logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline SRG077  
#1 Оставлено : 20 января 2019 г. 13:19:31(UTC)
SRG077

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2019(UTC)
Сообщений: 5
Российская Федерация

Добрый день.
Получили для HSM серт и контейнер от стороннего аккредитованного УЦ.
планируется загрузить набор в HSM.
Но HSM воспринимает только карты (думал записать через АРМ администратора).
На АРМ администратора CryproPro CSP - это ведь КС3, а HSM это КВ.
HSM воспримет такой контейнер и сертификат?
Может есть детальная инструкция как заменить серт и ключ в HSM?

Отредактировано пользователем 20 января 2019 г. 13:20:09(UTC)  | Причина: Не указана

Offline Константин Гаинцев  
#2 Оставлено : 21 января 2019 г. 12:31:26(UTC)
Константин Гаинцев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.01.2014(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 4 раз в 4 постах
Добрый день!

Сторонний УЦ выдал сертификат с расширением "Средства электронной подписи: ПАКМ "Крипто-Про HSM""? Если нет, то формально это будет нарушением использования КЭП. Для квалифицированной подписи необходимо использовать СКЗИ, которое указанно в расширении сертификата.

Если УЦ выдало сертификат с расширением для HSM, то вопрос в том, какая версия Вашего ПАКМ и экспортируемый ли закрытый ключ?




Offline SRG077  
#3 Оставлено : 22 января 2019 г. 6:59:15(UTC)
SRG077

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2019(UTC)
Сообщений: 5
Российская Федерация

Добрый день.
Да, сертификат с расширением СЭП ПАКМ "Крипто-Про HSM".
Версия Крипто-Про HSM 2.0
ЗК экспортируемый.

Update, удалось записать контейнер и серт на карту которая шла в поставке с HSM.
Может кто подскажет как на HSM установить новый серт и контейнер.
в режиме full и admin only такого пункта на "LCD" дисплее нет.
Может есть какой-то гайд как это сделать?

Отредактировано пользователем 22 января 2019 г. 10:33:57(UTC)  | Причина: Не указана

Offline Константин Гаинцев  
#4 Оставлено : 22 января 2019 г. 12:32:40(UTC)
Константин Гаинцев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.01.2014(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 4 раз в 4 постах
На АРМ c подключением через HSM Client (трей или сервис), в командной строке выполните команду:
C:\Program Files\Crypto Pro\CSP\csptest -keycopy -provsrc "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -prodest "Crypto-Pro GOST R 34.10-2012 HSM CSP" -typesrc 80 -typedest 80 -contsrc "Имя контейнера" -contdest "Имя контейнера" -pinsrc ........ -pindest ........

Установку сертификата делаете через оснастку Крипто Про PKI, ПКМ по Крипто ПРО HSM, Все задачи - Посмотреть сертификаты в контейнере (или установить сертификат если файл сертификата хранится отдельно), выбираете провайдер, указываете, через Обзор ключ на HSM, устанавливаете.
Offline SRG077  
#5 Оставлено : 24 января 2019 г. 7:41:21(UTC)
SRG077

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2019(UTC)
Сообщений: 5
Российская Федерация

Добрый день.
Подскажите, есть 2 сервера приложений перед HSM.
На первый сервер сертификат(пользователя HSM) выпустил на HSM на карту,
для второго сервера приложений выпустили на стороннем УЦ.
Подскажите как сертификат второго сервера приложения загрузить для валидации в HSM, это уместно?
Offline Константин Гаинцев  
#6 Оставлено : 24 января 2019 г. 12:06:08(UTC)
Константин Гаинцев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.01.2014(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 4 раз в 4 постах
Здравствуйте!

Для подключения к HSM может использоваться только ключ с сертификатом, который выдан для определённого пользователя HSM, подписанный внутреннем корневым.
Offline SRG077  
#7 Оставлено : 25 января 2019 г. 15:49:58(UTC)
SRG077

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2019(UTC)
Сообщений: 5
Российская Федерация

Подскажите, возможно я не правильно что-то понял.
1. HSM может валидировать сообщения (soap\xml) от сервера приложений только с теми сертификатами, которые выпущены на нем.
2. HSM не сможет валидировать (soap\xml) сообщения от серверов приложений подписанных на сертах выданных сторонним УЦ, потому что в него в приницпе никакие серты сгрухить нельзя.
3. Сам HSM выпускает сертификаты для серверов на карту, причем что подписывает от эти серты для серверов приложений только своим root-сертификатом который самоподписанный.
4. Как другие приложения (стороних организаций) узнают что (soap\xml) сообщения, подписаны норм сертом, потому что root серт никем не подписан.
5. Для связки серверов приложений и HSM, На серверы приложений надо ставить HSM клиент?

Отредактировано пользователем 25 января 2019 г. 16:27:40(UTC)  | Причина: Не указана

Offline Александр Лавник  
#8 Оставлено : 25 января 2019 г. 16:13:29(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 1,197
Мужчина
Российская Федерация

Сказал «Спасибо»: 14 раз
Поблагодарили: 260 раз в 252 постах
Автор: SRG077 Перейти к цитате
Подскажите, возможно я не правильно что-то понял.
1. HSM может валидировать сообщения (soap\xml) от сервера приложений только с теми сертификатами, которые выпущены на нем.
2. HSM не сможет валидировать (soap\xml) сообщения от серверов приложений подписанных на сертах выданных сторонним УЦ, потому что в него в приницпе никакие серты сгрухить нельзя.
3. Сам HSM выпускает сертификаты для серверов на карту, причем что подписывает от эти серты для серверов приложений только своим root-сертификатом который самоподписанный.
4. Как другие приложения (стороних организаций) узнают что (soap\xml) сообщения, подписаны норм сертом, потому что root серт никем не подписан.
5. Для связки серверов приложений и HSM, На серверы приложений надо ставить HSM клиент?

Добрый день.

Для подключения к КриптоПро HSM используются ключи доступа и соответствующие им подписанные корневым сертификатом КриптоПро HSM сертификаты.

Ключи доступа могут быть созданы:

- локально через LCD-панель КриптоПро CSP на картах, которые идут в комплекте с КриптоПро HSM (в данном случае ключевые контейнеры неэкспортируемые),

- через web-интерфейс администратора КриптоПро HSM на любых поддерживаемых КриптоПро CSP 4.0 ключевых носителях (в данном случае ключевые контейнеры экспортируемые).

Для каждого пользователя КриптоПро HSM (по сути для каждого ключа доступа) на КриптоПро HSM есть собственное хранилище ключевых контейнеров (с или без сертификата внутри).

И уже эти ключевые контейнеры и соответствующие им сертификаты используются в конечных приложениях.
Техническую поддержку оказываем тут
Наша база знаний
Offline Александр Лавник  
#9 Оставлено : 25 января 2019 г. 16:16:48(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 1,197
Мужчина
Российская Федерация

Сказал «Спасибо»: 14 раз
Поблагодарили: 260 раз в 252 постах
Для подключения компьютера/сервера на Windows к КриптоПро HSM нужно установить КриптоПро HSM Client.

Для подключения компьютера/сервера на *nix к КриптоПро HSM нужно изменить файл конфигурации КриптоПро CSP и настроить подключение через stunnel.
Техническую поддержку оказываем тут
Наша база знаний
Offline SRG077  
#10 Оставлено : 25 января 2019 г. 16:28:31(UTC)
SRG077

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2019(UTC)
Сообщений: 5
Российская Федерация

По гайду пользователя:
"В процессе работы пользователь при помощи специализированных приложений формирует
ключи подписи в ПАКМ, формирует запросы на сертификаты ключей подписей, отправляя их в
удостоверяющие центры (УЦ), получает из УЦ готовые сертификаты ключей ЭЦП и устанавливает их
у себя. После этого он может формировать ЭЦП под документами."

подскажите как сделать:
"формирует запросы на сертификаты ключей подписей,
отправляя их в удостоверяющие центры (УЦ),
получает из УЦ готовые сертификаты ключей ЭЦП и устанавливает их у себя."

Что-то я Brick wall Brick wall Brick wall
Offline Александр Лавник  
#11 Оставлено : 25 января 2019 г. 16:39:10(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 1,197
Мужчина
Российская Федерация

Сказал «Спасибо»: 14 раз
Поблагодарили: 260 раз в 252 постах
Автор: SRG077 Перейти к цитате
По гайду пользователя:
"В процессе работы пользователь при помощи специализированных приложений формирует
ключи подписи в ПАКМ, формирует запросы на сертификаты ключей подписей, отправляя их в
удостоверяющие центры (УЦ), получает из УЦ готовые сертификаты ключей ЭЦП и устанавливает их
у себя. После этого он может формировать ЭЦП под документами."

подскажите как сделать:
"формирует запросы на сертификаты ключей подписей,
отправляя их в удостоверяющие центры (УЦ),
получает из УЦ готовые сертификаты ключей ЭЦП и устанавливает их у себя."

Что-то я Brick wall Brick wall Brick wall

Запрос на сертификат можно сформировать, например, с помощью утилиты cryptcp - пример.

По полученному файлу запроса УЦ выдаст сертификат, который может быть установлен в нужное хранилище сертификатов с привязкой к ключевому контейнеру в КриптоПро HSM.
Техническую поддержку оказываем тут
Наша база знаний
Offline koritkin  
#12 Оставлено : 15 апреля 2019 г. 11:58:36(UTC)
koritkin

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.04.2019(UTC)
Сообщений: 1

Автор: SRG077 Перейти к цитате


- через web-интерфейс администратора КриптоПро HSM на любых поддерживаемых КриптоПро CSP 4.0 ключевых носителях (в данном случае ключевые контейнеры экспортируемые).



Через web-интерфейс с АРМ админисатртора КриптоПро HSM на дискету сформировался на usb-носитель также неэскпортируемый контейнер.

Может пропустила какие-то настройки?

Также нет возможности сформировать ключ на носитель - Jacarta PKI JC200.
Offline Константин Гаинцев  
#13 Оставлено : 15 апреля 2019 г. 13:59:56(UTC)
Константин Гаинцев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.01.2014(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 4 раз в 4 постах
Через веб-интерфейс HSM - флаг экспорта добавляется по умолчанию, изменению в настройках не подлежит. Если при копировании ошибка, то возможно она связана с чем-то другим. Пришлите вывод тестирования контейнера в оснастке Крипто Про CSP, вкладка Сервис - Протестировать.

Должны работать все носители, поддерживаемые в Крипто Про CSP. Проверьте в оснастке Крипто Про CSP, вкладка Оборудование - Настроить считыватели, что добавлены "Все считыватели смарт-карт". И установлен ли "Единый Клиент JaCarta" или "JaCarta PKI"?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.