Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.05.2016(UTC) Сообщений: 19   Откуда: Москва Поблагодарили: 5 раз в 5 постах
|
Добрый день.
Попробуйте вызвать p12util с параметрами -noMACVerify и -noCPKM сначала по отдельности, потом вместе.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.11.2015(UTC)
Сообщений: 3
|
Автор: nikolaev  Добрый день.
Попробуйте вызвать p12util с параметрами -noMACVerify и -noCPKM сначала по отдельности, потом вместе. Добрый день, не помогло :( поигрался с параметрами OpenSSL - тот же результат: Цитата:openssl pkcs12 -engine gost -export -in cert.crt -inkey cert.key -certfile ca.pem -keypbe gost89 -certpbe gost89 -macalg md_gost94 -out out.pfx
openssl pkcs12 -engine gost -export -in cert.crt -inkey cert.key -certfile ca.pem -keypbe gost89 -certpbe gost89 -out out.pfx
openssl pkcs12 -engine gost -export -in cert.crt -inkey cert.key -certfile ca.pem -out out.pfx
Вот certmgr.exe Цитата:C:\Program Files\Crypto Pro\CSP>certmgr.exe -inst -pfx -keep_exportable -pin "1234567890" -file "out.pfx"
Certmgr 1.1 (c) "Crypto-Pro", 2007-2019.
program for managing certificates, CRLs and stores
Error while importing pfx
An error occurred during encode or decode operation.
[ErrorCode: 0x80092002]
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 396 раз в 366 постах
|
Тоже не очень понимаю эту головоломку. У меня конкретно был случай, что несколько лет назад перевел ключ гост-2001 в pem формат и использовал для внутреннего УЦ на основе openssl. Потом вышла gostengy и там была возможность работать именно с контейнером КриптоПро без перевода и openssl 1.1.0 стала формировать ОГРН ИНН правильно. Вот только исходный контейнер/pfx уже утерялись/уничтожены и перевести ключ в контейнер снова у меня не вышло. Однако перескажу, что мне отвечали в процессе: для pfx по требованиям ТК26 нужно использовать утилиту p12tocp. Как сформировать по требованиям ТК26 в openssl так и осталось для меня загадкой - с учетом вывода гост-2001 это уже стало не так актуально.
Для certmgr.exe в то же время используется собственный алгоритм КриптоПро не по требованиям TK 26, а с непонятным для openssl оидом, в нем как я понял фактически используются не только гост, а еще и зарубежные алгоритмы. Поэтому скорее всего экспортировав pfx с алгоритмами гост, импортировать такой pfx в certmgr не выйдет в принципе.
С p12tocp шансов на успех больше. На днях тут на форуме мелькнула новая версия утилиты, возможно она подойдет.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.05.2016(UTC) Сообщений: 19 Откуда: Москва Поблагодарили: 5 раз в 5 постах
|
shade777, а у Вас свежая версия утилиты? Если нет - скачайте свежую и попробуйте её. Если таки свежая - пришлите, пожалуйста, тестовый pfx контейнер.
two_oceans, certmgr, действительно, производит экспорт pfx только специального формата. Контейнеры ТК26 при этом могут быть импортированы.
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 396 раз в 366 постах
|
Автор: nikolaev two_oceans, certmgr, действительно, производит экспорт pfx только специального формата. Контейнеры ТК26 при этом могут быть импортированы. Спасибо за уточнение, приму к сведению.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 10.01.2022(UTC) Сообщений: 3 Откуда: Moscow Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
Добрый день! Какие в итоге должны быть параметры openssl при создании pfx файла, чтобы можно было успешно сконвертировать через утилиту p12tocp? С текущей версией утилиты получаю всё ту же ошибку Код:Failed to open PKCS#12 key container file.
Failed while executing
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 396 раз в 366 постах
|
Добрый день. Попробовать все не было нужды но вроде как шифрование гост-89, хэши гост-2012 512. Однако у утилиты есть еше и параметры для пропуска проверок -noCPKM -noMACVerify , поэтому в теории можно вытащить ключи и из старых версий, которые гост-2012 не умеют. Вот такой пример был в том сообщении. Код:openssl pkcs12 -engine gost -export -inkey seckey.pem -in cert.pem -out pkcs12.p12 -password pass:12345 -keypbe gost89 -certpbe gost89 -macalg md_gost12_512
Отредактировано пользователем 10 января 2022 г. 20:13:10(UTC)
| Причина: Не указана
|
 1 пользователь поблагодарил two_oceans за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 10.01.2022(UTC) Сообщений: 3 Откуда: Moscow Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
@two_oceans, спасибо за ответ, но понятней не стало. "В теории" может и должно работать, но на практике пока не получается. Генерирую pfx файл следующим набором команд: Код:
$ /usr/local/bin/openssl version
OpenSSL 1.1.1g 21 Apr 2020
$ /usr/local/bin/openssl engine
(dynamic) Dynamic engine loading support
(gost) Reference implementation of GOST engine
$ /usr/local/bin/openssl genpkey -algorithm gost2012_512 -pkeyopt paramset:A -out gost-key-2.pem
$ /usr/local/bin/openssl req -x509 -nodes -days 10000 -key gost-key-2.pem -out gost-cert-2.pem
$ /usr/local/bin/openssl pkcs12 -engine gost -export -inkey gost-key-2.pem -in gost-cert-2.pem -name gost-cryptopro -out gost.pfx
Затем передаю pfx файл утилите (пробовал и с -noMACVerify и с -noCPKM в разных комбинациях - результат одинаковый) Код:
p12util.x64.exe -p12tocp -rdrfolder . -infile .\gost.pfx -contname gost -ex -passp12 PASSWORD -passcp PASSWORD -noCPKM -noMACVerify
Failed to open PKCS#12 key container file.
Failed while executing.
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 396 раз в 366 постах
|
В сообщении выше добавлен пример строки. Его не пробовали?
|
1 пользователь поблагодарил two_oceans за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 10.01.2022(UTC) Сообщений: 3 Откуда: Moscow Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
Там в команде не хватает pkcs12 перед -engineПолучилось, спасибо! А как теперь этот контейнер импортировать в cryptopro? Код:10.01.2022 13:54 68 primary2.key
10.01.2022 13:54 88 masks2.key
10.01.2022 13:54 893 header.key
10.01.2022 13:54 88 masks.key
10.01.2022 13:54 68 primary.key
10.01.2022 13:54 8 name.key
Update: Разобрался, ответ здесь. Ещё раз спасибо! Отредактировано пользователем 10 января 2022 г. 14:29:21(UTC)
| Причина: Не указана
|
1 пользователь поблагодарил mefimov за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
