Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline stempid468  
#1 Оставлено : 4 марта 2020 г. 16:39:51(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Добрый день.
Данная тема уже поднималась, но очень давно аж 10 лет назад и сейчас она заинтересовала вновь.
https://www.cryptopro.ru....aspx?g=posts&t=2338
Насколько мне известно это можно делать, криптопровайдеры я включил, но допустим при создании запроса и одобрении появляется сообщение "Ошибка обращения к контейнеру. Набор ключей не существует". Сам сертификат потом появляется в списке созданных сертификатов.
Цель создания таких сертификатов - выдача неквалифицированных сертификатов по алгоритму RSA сторонним компаниям, которые будут использовать его внутри своей организации (т.е. не на Госуслугах, портале ФНС и прочих гос.сервисах).
Прошу подсказать что я мог упустить при развертывании или наоборот чего не хватает в данный момент.
Заранее благодарен.
Offline Захар Тихонов  
#2 Оставлено : 5 марта 2020 г. 9:23:23(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,606
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 461 раз в 443 постах
Здравствуйте.

Автор: stempid468 Перейти к цитате
Добрый день.
Данная тема уже поднималась, но очень давно аж 10 лет назад и сейчас она заинтересовала вновь.
https://www.cryptopro.ru....aspx?g=posts&t=2338
Насколько мне известно это можно делать, криптопровайдеры я включил, но допустим при создании запроса и одобрении появляется сообщение "Ошибка обращения к контейнеру. Набор ключей не существует". Сам сертификат потом появляется в списке созданных сертификатов.
Цель создания таких сертификатов - выдача неквалифицированных сертификатов по алгоритму RSA сторонним компаниям, которые будут использовать его внутри своей организации (т.е. не на Госуслугах, портале ФНС и прочих гос.сервисах).
Прошу подсказать что я мог упустить при развертывании или наоборот чего не хватает в данный момент.
Заранее благодарен.


Т.е. вы хотите чтоб ключ ЦС был на алгоритме ГОСТ и подписывать им RSA?
Или и ключ ЦС RSA и пользовательские?

Укажите используемую сборку УЦ 2.0.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#3 Оставлено : 5 марта 2020 г. 9:38:08(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Добрый день.
Версия сборки 2.0.6904
Вот на ваш вопрос мне несколько затруднительно ответить.) Скорее всего чтобы RSA ЦС подписывал пользовательские сертификаты RSA, но при развертывании тестового УЦ для этих целей я не нашел алгоритмов по работе с RSA. Прошу меня поправить если это возможно и я этот момент мог упустить. И вот прошу подсказать есть ли какие либо особенности если ключ ЦС на госте будет подписывать сертификаты на RSA ?
Offline Захар Тихонов  
#4 Оставлено : 5 марта 2020 г. 10:02:02(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,606
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 461 раз в 443 постах
Для разрешения в УЦ 2.0 использовать сторонние провайдеры требуется выполнить команду согласно ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации Пункт 13.1 Политика криптопровайдеров.

Смешанные алгоритмы технически будут работать.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#5 Оставлено : 5 марта 2020 г. 12:05:18(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Все верно, так я и сделал ранее, сторонние провайдеры у меня отобразились, но прошу небольшой ликбез нормально ли появление такой ошибки или нет.)
Я выбираю создание сертификата
rsa_1
Потом у меня появляется сообщение установить сертификат
rsa_2
И затем появляется указанное окно
rsa_3
Сертификат после этого имеет статус действующего и отображается в списке.
Offline Захар Тихонов  
#6 Оставлено : 5 марта 2020 г. 12:12:40(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,606
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 461 раз в 443 постах
Не стоит пробовать установить сертификат в RSA контейнер. Снимите первую галку.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
stempid468 оставлено 05.03.2020(UTC)
Offline stempid468  
#7 Оставлено : 5 марта 2020 г. 12:27:47(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Спасибо, сертификат выпустился без ошибки, но хотел бы вернуться к ранее сказанному вопросу - могу ли я сделать так что бы и ключ ЦС и сертификаты были оба на RSA. Просто в процессе развертывания я такой возможности не обнаружил, только гост.
Offline Захар Тихонов  
#8 Оставлено : 5 марта 2020 г. 12:34:59(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,606
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 461 раз в 443 постах
После выполнения команды, благодаря которой у вас появились сторонние провайдеры, вы теперь и ЦС можете развернуть с этими провайдерами.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
stempid468 оставлено 05.03.2020(UTC)
Offline stempid468  
#9 Оставлено : 5 марта 2020 г. 12:42:32(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Понял, большое спасибо за подробный ответ.
Offline stempid468  
#10 Оставлено : 5 марта 2020 г. 17:31:34(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
А еще такой вопрос возник - при создании сертификата RSA из Консоли, что будет являться контейнером для закрытой части ?
Offline Захар Тихонов  
#11 Оставлено : 5 марта 2020 г. 17:36:29(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,606
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 461 раз в 443 постах
Автор: stempid468 Перейти к цитате
А еще такой вопрос возник - при создании сертификата RSA из Консоли, что будет являться контейнером для закрытой части ?


файл
https://docs.microsoft.c...eval?redirectedfrom=MSDN
Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#12 Оставлено : 5 марта 2020 г. 17:56:08(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Ок, из статьи я понял что ключи находятся в закрытом хранилище, но как быть если например захочу использовать RSA в качестве неквал. ЭЦП ? Как перенести закрытую часть на какой-нибудь Рутокен ?
Насколько мне известно например RSA - сертификаты в своей деятельности использует ЕГАИС.
https://egais.center-inf...D0%BA%D0%BB%D1%8E%D1%87/
Offline Захар Тихонов  
#13 Оставлено : 5 марта 2020 г. 18:00:11(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,606
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 461 раз в 443 постах
Используйте провайдер, который может записать на нужный вам токен и пользуйтесь. Какой провайдер работает с вашим токеном, стоит уточнить у производителя токена.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
stempid468 оставлено 05.03.2020(UTC)
Offline stempid468  
#14 Оставлено : 5 марта 2020 г. 18:32:42(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Ок, тогда я правильно понимаю что по умолчанию закрытая часть ставиться в хранилище Windows, но если я подключу какой нибудь токен поддерживающий RSA мне будет дана возможность выбора записи закрытой части (просто у меня под рукой нет токена чтобы проверить эту возможность)?

Отредактировано пользователем 5 марта 2020 г. 18:46:48(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#15 Оставлено : 6 марта 2020 г. 8:38:42(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,606
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 461 раз в 443 постах
Вы можете воспользоваться провайдером Microsoft Base Smart Card Crypto Provider и убедиться что идет предложение на запись в смарт карту.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#16 Оставлено : 13 марта 2020 г. 11:15:44(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Добрый день.
Прошу подсказать такой момент - начал развертывание КриптоПро УЦ, но уже полностью с использованием RSA - сертификатов и провайдеров. Дошел до этапа создание сертификата администратора ЦР , перешел в консоль управления чтобы создать запрос, но там кроме гостовских других провайдеров нет. Скажите это так и должно быть или надо было еще где поменять настройки для работы с RSA-провайдерами (до этого в процессе установки выбирал только RSA - провайдеры) ?
Offline Захар Тихонов  
#17 Оставлено : 13 марта 2020 г. 12:01:44(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,606
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 461 раз в 443 постах
В свойствах подключения, в Консоли ЦР, запрос на RSA не сделать.
Генерируйте администратору непосредственно на ЦР в Диспетчере УЦ, выполнил перед этим Set-PkiCSPPolicy Unrestricted
Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#18 Оставлено : 13 марта 2020 г. 12:30:54(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Сгенерировал, подключился, но почему то при отправке запроса на создание нового сертификата пользователя все равно висят гостовские провайдеры. В УЦ сменить на другой провайдер тоже нельзя.
prov_1

prov_2

Команду Set-PkiCSPPolicy Unrestricted вводил.
Offline Захар Тихонов  
#19 Оставлено : 13 марта 2020 г. 12:48:43(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,606
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 461 раз в 443 постах
Судя по скриншоту, вы используете шаблон Пользователь. Вы его настроили для использование зарубежный алгоритмов?
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
stempid468 оставлено 13.03.2020(UTC)
Offline stempid468  
#20 Оставлено : 13 марта 2020 г. 13:10:35(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Пардон, да не выставил нужный алгоритм в настройках шаблона.
Сейчас показывает все что нужно.
Благодарю за помощь.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.