Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline two_oceans  
#11 Оставлено : 24 сентября 2021 г. 13:02:12(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Добрый день.
Утилитами, которые работают с кодировкой ASN.1
Например, если есть openssl, то подойдет команда openssl asn1parse
В обычном режиме она позволяет просмотреть что закодировано
Код:
D:\Programs\OpenSSL110\bin>openssl asn1parse -in c:\__\dns.ext -inform DER
выведет


https://www.openssl.org/....0.2/man1/asn1parse.html
https://www.openssl.org/...ASN1_generate_nconf.html
Для создания кодированной ASN.1 структуры там же есть параметры -genstr или -genconf и -out
Код:
D:\Programs\OpenSSL110\bin>openssl asn1parse -genconf c:\__\11.txt -out c:\__\dns2.ext
Совмещенный конфиг, создает файл одинаковый с dns.ext. Думаю не надо лишний раз объяснять, что domain.ru менять под себя. Имена параметров в секции в которую перешли как SEQUENCE в общем-то игнорируются, но если одинаковые, то либо в начале пишется разная цифра 0.name 1.name либо в конце name.0 name.1
Код:
asn1=SEQUENCE:MyExt1

[MyExt1]
name=OID:X509v3 Subject Alternative Name
value=OCTWRAP,SEQUENCE:MyExt2

[MyExt2]
name.0=IMPLICIT:2C,IA5:domain.ru
name.1=IMPLICIT:2C,IA5:*.domain.ru
Замечу, что если кодируете аналогичное в конфиге самого openssl для создания запроса на сертификат, то это задается гораздо проще, так как openssl уже знает что это расширение и какой формат расширения, делает большую часть работы на автомате:
Код:
subjectAltName = @alt_names

[alt_names]
DNS.1   = a.res-nsdi.ru
IP.1	= 195.208.4.1

Отредактировано пользователем 24 сентября 2021 г. 13:05:10(UTC)  | Причина: Не указана

thanks 2 пользователей поблагодарили two_oceans за этот пост.
Александр Лавник оставлено 24.09.2021(UTC), Захар Тихонов оставлено 24.09.2021(UTC)
Offline Ilya1991  
#12 Оставлено : 20 октября 2021 г. 7:26:03(UTC)
Ilya1991

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.10.2021(UTC)
Сообщений: 2
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Александр Лавник Перейти к цитате
Автор: SIB_ZK Перейти к цитате
В документации нет упоминание о возможности использования параметра -altname.
Уточните, пжл, где именно это указано.
Вероятно, еще не внесли в документацию.

Сборка КриптоПро CSP 5.0.12266 (5.0 R3 на текущий момент)- промежуточная несертифицированная.

Посмотреть наличие параметра можно во встроенной справке:

Код:
cryptcp -creatrqst -help

...

-altname <имя>   добавить альтернативное имя субъекта (DNS-name) к запросу

...


Добрый день, кто сможет по подробнее описать, как можно сформировать запрос на сертификат с дополнительным полем SAN. Только не в openssl.
С алгоритмом ГОСТ Р 34.11-2012 256 бит. КриптоПро CSP 5.0.12266 поставил. Столкнулся с этим впервые, буду очень благодарен!
Offline SIB_ZK  
#13 Оставлено : 20 октября 2021 г. 7:31:45(UTC)
SIB_ZK

Статус: Участник

Группы: Участники
Зарегистрирован: 12.01.2021(UTC)
Сообщений: 17
Российская Федерация
Откуда: Новосибирск

Поблагодарили: 1 раз в 1 постах
Добрый день!

1. Устанавливаешь КриптоПро CSP 5.0. Можно использовать временную лицензию на 14 дней.
2. Скачать утилиту cryptcp.x64.exe для КриптоПро CSP 5.0 с официального сайта КриптоПро.
3. Выполняем команду
путь\cryptcp.x64.exe -creatrqst путь\test.csr -provtype 80 -cont TEST -dn "C=**,ST=*,L=*,O=*,OU=*,CN=*" -both -ku -hashAlg 1.2.643.7.1.1.2.2 -certusage "1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2" -altname *
где:
путь\test.cs - место расположение запроса. ВАЖНО!!! Запрос создается без -----BEGIN CERTIFICATE REQUEST----- (в начале) и -----END CERTIFICATE REQUEST----- (в конце). Данные строки необходимо добавить руками.
-provtype 80 - используемый алгоритм.
75 GOST R 34.10-2001 Signature with Diffie-Hellman Key Exchange
80 GOST R 34.10-2012 (256) Signature with Diffie-Hellman Key Exchange
81 GOST R 34.10-2012 (512) Signature with Diffie-Hellman Key Exchange
-cont TEST - создать контейнер закрытого ключа с именем ***.
-dn "C=..." - данные субъекта.
-both - использование сертификата для подписи и шифрования.
-certusage "1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2" - использования сертификата. проверка клиента и сервера.
-altname - добавить доменное имя.

Отредактировано пользователем 20 октября 2021 г. 7:32:37(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил SIB_ZK за этот пост.
Ilya1991 оставлено 20.10.2021(UTC)
Offline Александр Лавник  
#14 Оставлено : 20 октября 2021 г. 10:02:27(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,375
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: SIB_ZK Перейти к цитате
Добрый день!

1. Устанавливаешь КриптоПро CSP 5.0. Можно использовать временную лицензию на 14 дней.
2. Скачать утилиту cryptcp.x64.exe для КриптоПро CSP 5.0 с официального сайта КриптоПро.
3. Выполняем команду
путь\cryptcp.x64.exe -creatrqst путь\test.csr -provtype 80 -cont TEST -dn "C=**,ST=*,L=*,O=*,OU=*,CN=*" -both -ku -hashAlg 1.2.643.7.1.1.2.2 -certusage "1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2" -altname *
где:
путь\test.cs - место расположение запроса. ВАЖНО!!! Запрос создается без -----BEGIN CERTIFICATE REQUEST----- (в начале) и -----END CERTIFICATE REQUEST----- (в конце). Данные строки необходимо добавить руками.
-provtype 80 - используемый алгоритм.
75 GOST R 34.10-2001 Signature with Diffie-Hellman Key Exchange
80 GOST R 34.10-2012 (256) Signature with Diffie-Hellman Key Exchange
81 GOST R 34.10-2012 (512) Signature with Diffie-Hellman Key Exchange
-cont TEST - создать контейнер закрытого ключа с именем ***.
-dn "C=..." - данные субъекта.
-both - использование сертификата для подписи и шифрования.
-certusage "1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2" - использования сертификата. проверка клиента и сервера.
-altname - добавить доменное имя.
Здравствуйте.

Пара уточнений:

1) Демо-лицензия КриптоПро CSP действует 3 месяца с момента первой установки.

2) Для создания запроса на сертификат действующая лицензия КриптоПро CSP вообще не нужна.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
Ilya1991 оставлено 20.10.2021(UTC)
Offline Ilya1991  
#15 Оставлено : 20 октября 2021 г. 11:57:01(UTC)
Ilya1991

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.10.2021(UTC)
Сообщений: 2
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Огромнейшее спасибо SIB_ZK и Александру!
Запрос создается С -----BEGIN CERTIFICATE REQUEST----- (в начале) и -----END CERTIFICATE REQUEST----- (в конце)
Руками дописывать не требуется.
Offline pushka_bambom228  
#16 Оставлено : 23 ноября 2023 г. 15:43:32(UTC)
pushka_bambom228

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2023(UTC)
Сообщений: 7
Откуда: Москва

Коллеги, добрый день!
У меня появился вопрос, который касается создания pkcs10. Не могли бы вы подсказать, на форуме у вас представлена функция, которая включает в себя ДСЧ, а после формирование запроса на сертификат. Есть ли у вас методы/возможности, которые бы позволили создать запрос на сертификат уже с существующим контейнером на токене? То есть пропустить шаг ДСЧ, а просто передать, например, идентификатор ключевого контейнера для формирования запроса на сертификат.
Спасибо!
Online Русев Андрей  
#17 Оставлено : 24 ноября 2023 г. 12:09:33(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,260

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 442 раз в 322 постах
Если вы имеете в виду cryptcp -creatrqst, то да:
Код:
cryptcp -creatrqst -nokeygen -cont имя_конетейнера -rdn CN=что-то sample.req
Официальная техподдержка. Официальная база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.