шаблон: 1.2.643.2.2.46.0.8
Хеш сертификата(sha1): 29 77 ce 1a da 56 94 bc 08 ce 66 37 16 f5 a3 39 7f 6a 73 8
---------------- Конец уровня вложенности 1 ----------------
Поставщик = Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Закрытый ключ НЕ экспортируем
ОШИБКА: не удалось проверить открытый ключ сертификата закрытым ключом
Тест шифрования пройден
CertUtil: -dump — команда успешно выполнена.


А вот выгруженному по командной строке

Цитата:
================ Сертификат 0 ================
================ Начало уровня вложенности 1 ================
Элемент 0:
Серийный номер:
Поставщик:
NotBefore: 24.12.2021 13:53
NotAfter: 24.03.2023 14:03
Субъект:
Не корневой сертификат
Шаблон: 1.2.643.2.2.46.0.8
Хеш сертификата(sha1): 29 77 ce 1a da 56 94 bc 08 ce 66 37 16 f5 a3 39 7f 6a 73 8
---------------- Конец уровня вложенности 1 ----------------
Нет информации о поставщике ключа
ОШИБКА теста шифрования
CertUtil: -dump — команда успешно выполнена.


И опций то особо нет (


Попробуйте в явном виде указать провайдер: -provtype 80 при экспорте. Т.е:
Код:
./certmgr -export -pfx -container '\\.\HDIMAGE\38c11b48c-c445-6a28-5844-69af753b45c' -dest ~/1.pfx -pin 123 -provtype 80


Пришлите потом еще раз вывод утилиты certutil -dump
Offline Iam2310  
#47 Оставлено : 24 декабря 2021 г. 23:51:35(UTC)
Iam2310

Статус: Участник

Группы: Участники
Зарегистрирован: 10.01.2015(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: TolikTipaTut1 Перейти к цитате
Попробуйте в явном виде указать провайдер: -provtype 80 при экспорте.

Ни на что не повлиял. Все тоже самое. Спасибо большое за помощь - но видимо win особенности.
Offline TolikTipaTut1  
#48 Оставлено : 24 декабря 2021 г. 23:53:38(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 318

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 35 раз в 32 постах
Автор: Iam2310 Перейти к цитате
Автор: TolikTipaTut1 Перейти к цитате
Попробуйте в явном виде указать провайдер: -provtype 80 при экспорте.

Ни на что не повлиял. Все тоже самое. Спасибо большое за помощь - но видимо win особенности.


Это pfx, выгруженный с Ubuntu 20.04 1.pfx.zip (2kb) загружен 2 раз(а).

Попробуйте его поставить на тестовую машину виндовую, посмотрите, корректно ли установится

Отредактировано пользователем 24 декабря 2021 г. 23:54:21(UTC)  | Причина: Не указана

Offline TolikTipaTut1  
#49 Оставлено : 24 декабря 2021 г. 23:58:44(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 318

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 35 раз в 32 постах
Автор: TolikTipaTut1 Перейти к цитате
Автор: Iam2310 Перейти к цитате
Автор: TolikTipaTut1 Перейти к цитате
Попробуйте в явном виде указать провайдер: -provtype 80 при экспорте.

Ни на что не повлиял. Все тоже самое. Спасибо большое за помощь - но видимо win особенности.


Это pfx, выгруженный с Ubuntu 20.04 1.pfx.zip (2kb) загружен 2 раз(а).

Попробуйте его поставить на тестовую машину виндовую, посмотрите, корректно ли установится


Я на виртуалке (Windows 10) у себя попробовал установить - все встало корректно
Offline Iam2310  
#50 Оставлено : 24 декабря 2021 г. 23:59:02(UTC)
Iam2310

Статус: Участник

Группы: Участники
Зарегистрирован: 10.01.2015(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: TolikTipaTut1 Перейти к цитате
Попробуйте его поставить на тестовую машину виндовую, посмотрите, корректно ли установится

Вылетает ошибка "для импорта требуется поставщик служб шифрования который не установлен"
Offline TolikTipaTut1  
#51 Оставлено : 24 декабря 2021 г. 23:59:49(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 318

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 35 раз в 32 постах
Автор: Iam2310 Перейти к цитате
Автор: TolikTipaTut1 Перейти к цитате
Попробуйте его поставить на тестовую машину виндовую, посмотрите, корректно ли установится

Вылетает ошибка "для импорта требуется поставщик служб шифрования который не установлен"


А какая версия КриптоПро? У меня 5 R2

Отредактировано пользователем 25 декабря 2021 г. 0:00:51(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил TolikTipaTut1 за этот пост.
Iam2310 оставлено 25.12.2021(UTC)
Offline TolikTipaTut1  
#52 Оставлено : 25 декабря 2021 г. 0:02:02(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 318

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 35 раз в 32 постах
Автор: TolikTipaTut1 Перейти к цитате
Автор: Iam2310 Перейти к цитате
Автор: TolikTipaTut1 Перейти к цитате
Попробуйте создать тестовый контейнер, запросить сертификат, экспортировать два pfx файла: один через консоль, а второй через mmc (GUI), - и оба загрузить сюда.


Вот данные certutil -dump по выгруженному через gui

Цитата:
================ Сертификат 0 ================
================ Начало уровня вложенности 1 ================
Элемент 0:
Серийный номер:
Поставщик:
NotBefore: 24.12.2021 13:53
NotAfter: 24.03.2023 14:03
Субъект:
Не корневой сертификат
Шаблон: 1.2.643.2.2.46.0.8
Хеш сертификата(sha1): 29 77 ce 1a da 56 94 bc 08 ce 66 37 16 f5 a3 39 7f 6a 73 8
---------------- Конец уровня вложенности 1 ----------------
Поставщик = Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Закрытый ключ НЕ экспортируем
ОШИБКА: не удалось проверить открытый ключ сертификата закрытым ключом
Тест шифрования пройден
CertUtil: -dump — команда успешно выполнена.


А вот выгруженному по командной строке

Цитата:
================ Сертификат 0 ================
================ Начало уровня вложенности 1 ================
Элемент 0:
Серийный номер:
Поставщик:
NotBefore: 24.12.2021 13:53
NotAfter: 24.03.2023 14:03
Субъект:
Не корневой сертификат
Шаблон: 1.2.643.2.2.46.0.8
Хеш сертификата(sha1): 29 77 ce 1a da 56 94 bc 08 ce 66 37 16 f5 a3 39 7f 6a 73 8
---------------- Конец уровня вложенности 1 ----------------
Нет информации о поставщике ключа
ОШИБКА теста шифрования
CertUtil: -dump — команда успешно выполнена.


И опций то особо нет (


Попробуйте в явном виде указать провайдер: -provtype 80 при экспорте. Т.е:
Код:
./certmgr -export -pfx -container '\\.\HDIMAGE\38c11b48c-c445-6a28-5844-69af753b45c' -dest ~/1.pfx -pin 123 -provtype 80


Пришлите потом еще раз вывод утилиты certutil -dump


Мой вывод:
certutil.exe -dump .\1.pfx
Введите пароль PFX:
================ Сертификат 0 ================
================ Начало уровня вложенности 1 ================
Элемент 0:
Серийный номер: 7c000456e70b9b3d4a8d7252640001000456e7
Поставщик: CN=Тестовый УЦ ООО "КРИПТО-ПРО", O=ООО "КРИПТО-ПРО", L=Москва, S=г. Москва, C=RU, STREET=ул. Сущёвский вал д. 18, ИНН=001234567890, ОГРН=1234567890123
NotBefore: 24.12.2021 10:12
NotAfter: 24.03.2022 10:22
Субъект: CN=qwe
Не корневой сертификат
Хеш сертификата(sha1): 0d7637b5d0b083ad858e633337f1b38344f02e41
---------------- Конец уровня вложенности 1 ----------------
Поставщик = Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Закрытый ключ НЕ экспортируем
ОШИБКА: не удалось проверить открытый ключ сертификата закрытым ключом
CertUtil: -dump — команда успешно выполнена.
Offline Iam2310  
#53 Оставлено : 25 декабря 2021 г. 0:09:39(UTC)
Iam2310

Статус: Участник

Группы: Участники
Зарегистрирован: 10.01.2015(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: TolikTipaTut1 Перейти к цитате
Автор: Iam2310 Перейти к цитате
Автор: TolikTipaTut1 Перейти к цитате
Попробуйте его поставить на тестовую машину виндовую, посмотрите, корректно ли установится

Вылетает ошибка "для импорта требуется поставщик служб шифрования который не установлен"


А какая версия КриптоПро? У меня 5 R2

Блин. Все оказалось просто. Была просто 5.0 (11455).
Все теперь нормально экспортируется.
Offline Андрей *  
#54 Оставлено : 5 января 2022 г. 12:36:35(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 11,142
Мужчина
Российская Федерация

Сказал «Спасибо»: 425 раз
Поблагодарили: 1718 раз в 1324 постах
Автор: Iam2310 Перейти к цитате
Автор: TolikTipaTut1 Перейти к цитате
Автор: Iam2310 Перейти к цитате
Автор: TolikTipaTut1 Перейти к цитате
Попробуйте его поставить на тестовую машину виндовую, посмотрите, корректно ли установится

Вылетает ошибка "для импорта требуется поставщик служб шифрования который не установлен"


А какая версия КриптоПро? У меня 5 R2

Блин. Все оказалось просто. Была просто 5.0 (11455).
Все теперь нормально экспортируется.


https://www.cryptopro.ru...aspx?g=posts&t=13703
Цитата:
2020-06-04 КриптоПро CSP 5.0.11823 Iris

certmgr:
Цитата:
Добавлена поддержка экспорта сертификата в pfx прямо из контейнера (CPCSP-11035).
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.