Статус: Новичок
Группы: Участники
Зарегистрирован: 02.09.2019(UTC) Сообщений: 2  Сказал(а) «Спасибо»: 2 раз
|
Добрый день.
Есть инструкция по установке сертификата посредством КриптоПРО в личное хранилище пользователя:
КриптоПРО CSP => сервис => просмотреть сертификаты в контейнере => выбираю рутокен => установить сертификат, после чего устанавливаю его в личное хранилище пользователя.
Нужна консольная команда для вышеперечисленных операций, с использованием csptest\certmgr.
Находил в сети два варианта:
csptest -property -cinstall -cont имя_контейнера
и
csptest -absorb -certs
В чем разница?
Важно, чтобы сертификат был установлен в личное с привязкой к контейнеру закрытого ключа и на самом рутокене все осталось без изменений(ничего с него не удалилось).
Заранее спасибо.
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Автор: pavel_nsk  csptest -property -cinstall -cont имя_контейнера
и
csptest -absorb -certs
В чем разница? Первая под конкретный контейнер, в приведенном виде устанавливает сертификат из контейнера в хранилище, но есть и вариант наоборот с установкой сертификата в контейнер. Детали лучше посмотреть в справке. Вторая перечисляет все доступные в момент выполнения контейнеры (и реестр и флешки и токены), в приведенном виде команды ставятся сертификаты из контейнеров в хранилище личное пользователя и не трогаются сертификаты УЦ. Можно указать "-pattern регулярное_выражение" для установки только с токенов или только флешек или только реестра (для УЦ ФК и для определенного человека); "-machine" для установки в хранилище компьютера; "-roots" для корневых сертификатов в соответствующее хранилище.
|
 1 пользователь поблагодарил two_oceans за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 02.09.2019(UTC) Сообщений: 2 Сказал(а) «Спасибо»: 2 раз
|
Автор: two_oceans Автор: pavel_nsk csptest -property -cinstall -cont имя_контейнера
и
csptest -absorb -certs
В чем разница? Первая под конкретный контейнер, в приведенном виде устанавливает сертификат из контейнера в хранилище, но есть и вариант наоборот с установкой сертификата в контейнер. Детали лучше посмотреть в справке. Вторая перечисляет все доступные в момент выполнения контейнеры (и реестр и флешки и токены), в приведенном виде команды ставятся сертификаты из контейнеров в хранилище личное пользователя и не трогаются сертификаты УЦ. Можно указать "-pattern регулярное_выражение" для установки только с токенов или только флешек или только реестра (для УЦ ФК и для определенного человека); "-machine" для установки в хранилище компьютера; "-roots" для корневых сертификатов в соответствующее хранилище. Можете подсказать, что подразумевается под сертификатами УЦ?На токене один сертификат. В первом случае(csptest -property -cinstall -cont имя_контейнера), как я понял, надо в явном виде указать имя контейнера. Можно его как-то посмотреть через csptest? Команда csptest -property - help говорит, что атрибут -cinstall (Install certificate from container to 'MY' store) установит сертификат с контейнера в личные сертификаты, что вроде как подходит. Но будет ли установлена ссылка на закрытый ключ? Заранее спасибо.
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Автор: pavel_nsk Можете подсказать, что подразумевается под сертификатами УЦ?На токене один сертификат.
В первом случае(csptest -property -cinstall -cont имя_контейнера), как я понял, надо в явном виде указать имя контейнера. Можно его как-то посмотреть через csptest?
Команда csptest -property - help говорит, что атрибут -cinstall (Install certificate from container to 'MY' store) установит сертификат с контейнера в личные сертификаты, что вроде как подходит. Но будет ли установлена ссылка на закрытый ключ?
Заранее спасибо. 1) в контейнере криптоПро предусмотрены два необязательных расширения, позволяющие установить в контейнер не только сам сертификат, соответствующий ключу, но и всю цепочку сертификатов до корневого сертификата (если пожелаете) - при установке сертификата мастером за это отвечает чекбокс "Установить сертификаты" в контейнер. Если обратили внимание в новых версиях КриптоПро он по умолчанию затененный или квадратик - это означает, что будет установлен только конечный сертификат, без цепочки. Если флажок отметить галочкой - будут установлены все сертификаты в цепочке, если снять отметку - ничего не будет установлено. Соответственно можно и установить и в обратном порядке, но у себя ставил токены в основном с криптоармом, не уверен подтянулись сертификаты с токена или загрузились со списком аккредитованных УЦ. 2) судя по справке будет искаться папка roots с корневыми сертификатами (полагаю, в корне флешки), тут наверно сотрудники лучше пояснят. Чуть выше в справке csptest -help сообщает что -property "property for secret key linking" то есть команда как раз предназначена для связки с закрытым ключом. Посмотреть имена контейнеров можно через конкретный экземпляр криптопровайдера, это реализовано через подкоманду -keyset (для использования без привязки к конкретному контейнеру указывается -verifycontext, а если нужно посмотреть контейнер или что-то с ним сделать, указывается -container имя_контейнера) csptest -keyset -verifycontext -enum_containers Выведется дружественная форма имени контейнера. К команде можно добавить -fqсn или -unique (можно даже оба, имена будут разделены вертикальной чертой) для разных форм имени. Приниматься должны все формы имени контейнера, но fqcn самая надежная (без пробелов), а дружественная - самая понятная (нужно брать в кавычки если есть пробелы в имени контейнера).
|
1 пользователь поблагодарил two_oceans за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
