logo Обзор КриптоПро NGate для защищённого доступа к корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline web115  
#1 Оставлено : 28 января 2016 г. 13:50:57(UTC)
web115

Статус: Участник

Группы: Участники
Зарегистрирован: 30.10.2013(UTC)
Сообщений: 11

Сказал(а) «Спасибо»: 3 раз
Добрый день. Есть такая проблема:
В организации большое число пользователей, которые будет использовать одну (или много) эцп. Необходимо как-то реализовать копирование эцп в реестр и связь открытого ключа с закрытым без отвлечения пользователей от работы. Может есть какая-нибудь возможность реализовать это групповыми политиками или скриптами? Была идея копировать ветку реестра через политики, но в пути есть sid пользователя (HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\"Sid пользователя"\Keys\"имя ключа в реестре"). Так же пробовал через экспорт в pfx и установку через certutil, но что-то не пойму как скопировать закрытый сертификат в реестр и связать его с открытым.
Может кто-нибудь реализовал такое... Или натолкните на мысль с помощью чего это возможно реализовать и возможно ли вообще... Brick wall
Offline basid  
#2 Оставлено : 29 января 2016 г. 4:44:27(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 740

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 92 раз в 84 постах
PsGetSid, reg /?
Offline web115  
#3 Оставлено : 29 января 2016 г. 10:43:08(UTC)
web115

Статус: Участник

Группы: Участники
Зарегистрирован: 30.10.2013(UTC)
Сообщений: 11

Сказал(а) «Спасибо»: 3 раз
т.е. у каждого пользователя нужно узнать sid, узнать имя компа, в нужном reg файле внести изменения, после этого только добавить запись в реестр. Даже если все делать скриптами получается какая-то жесть. Быстрее руками будет (если я все правильно понял)... Более универсальных способов нет? Может как-то можно прокатать политиками pfx файлик с закрытым ключом и привязать к нему личный сертификат?
Offline Андрей Писарев  
#4 Оставлено : 29 января 2016 г. 13:04:28(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 8,244
Мужчина
Российская Федерация

Сказал «Спасибо»: 279 раз
Поблагодарили: 1152 раз в 912 постах
Автор: web115 Перейти к цитате
т.е. у каждого пользователя нужно узнать sid, узнать имя компа, в нужном reg файле внести изменения, после этого только добавить запись в реестр. Даже если все делать скриптами получается какая-то жесть. Быстрее руками будет (если я все правильно понял)... Более универсальных способов нет? Может как-то можно прокатать политиками pfx файлик с закрытым ключом и привязать к нему личный сертификат?



Цитата:

certutil –f –p [certificate_password] –importpfx C:\[certificate_path_and_name].pfx
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#5 Оставлено : 29 января 2016 г. 13:08:07(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 8,244
Мужчина
Российская Федерация

Сказал «Спасибо»: 279 раз
Поблагодарили: 1152 раз в 912 постах
Хотя нет, не вышло на моем ПК, кроме появления диалога на ввод пароля к новому контейнеру:
Цитата:

CertUtil: -importPFX команда НЕ ВЫПОЛНЕНА: 0x8009000b (-2146893813)
CertUtil: Ключ не может быть использован в указанном состоянии.


Установка вручную - без ошибок.
Техническую поддержку оказываем тут
Наша база знаний
Offline web115  
#6 Оставлено : 29 января 2016 г. 14:00:38(UTC)
web115

Статус: Участник

Группы: Участники
Зарегистрирован: 30.10.2013(UTC)
Сообщений: 11

Сказал(а) «Спасибо»: 3 раз
то же самое + требует прав админа
Offline Андрей Писарев  
#7 Оставлено : 29 января 2016 г. 14:13:55(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 8,244
Мужчина
Российская Федерация

Сказал «Спасибо»: 279 раз
Поблагодарили: 1152 раз в 912 постах
cryptio.exe -e -c \\.\registry\SrcTempContainer -p 123456 -f C:\rtests\data\cont.cpa -s password
cryptio.exe -i -c \\.\registry\DestTempContainer -p 654321 -f C:\rtests\data\cont.cpa -s password


cryptio.zip (51kb) загружен 88 раз(а).

Техническую поддержку оказываем тут
Наша база знаний
thanks 2 пользователей поблагодарили Андрей Писарев за этот пост.
web115 оставлено 29.01.2016(UTC), Mike N оставлено 28.01.2019(UTC)
Offline web115  
#8 Оставлено : 29 января 2016 г. 15:28:03(UTC)
web115

Статус: Участник

Группы: Участники
Зарегистрирован: 30.10.2013(UTC)
Сообщений: 11

Сказал(а) «Спасибо»: 3 раз
С этим разобрался, спасибо. Только вот как теперь связать контейнер закрытого ключа с личным сертификатом?

Отредактировано пользователем 29 января 2016 г. 15:30:25(UTC)  | Причина: Не указана

Offline basid  
#9 Оставлено : 29 января 2016 г. 17:13:59(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 740

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 92 раз в 84 постах
Автор: web115 Перейти к цитате
Даже если все делать скриптами получается какая-то жесть. Быстрее руками будет (если я все правильно понял)...
Руками придётся или отрывать задницу от стула или цепляться дистанционно. И в том и в другом случае придётся "выгонять" пользователя.
А так - да: не надо автоматизировать разовые/редкие задачи. Или потратите больше времени, чем сделать руками или сломается, а все уже давно и прочно забыли что и как.

Offline web115  
#10 Оставлено : 29 января 2016 г. 17:56:03(UTC)
web115

Статус: Участник

Группы: Участники
Зарегистрирован: 30.10.2013(UTC)
Сообщений: 11

Сказал(а) «Спасибо»: 3 раз
Проблема в том, что эти задачи не разовые и не редкие.
Offline Андрей Писарев  
#11 Оставлено : 29 января 2016 г. 18:12:22(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 8,244
Мужчина
Российская Федерация

Сказал «Спасибо»: 279 раз
Поблагодарили: 1152 раз в 912 постах
Автор: web115 Перейти к цитате
С этим разобрался, спасибо. Только вот как теперь связать контейнер закрытого ключа с личным сертификатом?


После импорта контейнера, выполнить установку сертификта из этого контейнера:
"C:\Program Files\Crypto Pro\CSP\csptest.exe" -property -cinstall -container "REGISTRY\DestTempContainer"
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей Писарев за этот пост.
web115 оставлено 29.01.2016(UTC)
Offline Андрей Писарев  
#12 Оставлено : 29 января 2016 г. 18:19:06(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 8,244
Мужчина
Российская Федерация

Сказал «Спасибо»: 279 раз
Поблагодарили: 1152 раз в 912 постах
Итого:

Цитата:
На исходном ПК:
c:\cryptio\cryptio.exe -e -c REGISTRY\\x1 -p 123456 -f c:\cryptio\cont.cpa -s secret


На другом рабочем месте:
c:\cryptio\cryptio.exe -i -c REGISTRY\\x2 -p 123456 -f c:\cryptio\cont.cpa -s secret

"C:\Program Files\Crypto Pro\CSP\csptest.exe" -property -cinstall -container "REGISTRY\\x2"

pause
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей Писарев за этот пост.
web115 оставлено 29.01.2016(UTC)
Offline web115  
#13 Оставлено : 29 января 2016 г. 21:34:40(UTC)
web115

Статус: Участник

Группы: Участники
Зарегистрирован: 30.10.2013(UTC)
Сообщений: 11

Сказал(а) «Спасибо»: 3 раз
Шикарно, спасибо.
Offline basid  
#14 Оставлено : 1 февраля 2016 г. 4:35:27(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 740

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 92 раз в 84 постах
Автор: web115 Перейти к цитате
Проблема в том, что эти задачи не разовые и не редкие.
Учите пользователей. Ключи, по большому счёту - их ответственность.
Offline lameska  
#15 Оставлено : 30 марта 2016 г. 18:45:33(UTC)
lameska

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.03.2016(UTC)
Сообщений: 7
Российская Федерация
Откуда: Moscow

Автор: Андрей * Перейти к цитате
cryptio.exe -e -c \\.\registry\SrcTempContainer -p 123456 -f C:\rtests\data\cont.cpa -s password
cryptio.exe -i -c \\.\registry\DestTempContainer -p 654321 -f C:\rtests\data\cont.cpa -s password


cryptio.zip (51kb) загружен 88 раз(а).



Подскажите пожалуйста, можно ли таким методом экспортировать все сертификаты хранящиеся в учетке?
т.е. не обозначая каждый по отдельности?
Offline Fanbir  
#16 Оставлено : 9 июля 2018 г. 15:46:22(UTC)
Fanbir

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.07.2018(UTC)
Сообщений: 7
Беларусь
Откуда: Минск

Доброго времени суток!
Подскажите, пожалуйста, варианты решения вопроса.
Имеется уставновленный .cer на продукт и имеется на локальной машине файлик .pfx
Как можно установить с помощью команд в cmd файлик .pfx ?

Отредактировано пользователем 10 июля 2018 г. 1:07:17(UTC)  | Причина: Не указана

Offline Easy23  
#17 Оставлено : 10 июля 2018 г. 14:20:26(UTC)
Easy23

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.06.2018(UTC)
Сообщений: 2
Российская Федерация
Откуда: Москва

Ребят, доброго времени суток.
Подскажите пожалуйста пытаюсь экспортировать контейнер в .cpa формат

C:\cryptio>cryptio.exe -e -c \\.\registry\e08b72f4f-9bca-d194-acda-dc0a029c24a -
p 1 -f C:\ser\sila.cpa -s 1
Error: function SaveProvContainerToFileEx failed at 488 (0x8009000b)
Error: function worker_saver failed at 815 (0x8009000b)


т.е. контейнер находит, но не может его сохранить

Отредактировано пользователем 10 июля 2018 г. 14:21:44(UTC)  | Причина: Не указана

Offline Easy23  
#18 Оставлено : 10 июля 2018 г. 17:44:23(UTC)
Easy23

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.06.2018(UTC)
Сообщений: 2
Российская Федерация
Откуда: Москва

Автор: Easy23 Перейти к цитате
Ребят, доброго времени суток.
Подскажите пожалуйста пытаюсь экспортировать контейнер в .cpa формат

C:\cryptio>cryptio.exe -e -c \\.\registry\e08b72f4f-9bca-d194-acda-dc0a029c24a -
p 1 -f C:\ser\sila.cpa -s 1
Error: function SaveProvContainerToFileEx failed at 488 (0x8009000b)
Error: function worker_saver failed at 815 (0x8009000b)


т.е. контейнер находит, но не может его сохранить




Ребят, нужно было при первом ручном импорте сертификата установить галку (Пометить этот ключ как экспортируемый, ...)

Далее выполняю действия:
//Экспорт cpa из реестра
cryptio.exe -e -c \\.\registry\9930fc54c-8e64-c4e5-603e-1031a4c84e8 -p 1 -f C:\users\vtb197165\cer\sila.cpa -s 1

//На другой машине импорт cpa в реестра
cryptio.exe -i -c \\.\registry\9930fc54c-8e64-c4e5-603e-1031a4c84e8 -p 1 -f C:\users\vtb197165\cer\sila.cpa -s 1

//перемещение сертификата в контейнер
csptest -keys -impcert C:\users\vtb197165\cer\okunev.cer -container \\.\registry\9930fc54c-8e64-c4e5-603e-1031a4c84e8 -keytype exchange -password 1

//установка сертифика из контейнера
csptest -property -cinstall -container \\.\registry\9930fc54c-8e64-c4e5-603e-1031a4c84e8


всё устанавливается, сертификат подтягивается на сайте, но при входе требует ввести пароль на контейнер и поставить чек-бокс 'запомнить пароль'
можно ли как-то в контейнере через cmd запомнить пароль ?
Offline tvan  
#19 Оставлено : 30 мая 2019 г. 6:36:44(UTC)
tvan

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.05.2019(UTC)
Сообщений: 1
Российская Федерация

Добрый день. Такой вопрос: а возможно ли с помощью утилиты Cryptio импортировать контейнер и сертификат на локальный компьютер, а не в личные сертификаты пользователя?
Offline two_oceans  
#20 Оставлено : 30 мая 2019 г. 11:31:35(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 591
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 32 раз
Поблагодарили: 127 раз в 122 постах
Автор: tvan Перейти к цитате
Добрый день. Такой вопрос: а возможно ли с помощью утилиты Cryptio импортировать контейнер и сертификат на локальный компьютер, а не в личные сертификаты пользователя?
Судя по справке нужно добавить ключ -m к команде и запустить с правами администратора.

Также есть штатные утилиты из комплекта установки КриптоПро с похожим функционалом. Это наверно больше к предпоследнему вопросу про импорт pfx "для полноты картины". Обратите внимание, что pfx от криптопро сможет прочитать только криптопро, а для импорта некриптопрошных pfx есть еще утилита p12tocp на сайте Криптопро

Можно экспортировать контейнер в pfx файл (вручную через certmgr.msc или автоматизированно через certmgr.exe), закинуть удаленно на целевой компьютер на скрытый системный ресурс (либо скопировать прямо сам контейнер с флешки), импортировать pfx через certmgr.exe (вот тут не путать с certmgr.msc). В certmgr.exe есть возможность указать как хранилище пользователя uMy так и хранилище компьютера mMy. Минус только в том, что может появиться окно КриптоПро с вводом пароля для нового контейнера. В последней версии это обещали исправить, но я еще не тестировал certmgr.exe из комплекта 4.0.9963. В крайнем случае, можно просто позвонить и попросить нажать ОК если окно появится (когда команда выполняется удаленно).

В плане тиражирования. Есть утилита PsExec позволяющая подключиться к компьютеру удаленно и увидеть вывод консольной команды - выполнять можно не только одну команду за подключение, но и указать в качестве команды cmd и получить по сути удаленную консоль от имени нужного пользователя на нужном компьютере. Либо закрепить скрипт групповой политикой на событие входа пользователя. Либо попробовать выполнить через централизованную консоль сетевых версий антивируса.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.