Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.02.2012(UTC)
Сообщений: 121
Откуда: Смоленск
Сказал(а) «Спасибо»: 104 раз
Поблагодарили: 27 раз в 16 постах
|
Автор: kubaev  Автор: NUCvibor Автор: kubaev ответ разработчика КриптоАРМ по поводу несовместимого ключа с ЕГАИС
"Пока что точно не выяснили причину несовместимости, но предполагаем что контейнер КриптоАРМ-а не видится ЕГАИС и плохо воспринимается Клиентом JaCarta из-за различий в присвоении идентификаторов ключевой пары. Эти идентификаторы в PKCS #11 используются для сопоставления ключевой пары сертификату (по спецификации они нужны для случая наличия нескольких сертификатов с одинаковыми DN). На практике эти идентификаторы используются аналогично имени контейнера для привязки сертификатов в Crypto API.
В КриптоАРМ-е в качестве этого идентификатора используется случайный набор байт, что соответствует спецификации. ЕГАИС и Клиент JaCarta, судя по всему, предполагают что в качестве идентификатора будет использоваться строка (что так же не противоречит спецификации). Естественно, записанные КриптоАРМ-ом случайные данные не могут быть представлены в виде строки, и по этому клиент JaCarta отображает в имени контейнера HEX, а ЕГАИС вообще его не воспринимает.
В ближайшее время предполагаем исправить эту несовместимость."
Дополню немного, с использованием SDK Аладина тоже не получается создать контейнер с именем в виде строки Кое-кому (не нам) уже удалось с использованием SDK Аладдина решить этот вопрос. А когда (дата) Вам разработчик КриптоАРМа обещал это исправить? Я сегодня им отправил на эту тему вопрос, но ещё не получил ответа. А уже (как говорится) "забот полон рот". То ли переделывать уже выпущенные сертификаты, то ли ЕГАИС (считаю, что это её "кривота" с этим УТМ) подправят? дату когда исправят не назвали, как и было процитировано "В ближайшее время предполагаем исправить эту несовместимость". С сегодняшнего дня в ЛК ЕГАИС можно скачать "боевой" УТМ и попробовать. У меня всё работает (ключ создавал в едином клиенте а запрос в крипто-арм). Спасибо, коллега, за быстрый ответ. Мы в пятницу в ЛК пытались скачать боевой УТМ, но без успеха. При этом я видел, что ЕГАИС обещала начать работу с ним только сегодня (30.11). Ну, и у наших клиентов были проблемы с установкой УТМ (мы не смогли создать стендик у себя). Сейчас и нам ЕГАИС дала скачать УТМ и даже установить, но запустить мы его не смогли. Поэтому ещё пару вопросов, если не трудно: 1. У Вас всё работает: т.е. вы целиком имитируете организацию - торговца алкоголем? 2. Сертификат ГОСТ создан вами с использованием запроса, сформированного на ещё не "исправленном" КриптоАРМе? Т.е. не исправили ли саму ЕГАИС (УТМ), пока мы тут ждём исправления КриптоАРМа?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.02.2012(UTC)
Сообщений: 121
Откуда: Смоленск
Сказал(а) «Спасибо»: 104 раз
Поблагодарили: 27 раз в 16 постах
|
Автор: zanzibeer Автор: zanzibeer Автор: Ghost-kun Автор: zanzibeer Скажите, а кто-нибудь разобрался как в криптоАРМе формировать собственные шаблоны для запроса на сертификат?
Добрый день. По адресу "Program Files\Digt\Trusted\Desktop\" есть файл CertReqTemplateDefault.xml. Там описываются шаблоны запросов. По аналогии создается свой. Я его правил, но результатов это не принесло почему-то. Потому и задал вопрос. Омг, я нуб. я правил шаблоны в папке x86. Извиняюсь за невнимательность. Бывает. Я тоже с этого начал.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.08.2014(UTC)
Сообщений: 44
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 8 раз в 5 постах
|
Автор: NUCvibor Поэтому ещё пару вопросов, если не трудно:
1. У Вас всё работает: т.е. вы целиком имитируете организацию - торговца алкоголем?
2. Сертификат ГОСТ создан вами с использованием запроса, сформированного на ещё не "исправленном" КриптоАРМе? Т.е. не исправили ли саму ЕГАИС (УТМ), пока мы тут ждём исправления КриптоАРМа? 1. Я не знаю как ответить на этот вопрос т.к. непонятно как имитировать организацию торговца алкоголем. УТМ установился, обновился и запустился на localhost:8080, web gui показывает достоверную информацию о ключах, версии и т.д, УТМ принимает запросы curl-ом и в логах не пишет ошибок. 2. Сертификат ГОСТ изготавливался в Крипто-ПРО УЦ, ключевой контейнер (закрытый и открытый ключ) в Едином клиенте jacarta, запрос на КЭП в КриптоАРМ. Как только ЦТ "пофиксят" несовместимость с ЕГАИС контейнера закрытого ключа - будем создавать ключевой контейнер (закрытый и открытый ключ) и запрос на КЭП сразу в КриптоАРМ без использования единого клиента. По ходу дела ковыряем SDK Аладина но там всё тоже самое что и в случае с КриптоАРМ, контейнер создается с идентификатором HEX:{...} и УТМ его не видит, хотя ЕГАИС пускает в ЛК и даже даёт генерить RSA
|
 3 пользователей поблагодарили kubaev за этот пост.
|
NUCvibor оставлено 30.11.2015(UTC), EvgenyP оставлено 30.11.2015(UTC), igr оставлено 02.12.2015(UTC)
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.07.2014(UTC) Сообщений: 25  Сказал(а) «Спасибо»: 3 раз
|
Добрый день коллеги!
Нужно ли вносить КПП в неструктурированное имя?
много ли тех кто не вносит? и уже начал выдачу КЭП
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.11.2010(UTC)
Сообщений: 162
Откуда: НН
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 16 раз в 13 постах
|
Кстати ключ(контейнер) сформированный из КриптоАРМа не принимается УТМмом, на данный момент он не понимает имя контенера в HEX {}.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.08.2011(UTC)
Сообщений: 79
Откуда: Россия
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 08.10.2015(UTC) Сообщений: 35 Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: ansiv Нужно ли вносить КПП в неструктурированное имя? Нужно. В первый раз делали без КПП, попали на ошибку. Во второй же раз уже добавили КПП и прошли чуть дальше - теперь ошибка с именем контейнера, пробуем метод kubaev.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.07.2014(UTC) Сообщений: 25 Сказал(а) «Спасибо»: 3 раз
|
Автор: igr Автор: ansiv Нужно ли вносить КПП в неструктурированное имя? Нужно. В первый раз делали без КПП, попали на ошибку. Во второй же раз уже добавили КПП и прошли чуть дальше - теперь ошибка с именем контейнера, пробуем метод kubaev. Вчера сделал серт без КПП, записал, подключился к ЛК, записал RSA, скачал УТМ(не тестовую). Установил. вроде все работает. get http://loacalhost:8080 проходит. Следовательно и встал вопрос внесения КПП. А нужен ли он. хочу найти тех кто создал без кпп и запустил в работу. Что бы со спокойной душой начать выдавать.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.02.2012(UTC)
Сообщений: 121
Откуда: Смоленск
Сказал(а) «Спасибо»: 104 раз
Поблагодарили: 27 раз в 16 постах
|
Автор: igr Автор: ansiv Нужно ли вносить КПП в неструктурированное имя? Нужно. В первый раз делали без КПП, попали на ошибку. Во второй же раз уже добавили КПП и прошли чуть дальше - теперь ошибка с именем контейнера, пробуем метод kubaev. Думаю, что первая ваша ошибка не была связана с отсутствием в сертификате (UN=) КПП. Мы, кстати вносим КПП, но уже практически уверены, что он не обязателен. Я обращался в Дежурную службу (ДС) ЕГАИС с этим, они ответили: не обязателен. Мы вносим на случай "как бы чего не вышло". Почему? Потому что ФСРАР (ЕГАИС) до сих пор не опубликовало внятных и авторизованных (кто за базар отвечает?) требований к сертификату. А кроме того, я не верю на все 100% этой самой ДС. Как ей верить, если почти по всем моим вопросам о формате и содержании сертификата ДС ЕГАИС отвечала: не знаем, не наше это дело. Обращение напрямую к Гущанскому (по эл почте) имело результатом удаление без прочтения моего сообщения (пришло такое извещеньице). На сайте ЕГАИС - шаром покати. Где искать правду? Уже набило оскомину предположение, что за всем этим бардаком стоит чей-то "бубновый" интерес. Другие предположения на фоне этого, конечно, выглядят неправдоподобно. Некоторые УЦ уже выпускают дееспособные серты для ЕГАИС без КПП, и серты работают. Сами дописали свои прикладные софты с использованием SDK. Мы пытаемся опробовать "метод kubaev" (дай бог ему здоровья) на реальном клиенте (думаю, сегодня будет результат эксперимента). Так нужно ли вносить КПП в неструктурированное имя? Вносите, пока можете это делать и не получите стопудовую уверенность, что не нужно. Каши он в сертификате не просит, а то вдруг РАР в ответ на ваши претензии скажет: дык, сами вы дураки, у вас же КПП нету! И что: будете им доказывать (лбом в стену), что они м...ки? (в смысле - мужики). Кстати. КПП в серте удобен как опознавательный признак. Различать десяток другой сертов на одно имя по серийным номерам сертов - дело муторное. КПП - удобнее. Но это - дело вкуса. Отредактировано пользователем 1 декабря 2015 г. 14:06:37(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.08.2014(UTC)
Сообщений: 44
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 8 раз в 5 постах
|
Автор: NUCvibor на реальном клиенте (думаю, сегодня будет результат эксперимента) при любом результате отпишитесь пожалуйста
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
