MSCA c криптографией КриптоПро - выпуск сертификата с ParamSet {B/C/D}

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

MSCA c криптографией КриптоПро - выпуск сертификата с ParamSet {B/C/D}

Опции

Предыдущая тема Следующая тема

SvyatoslavDem		#1 Оставлено : 19 сентября 2023 г. 13:22:29(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 24.01.2023(UTC) Сообщений: 24 Откуда: Зеленоград Сказал(а) «Спасибо»: 5 раз		Хотелось бы понять, как научить развернутый тестовый УЦ на базе MSCA (Windows Server 2019 ver. 1809) с криптографией КриптоПро (CSP ver. 4.0.9963) выпускать сертификаты на основе алгоритмов с рабочими параметрами B, C и D. Для упрощения воспроизведения: указанная проблема также воспроизводится и на тестовом УЦ КриптоПро (https://testgost2012.cryptopro.ru/certsrv/). Подробнее. Имеет следующий набор запросов на сертификат: * на алгоритме GOST2012-256A (OID 1.2.643.7.1.2.1.1.1) ``` -----BEGIN CERTIFICATE REQUEST----- MIIBADCBrAIBADAcMQswCQYDVQQGEwJydTENMAsGA1UEAxMEdXNlcjBoMCEGCCqF AwcBAQEBMBUGCSqFAwcBAgEBAQYIKoUDBwEBAgIDQwAEQHFpc38EP8eswUo+vYW9 njbxbUqDAVlv69+7Lnu2Lp+HxQ7vIZsUjTIxTSxcmSMGSyBBoqn4Boz1DtzD9bL7 ioigHzAdBgkqhkiG9w0BCQ4xEDAOMAwGA1UdDwQFAwMHgAAwDAYIKoUDBwEBAwIF AANBABeCfuiecHok2Qj7eWAQJoRQzEm5HV4zMVAZS9GgAvxrLH67iT3sslBnd740 QSOlRAJtGVp3qtJTYzJKGIy89JA= -----END CERTIFICATE REQUEST----- ``` * на алгоритме GOST2012-256B (OID 1.2.643.7.1.2.1.1.2) ``` -----BEGIN CERTIFICATE REQUEST----- MIIBADCBrAIBADAcMQswCQYDVQQGEwJydTENMAsGA1UEAxMEdXNlcjBoMCEGCCqF AwcBAQEBMBUGCSqFAwcBAgEBAgYIKoUDBwEBAgIDQwAEQEmP55Dr7XuufZS7UACi m7nMi+7Y9lH9AWfLsDobXCHwkvXN1/JoCb8+4y7WBDg8qNGlFKxQuq0NsZHwJMTd UB+gHzAdBgkqhkiG9w0BCQ4xEDAOMAwGA1UdDwQFAwMHgAAwDAYIKoUDBwEBAwIF AANBALUCAdwpMe6CG5EbrjCqAgFTnyc2oGgye1ZLB8i/koDj6eM6xCVNSWssGXsx 5lpv3MbO7VgoEGcOSbCtVmZ5IO4= -----END CERTIFICATE REQUEST----- ``` * на алгоритме GOST2012-256C (OID 1.2.643.7.1.2.1.1.3) ``` -----BEGIN CERTIFICATE REQUEST----- MIIBADCBrAIBADAcMQswCQYDVQQGEwJydTENMAsGA1UEAxMEdXNlcjBoMCEGCCqF AwcBAQEBMBUGCSqFAwcBAgEBAwYIKoUDBwEBAgIDQwAEQP4p6r4Zi+MvpI9mwl3C njeg++ll4mnsA7L4BxvSIsUUoLq8aVK7uL1j1TW2rEQfL0KK3R8/xzltr94Ua8za DySgHzAdBgkqhkiG9w0BCQ4xEDAOMAwGA1UdDwQFAwMHgAAwDAYIKoUDBwEBAwIF AANBADXOKYpylkHyWHVrgGgdOChxabh54iX6dV+3kU++u8D/XtRI1Dh9pvlZi7ZL ip4AtZPhsJ5OcNVo9evutqaHBis= -----END CERTIFICATE REQUEST----- ``` * на алгоритме GOST2012-256D (OID 1.2.643.7.1.2.1.1.4) ``` -----BEGIN CERTIFICATE REQUEST----- MIIBADCBrAIBADAcMQswCQYDVQQGEwJydTENMAsGA1UEAxMEdXNlcjBoMCEGCCqF AwcBAQEBMBUGCSqFAwcBAgEBBAYIKoUDBwEBAgIDQwAEQEAe4HhkhVWlGTYmh8F5 aQMQiKlOiidF5LG0yTkawz5vZryHWJKdbDScAaD6zaFJRhP7QgGGBSCpPAdkCuXi G3ygHzAdBgkqhkiG9w0BCQ4xEDAOMAwGA1UdDwQFAwMHgAAwDAYIKoUDBwEBAwIF AANBAHtezJXyKEdWh2AWpQgxRSd0nT9SoVKjqVQSgpBMKbKshwqzjXYtx97mNnvb Xp1I3qUDw5ThVjfUifr8BC6noTU= -----END CERTIFICATE REQUEST----- ``` Попытка выпуска всех, кроме первого, приводит к ошибке: "Ошибка при проверке подписи запроса или сертификата подписи Набор ключей не определен".


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

SvyatoslavDem		#2 Оставлено : 17 октября 2023 г. 14:21:33(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 24.01.2023(UTC) Сообщений: 24 Откуда: Зеленоград Сказал(а) «Спасибо»: 5 раз		Удалось разобраться. Согласно методическим рекомендациям МР 26.2.001-2020 "Использование алгоритмов ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 в сертификате, списке аннулированных сертификатов (CRL) и запросе на сертификат PKCS #10 инфраструктуры открытых ключей X.509" в описании открытого ключа и его параметров поле parameters структуры AlgorithmIdentifier: 1. Не рекомендуется включать, если используется алгоритм подписи ГОСТ Р 34.10-2012 с длиной ключа 512 бит. 2. Должно присутствовать, если используется алгоритм подписи ГОСТ Р 34.10-2012 с длиной ключа 256 бит при следующих значениях поля publicKeyParamSet: id-GostR3410-2001-CryptoPro-A-ParamSet, "1.2.643.2.2.35.1"; id-GostR3410-2001-CryptoPro-B-ParamSet, "1.2.643.2.2.35.2"; id-GostR3410-2001-CryptoPro-C-ParamSet, "1.2.643.2.2.35.3"; id-GostR3410-2001-CryptoPro-XchA-ParamSet, "1.2.643.2.2.36.0"; id-GostR3410-2001-CryptoPro-XchB-ParamSet, "1.2.643.2.2.36.1". При этом идентификатор digestParamSet должен быть равен идентификатору алгоритма хэширования ГОСТ Р 34.11-2012 с длиной выхода 256 бит: id-tc26-gost3411-12-256, "1.2.643.7.1.1.2.2". 3. Не рекомендуется включать, если используется алгоритм подписи ГОСТ Р 34.10-2012 с длиной ключа 256 бит при следующем значении поля publicKeyParamSet: id-tc26-gost-3410-2012-256-paramSetA, "1.2.643.7.1.2.1.1.1". 4. Должно отсутствовать, если используется алгоритм подписи ГОСТ Р 34.10-2012 с длиной ключа 256 бит при следующих значениях поля publicKeyParamSet: id-tc26-gost-3410-2012-256-paramSetB, "1.2.643.7.1.2.1.1.2"; id-tc26-gost-3410-2012-256-paramSetC, "1.2.643.7.1.2.1.1.3"; id-tc26-gost-3410-2012-256-paramSetD, "1.2.643.7.1.2.1.1.4". Создав запрос без OID-Hash 1.2.643.7.1.1.2.2, последующий выпуск на MSCA успешен.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close