Статус: Участник
Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 13
Сказал(а) «Спасибо»: 3 раз
|
Т.е. вы экспортируете командой Цитата:certmgr.exe -export -pfx -container "\\.\HDIMAGE\111" -dest "C:\cert.pfx" И у вас в отладочной информации выводится ДА?! Цитата:PrivateKey Link : Yes Пробую на Windows 10 20H2 (19042.804), на 2019 1809 (17763.1) аналогичная ситуация. Подозреваю, что ОС по умолчанию при экспорте в PFX пытается сделать экспорт без закрытого ключа, об этом и стандартная оснастка ОС намекает. В выводе Цитата:certmgr.exe -export -help ни слова про экспорт с/без закрытого ключа из контейнера ... какой то недокументированный ключ есть? С какими параметрами вы запускаете?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,234  Сказал(а) «Спасибо»: 106 раз
Поблагодарили: 296 раз в 276 постах
|
да с такими же как и у вас.
какой билд csp у вас?
вы от того пользователя запускаете?
если сделать certmgr -list какой будет вывод в той же консоли |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 13
Сказал(а) «Спасибо»: 3 раз
|
CSP 5.0.11455Если удалить сертификат из ОС, зайти в оснастку КП, из оснастки КП установить кнопкой сертификат (в ОС он появится как с закрытым ключом), то вывод команды: Покажет сертификаты среди которых будет нужный, у которого будет атрибут закрытого ключа и связь на правильный контейнер. Т.е. вроде всё верно. Ну не "контур" же кривые сертификаты выдаёт, которые утилитка не может экспортировать? Цитата:6------- Issuer : E=ca@skbkontur.ru, ОГРН=1026605606620, ИНН=006663003127, C=RU, S=66 Свердловская область, L=Екатеринбург, STREET="улица Народной воли, строение 19А", OU=Удостоверяющий центр, O="АО ""ПФ ""СКБ КОНТУР""", CN="АО ""ПФ ""СКБ КОНТУР""" Subject : секретик Serial : цифры SHA1 Hash : цифры SubjKeyID : цифры Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits) Not valid before : 11/99/2000 05:55:00 UTC Not valid after : 11/99/2222 05:55:11 UTC PrivateKey Link : Yes Container : HDIMAGE\\111\AAA Provider Name : Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0 CA cert URL : http://cdp.skbkontur.ru/...es/skbkontur-q1-2020.crtCA cert URL : http://cdp2.skbkontur.ru...es/skbkontur-q1-2020.crtCDP : http://cdp.skbkontur.ru/cdp/skbkontur-q1-2020.crlCDP : http://cdp2.skbkontur.ru/cdp/skbkontur-q1-2020.crlExtended Key Usage : 1.3.6.1.5.5.7.3.2 1.2.643.2.2.34.6 1.3.6.1.5.5.7.3.4 1.2.643.3.7.8.1 1.2.643.3.7.1.1.1 1.2.643.3.7.1
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,234 Сказал(а) «Спасибо»: 106 раз
Поблагодарили: 296 раз в 276 постах
|
А теперь протестируйте контейнер и приложите вывод |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 13
Сказал(а) «Спасибо»: 3 раз
|
Цитата:.\csptest -keyset -check -container "HDIMAGE\\111\AAA" Цитата:CSP (Type:80) v5.0.10003 KC1 Release Ver:5.0.11455 OS:Windows CPU:IA32 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 16334800
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Container name: "секретик"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0xf89bc0
Symmetric key is not available.
UEC key is not available.
License: Cert without license
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Check import passed.
Certificate in container matches AT_KEYEXCHANGE key.
Keys in container:
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 11.102.2222 05:55:16 (UTC)
Total: SYS: 0,063 sec USR: 0,031 sec UTC: 0,155 sec
[ErrorCode: 0x00000000] Меня единственное тут смущает, что загадочное поле "PrivKey" на 3 месяца позже сертификата. Или это не относится ни к сертификату, ни к его ключу?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,234 Сказал(а) «Спасибо»: 106 раз
Поблагодарили: 296 раз в 276 постах
|
-info еще добавьте
Сроки действия серта, срок действия зк в расширении серта и срок действия зк в расширении контейнера могут быть разными.
Интересное у вас расширение
PrivKey: Not specified - 11.102.2222 05:55:16 |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 13
Сказал(а) «Спасибо»: 3 раз
|
Добрый день. Если вы про фактическую дату - не обращайте внимание, это для конспирации. Но интервалы между конечными участками сохранены. Если вы про Not specified то сам не знаю, почему начальная отметка не задаётся. Цитата:CSP (Type:80) v5.0.10003 KC1 Release Ver:5.0.11455 OS:Windows CPU:IA32 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 6577264
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Container name: секретик
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x671000
Symmetric key is not available.
UEC key is not available.
CSP algorithms info:
Type:Encrypt Name:'GOST 28147-89'(14) Long:'GOST 28147-89'(14)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026142
Type:Hash Name:'GR 34.11-2012 256'(18) Long:'GOST R 34.11-2012 256'(22)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00032801
Type:Signature Name:'GR 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256'(22)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00011849
Type:Exchange Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00043590
Type:Exchange Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00043591
Type:Hash Name:'GOST 28147-89 MAC'(18) Long:'GOST 28147-89 MAC'(18)
DefaultLen:32 MinLen:8 MaxLen:32 Prot:0 Algid:00032799
Type:Hash Name:'GR34.11-12 256 HMAC'(20) Long:'GOST R 34.11-2012 256 HMAC'(27)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00032820
Status:
ControlKeyTimeValidity: 1
Provider handles used: 3
Provider handles max: 1048576
CPU Usage: 17 %
CPU Usage by CSP: 0 %
Measurement interval: 112 ms
Virtual memory used: 8501752 KB
Virtual memory used by CSP: 4908 KB
Free virtual memory: 4132620 KB
Total virtual memory: 12634372 KB
Physical memory used: 4868396 KB
Physical memory used by CSP: 12840 KB
Free physical memory: 1370072 KB
Total physical memory: 6238468 KB
Key pair info:
HCRYPTKEY: 0x671000
AlgID: CALG_DH_GR3410_12_256_SF = 0x0000aa46 (00043590):
AlgClass: ALG_CLASS_KEY_EXCHANGE
AlgType: ALG_TYPE_DH
AlgSID: 70
KP_HASHOID:
1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
KP_DHOID:
1.2.643.2.2.36.0 (ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию)
KP_SIGNATUREOID:
1.2.643.2.2.36.0 (ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию)
Permissions:
CRYPT_EXPORT
CRYPT_READ
CRYPT_WRITE
CRYPT_IMPORT_KEY
0x800
0x10000
0x20000
0x100000
KP_CERTIFICATE:
Subject: секретик
Issuer : E=ca@skbkontur.ru, ОГРН=1026605606620, ИНН=006663003127, C=RU, S=66 Свердловская область, L=Екатеринбург, STREET="улица Народной воли, строение 19А", OU=Удостоверяющий центр, O="АО ""ПФ ""СКБ КОНТУР""", CN="АО ""ПФ ""СКБ КОНТУР"""
PrivKey: 11.99.2000 05:55:00 - 11.99.2222 05:55:11 (UTC)
Container version: 2
Carrier flags:
This reader is non-removable.
This reader does not support unique carrier names.
This carrier does not have embedded cryptography.
License: Cert without license
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Check import passed.
Certificate in container matches AT_KEYEXCHANGE key.
Keys in container:
exchange key
Extensions (maxLength: 1435):
ParamLen: 47
OID: 1.2.643.2.2.37.3.10
Critical: FALSE
Size: 19
Decoded size: 16
PrivKey: Not specified - 11.102.2222 05:55:16 (UTC)
Total: SYS: 0,063 sec USR: 0,031 sec UTC: 0,356 sec
[ErrorCode: 0x00000000]
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 13
Сказал(а) «Спасибо»: 3 раз
|
.\csptest -keyset -check -container "HDIMAGE\\ Действующий сертификат. Нет встроенной лицензии" -info Цитата:
...
Container version: 2
Carrier flags:
This reader is non-removable.
This reader does not support unique carrier names.
This reader is not virtual.
This carrier operation mode (applet) does not use embedded cryptography.
License: Cert without license
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Check import passed.
Certificate in container matches AT_KEYEXCHANGE key.
Keys in container:
exchange key
Extensions (maxLength: 1435):
ParamLen: 47
OID: 1.2.643.2.2.37.3.10
Critical: FALSE
Size: 19
Decoded size: 16
PrivKey: Not specified - 11.102.2222 05:55:16 (UTC)
Total: SYS: 0,016 sec USR: 0,031 sec UTC: 0,347 sec
[ErrorCode: 0x00000000]
.\csptest -keyset -check -container "HDIMAGE\\ Просроченный сертификат. Нет встроенной лицензии" -info Цитата:
...
Container version: 2
Carrier flags:
This reader is non-removable.
This reader does not support unique carrier names.
This reader is not virtual.
This carrier operation mode (applet) does not use embedded cryptography.
License: Cert without license
Check container passed.
e:\branches\csp_5_0r2k\branches\csp_5_0r2k_0\csp\samples\csptest\ctkey.c:5212:UniSignHash(NULL)
Error 0x80090010: Отказано в доступе.
Total: SYS: 0,063 sec USR: 0,000 sec UTC: 0,301 sec
[ErrorCode: 0x80090010]
.\csptest -keyset -check -container "HDIMAGE\\ Просроченный сертификат. Есть некая встроенной лицензии" -info Цитата:
...
Container version: 2
Carrier flags:
This reader is non-removable.
This reader does not support unique carrier names.
This reader is not virtual.
This carrier operation mode (applet) does not use embedded cryptography.
License: Expired or not yet valid license
e:\branches\csp_5_0r2k\branches\csp_5_0r2k_0\csp\samples\csptest\check_license.c:180:Bad license
Error 0x80040112: Класс не лицензирован для использования
Total: SYS: 0,031 sec USR: 0,016 sec UTC: 0,270 sec
[ErrorCode: 0x00000001]
1. Сверху интересное поведение. Первый случай это обычный (действующий) сертификат, результат 0, во втором случае уже просроченный сертификат и результат - 1, а в третьем случае - просроченный, но с некой встроенной лицензией (видно через оснастку "Управление лицензиями ...") и результат 1. И вопрос, а что это за встроенные такие лицензии? Т.е. Си'шная функция как будто не предусматривает исключительные ситуации для некоторых случаев и возвращает тревогу. Если где-то обрабатывается её выходное состояние, то может и цепочка обработки вызовов рушиться. Мало ли кто захочет использовать туда/сюда просроченные сертификаты для проверки старой отчётности (как я). Возможно тикет разработчикам открыть?! p.s. готов принимать благо$ароность за аудит 😀 2. Обновил CSP до версии 5.0.11998 и теперь после команды в pfx есть закрытый ключ. Значит была бага в прошлых версиях?!: Цитата:.\certmgr.exe -export -pfx -container "HDIMAGE\\111\AAA" -dest "C:\crypto-tmp\cert.pfx"  Snimok.PNG (11kb) загружен 4 раз(а).3. Последний вопрос, а можно при создании контейнера как то сказать, чтобы автоматически и сертификат регистрировался в ОС (выполняется) и контейнер создавался в КП (выполняется) и дополнительно импортировался сертификат в КП (дополнительным действием только выполняется)? Может быть какой-то супер ключ есть? Цитата:.\certmgr.exe -install -pfx -file "C:\crypto-tmp\cert.pfx" -silent
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.02.2021(UTC)
Сообщений: 13
Сказал(а) «Спасибо»: 3 раз
|
Если -check не указывать, то и ошибок не будет. Наверно так и задумано ...
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,234 Сказал(а) «Спасибо»: 106 раз
Поблагодарили: 296 раз в 276 постах
|
видимо у вас раньше была просроченная лицензия.
тогда нельзя было выгружать закрытый ключ.
сейчас поведение изменили |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
