Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Вопрос MSCA c криптографией КриптоПро - выпуск сертификата с ParamSet {B/C/D}
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline SvyatoslavDem  
#1 Оставлено : 19 сентября 2023 г. 13:22:29(UTC)
SvyatoslavDem

Статус: Участник

Группы: Участники
Зарегистрирован: 24.01.2023(UTC)
Сообщений: 24
Российская Федерация
Откуда: Зеленоград

Сказал(а) «Спасибо»: 5 раз
Хотелось бы понять, как научить развернутый тестовый УЦ на базе MSCA (Windows Server 2019 ver. 1809) с криптографией КриптоПро (CSP ver. 4.0.9963) выпускать сертификаты на основе алгоритмов с рабочими параметрами B, C и D.
Для упрощения воспроизведения: указанная проблема также воспроизводится и на тестовом УЦ КриптоПро (https://testgost2012.cryptopro.ru/certsrv/).


Подробнее.

Имеет следующий набор запросов на сертификат:
* на алгоритме GOST2012-256A (OID 1.2.643.7.1.2.1.1.1)
```
-----BEGIN CERTIFICATE REQUEST-----
MIIBADCBrAIBADAcMQswCQYDVQQGEwJydTENMAsGA1UEAxMEdXNlcjBoMCEGCCqF
AwcBAQEBMBUGCSqFAwcBAgEBAQYIKoUDBwEBAgIDQwAEQHFpc38EP8eswUo+vYW9
njbxbUqDAVlv69+7Lnu2Lp+HxQ7vIZsUjTIxTSxcmSMGSyBBoqn4Boz1DtzD9bL7
ioigHzAdBgkqhkiG9w0BCQ4xEDAOMAwGA1UdDwQFAwMHgAAwDAYIKoUDBwEBAwIF
AANBABeCfuiecHok2Qj7eWAQJoRQzEm5HV4zMVAZS9GgAvxrLH67iT3sslBnd740
QSOlRAJtGVp3qtJTYzJKGIy89JA=
-----END CERTIFICATE REQUEST-----
```

* на алгоритме GOST2012-256B (OID 1.2.643.7.1.2.1.1.2)
```
-----BEGIN CERTIFICATE REQUEST-----
MIIBADCBrAIBADAcMQswCQYDVQQGEwJydTENMAsGA1UEAxMEdXNlcjBoMCEGCCqF
AwcBAQEBMBUGCSqFAwcBAgEBAgYIKoUDBwEBAgIDQwAEQEmP55Dr7XuufZS7UACi
m7nMi+7Y9lH9AWfLsDobXCHwkvXN1/JoCb8+4y7WBDg8qNGlFKxQuq0NsZHwJMTd
UB+gHzAdBgkqhkiG9w0BCQ4xEDAOMAwGA1UdDwQFAwMHgAAwDAYIKoUDBwEBAwIF
AANBALUCAdwpMe6CG5EbrjCqAgFTnyc2oGgye1ZLB8i/koDj6eM6xCVNSWssGXsx
5lpv3MbO7VgoEGcOSbCtVmZ5IO4=
-----END CERTIFICATE REQUEST-----
```

* на алгоритме GOST2012-256C (OID 1.2.643.7.1.2.1.1.3)
```
-----BEGIN CERTIFICATE REQUEST-----
MIIBADCBrAIBADAcMQswCQYDVQQGEwJydTENMAsGA1UEAxMEdXNlcjBoMCEGCCqF
AwcBAQEBMBUGCSqFAwcBAgEBAwYIKoUDBwEBAgIDQwAEQP4p6r4Zi+MvpI9mwl3C
njeg++ll4mnsA7L4BxvSIsUUoLq8aVK7uL1j1TW2rEQfL0KK3R8/xzltr94Ua8za
DySgHzAdBgkqhkiG9w0BCQ4xEDAOMAwGA1UdDwQFAwMHgAAwDAYIKoUDBwEBAwIF
AANBADXOKYpylkHyWHVrgGgdOChxabh54iX6dV+3kU++u8D/XtRI1Dh9pvlZi7ZL
ip4AtZPhsJ5OcNVo9evutqaHBis=
-----END CERTIFICATE REQUEST-----
```

* на алгоритме GOST2012-256D (OID 1.2.643.7.1.2.1.1.4)
```
-----BEGIN CERTIFICATE REQUEST-----
MIIBADCBrAIBADAcMQswCQYDVQQGEwJydTENMAsGA1UEAxMEdXNlcjBoMCEGCCqF
AwcBAQEBMBUGCSqFAwcBAgEBBAYIKoUDBwEBAgIDQwAEQEAe4HhkhVWlGTYmh8F5
aQMQiKlOiidF5LG0yTkawz5vZryHWJKdbDScAaD6zaFJRhP7QgGGBSCpPAdkCuXi
G3ygHzAdBgkqhkiG9w0BCQ4xEDAOMAwGA1UdDwQFAwMHgAAwDAYIKoUDBwEBAwIF
AANBAHtezJXyKEdWh2AWpQgxRSd0nT9SoVKjqVQSgpBMKbKshwqzjXYtx97mNnvb
Xp1I3qUDw5ThVjfUifr8BC6noTU=
-----END CERTIFICATE REQUEST-----
```

Попытка выпуска всех, кроме первого, приводит к ошибке: "Ошибка при проверке подписи запроса или сертификата подписи Набор ключей не определен".
Вверх
Offline SvyatoslavDem  
#2 Оставлено : 17 октября 2023 г. 14:21:33(UTC)
SvyatoslavDem

Статус: Участник

Группы: Участники
Зарегистрирован: 24.01.2023(UTC)
Сообщений: 24
Российская Федерация
Откуда: Зеленоград

Сказал(а) «Спасибо»: 5 раз
Удалось разобраться.

Согласно методическим рекомендациям МР 26.2.001-2020 "Использование алгоритмов ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 в сертификате, списке аннулированных сертификатов (CRL) и запросе на сертификат PKCS #10 инфраструктуры открытых ключей X.509" в описании открытого ключа и его параметров поле parameters структуры AlgorithmIdentifier:

1. Не рекомендуется включать, если используется алгоритм подписи ГОСТ Р 34.10-2012 с длиной ключа 512 бит.

2. Должно присутствовать, если используется алгоритм подписи ГОСТ Р 34.10-2012 с длиной ключа 256 бит при следующих значениях поля publicKeyParamSet:
id-GostR3410-2001-CryptoPro-A-ParamSet, "1.2.643.2.2.35.1";
id-GostR3410-2001-CryptoPro-B-ParamSet, "1.2.643.2.2.35.2";
id-GostR3410-2001-CryptoPro-C-ParamSet, "1.2.643.2.2.35.3";
id-GostR3410-2001-CryptoPro-XchA-ParamSet, "1.2.643.2.2.36.0";
id-GostR3410-2001-CryptoPro-XchB-ParamSet, "1.2.643.2.2.36.1".

При этом идентификатор digestParamSet должен быть равен идентификатору алгоритма хэширования ГОСТ Р 34.11-2012 с длиной выхода 256 бит:
id-tc26-gost3411-12-256, "1.2.643.7.1.1.2.2".

3. Не рекомендуется включать, если используется алгоритм подписи ГОСТ Р 34.10-2012 с длиной ключа 256 бит при следующем значении поля publicKeyParamSet:
id-tc26-gost-3410-2012-256-paramSetA, "1.2.643.7.1.2.1.1.1".

4. Должно отсутствовать, если используется алгоритм подписи ГОСТ Р 34.10-2012 с длиной ключа 256 бит при следующих значениях поля publicKeyParamSet:
id-tc26-gost-3410-2012-256-paramSetB, "1.2.643.7.1.2.1.1.2";
id-tc26-gost-3410-2012-256-paramSetC, "1.2.643.7.1.2.1.1.3";
id-tc26-gost-3410-2012-256-paramSetD, "1.2.643.7.1.2.1.1.4".


Создав запрос без OID-Hash 1.2.643.7.1.1.2.2, последующий выпуск на MSCA успешен.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET