Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Взаимодействие с удаленным УЦ из командной строки
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127 Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: tikhonov Вот по этой причине мы и просим скриншот, мало ли что вы еще изменяете. Хорошо, я учту ) Автор: tikhonov Это все не обязательно было делать, все по усмотрению и согласно требованиям к УЦ (на счет имени администратора ЦС в сертификата) Проблема в том, что нет никаких конкретных требований, кроме того, что "будет осуществлен переход на КриптоПро УЦ 2.0" и моя задача подпилить старинное ПО для взаимодействия с УЦ. Приходится так же не лету осваивать настройку всей криптоинфраструктуры для воспроизведения будущей системы, чтоб отладить свое ПО. Автор: tikhonov При чем тут идентификатор администратора службы регистрации? снова мимо, так работать не будет. Либо идентификатор папки (GUID) либо имя папки. Так у меня просто нет никакого иного идентификатора в принципе ( Есть стойкое ощущение, что что-то недонастроено - не созданы еще какие-то необходимые сущности, вопрос какие? Вот так выглядит у меня ВСЯ структура УЦ: Какая конкретно папка имеется в виду? По документации ( ЖТЯИ.00087-01 93 01) понять о какой папке идет речь в описании команды -listDN невозможно. Мне нужно кроме администраторов создать еще каких-то пользователей? Автор: tikhonov Рекомендации предоставленные в посте #10 не меняются. Так я все выполнил, реально корневого сертификата в хранилище доверенных корневых сертификатов не было только на машине, на которой собственно утилиту командной строки и выполняю. После того как добавил корневой сертификат сообщение об ошибке изменилось. Но оно мне все так же оно мало о чем говорит ( Автор: tikhonov cryptcp при команде -СА отправляет вас на тестовый УЦ 1.5, эту команду изменят в следующей сборке cryptcp. Не используйте ее. Используйте -CPCA и -CPCA20 Ага, ну вот теперь, после Вашей правки того сообщения и этого разъяснения, ситуация стала ясна. Действительно, команда : Код:cryptcp.x64.exe -listDN -CPCA "https://ib-crypto1/ca"
Дает практически аналогичный вывод команде с указанием GUID папки: Цитата:CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2017. Утилита командной строки для подписи и шифрования файлов. Ошибка: Подключение к серверу было неожиданно прервано Users.cpp:340: 0x2EFE [ErrorCode: 0x00002efe] Разница только в номере строки: Код:cryptcp.x64.exe -listDN -CPCA20 "https://ib-crypto1/ui/0ccea725-697e-e711-95ae-000c297c5ae6"
Цитата:CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2017. Утилита командной строки для подписи и шифрования файлов. Ошибка: Подключение к серверу было неожиданно прервано Users.cpp:288: 0x2EFE [ErrorCode: 0x00002efe]
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,187 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Цитата:Какая конкретно папка имеется в виду? По документации (ЖТЯИ.00087-01 93 01) понять о какой папке идет речь в описании команды -listDN невозможно. Мне нужно кроме администраторов создать еще каких-то пользователей? Прочтите еще раз ответ из поста #16. В Диспетчере УЦ вы никакие папки и их идентификаторы не увидите, только в Консоли ЦР или с помощью команд (что я вам не рекомендую). Раз вы не знаете где находятся папки в УЦ 2.0, то рекомендую ознакомиться со следующей документацией - ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации, Пункт 1 Консоль управления Центром Регистрации. Цитата:cryptcp.x64.exe -listDN -CPCA "https://ib-crypto1/ca" -CPCA это для УЦ 1.5. -СPCA20 это для УЦ 2.0. Цитата:cryptcp.x64.exe -listDN -CPCA20 "https://ib-crypto1/ui/0ccea725-697e-e711-95ae-000c297c5ae6" эта команда выглядит правильной, но только guid не верный, из-за этого и ошибка. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127 Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: tikhonov Прочтите еще раз ответ из поста #16. В Диспетчере УЦ вы никакие папки и их идентификаторы не увидите, только в Консоли ЦР или с помощью команд (что я вам не рекомендую). Раз вы не знаете где находятся папки в УЦ 2.0, то рекомендую ознакомиться со следующей документацией - ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации, Пункт 1 Консоль управления Центром Регистрации. Я именно из Консоли управления ЦР и взял этот GUID ( пост №19), нашел ошибку - использовал идентификатор пользователя, вместо идентификатора папки - команда сработала! Спасибо ) Автор: tikhonov cryptcp.x64.exe -listDN -CPCA "https://ib-crypto1/ca" -CPCA это для УЦ 1.5. -СPCA20 это для УЦ 2.0. Т.е. во ВСЕХ командах без вариантов указываю ВСЕГДА -СPCA20? (УЦ планируется использовать именно версии 2.0).
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,187 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Если требуется указывать, то да, для УЦ 2.0 требуется -СPCA20. |
|
1 пользователь поблагодарил Захар Тихонов за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127 Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Итак, связь с сервером УЦ налажена, теперь, надо последовательно выполнить непосредственную задачу. В доке на утилиту командной строки ( ЖТЯИ.00087-01 93 01) есть вот такое описание: Цитата:Создать запрос на сертификат, отправить его в центр сертификации, получить выписанный сертификат и установить его. [путь]cryptcp -creatcert -rdn <RDN> [-provtype <N>] [-provname <CSP>] [-SMIME] [-nokeygen|-exprt] [-keysize <n>] [-hashAlg <OID>] [-{ex|sg|both}] [-cont <имя>] [-ku|-km] [-certusage <OIDs>] [{-CA <адрес ЦС>}|{-CPCA <адрес УЦ>}] [-requestlic] [{-token <ID токена> -tpassword <пароль>}| -clientcert КПС1 ] [-{dm|du}[<имя>]] [-noCSP] [-silent] [-pin <пароль>|-askpin] [-keysize <N>] [-FileID <Имя файла>] [-ext <расширение>]n раз [-enable-install-root] А можно ли как-то разделить эту команду на части? Не могу вычленить из команды отправку запроса на сервер. Дело в том, что у меня в уже существующей системе запрос формируется на стороне конечного клиента (в браузере) приезжает на сервер приложения, и уже тот в свою очередь, перекидывает запрос на ЦС. Хотелось бы минимизировать изменения в существующей системе, тем более, что (вроде бы) такая возможность есть.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,187 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Т.е. вам требуется просто одобрить запрос на сертификат? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127 Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: tikhonov Т.е. вам требуется просто одобрить запрос на сертификат? По факту - да. Система так построена, что просто абы кто этот запрос прислать не может в принципе. Сейчас автоматом запрос перекидывается на микрософтовский УЦ, который создает пользователя по данным из файла запроса, формирует сертификат, который отсылается пользователю. На данном этапе (переход с MS УЦ на КриптоПро УЦ) надо просто повторить функциональность. Отправка запроса и формирование сертификата в формате p7b производится утилитой командной строки certreq, вот вместо нее (ну, естественно, с корректировкой атрибутов) и хочу подложить вашу cryptcp.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 28.04.2011(UTC) Сообщений: 15 Откуда: Москва
|
Подскажите, удалось реализовать данную схему? По поводу регистрации пользователя вроде разобрался, хотя и с костылями, а вот как быть с выпуском сертификата по готовому файлу запроса?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,187 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Автор: Titanik56 Подскажите, удалось реализовать данную схему? По поводу регистрации пользователя вроде разобрался, хотя и с костылями, а вот как быть с выпуском сертификата по готовому файлу запроса? Здравствуйте. Рекомендую ознакомиться с ИВП ЖТЯИ.00078 01 90 05 ПАК КриптоПро УЦ 2.0. Руководство программиста В документации описаны методы для отправки запросов на регистрацию\сертификат, так и одобрение этих запросов. Примеры работы методов есть на CD диске с дистрибутивом УЦ 2.0. |
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Взаимодействие с удаленным УЦ из командной строки
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close