Скажем так, VipNet действительно умеет генерировать ключевую пару и прописывать сертификат на eToken ГОСТ, JaCard ГОСТ.
Есть одна существенная проблема, а точнее их две.
Проблема номер раз. КриптоПро использует параметр генерации ключа id-GostR3410-2001-CryptoPro-A-ParamSet, а VipNet использует параметр ключа id-GostR3410-2001-CryptoPro-XchA-ParamSet.
Проблема номер два. VipNet не выпускает сертификат для авторизации по TLS. У этой компании свой взгляд на безопасность соединения. По этой причине, ключ нельзя использовать для HTTPS соединения, ни как со стороны клиента, ни как со стороны сервера. Ну, со стороны сервера, это понятно - у этих устройств очень медленная производительность в расчетах хеш функций. Явно, они так же будут медленно работать в режиме шифрования/расшифровки. Алгоритмов с имитовставками (MAC) на аппаратном уровне, они тоже не реализуют.

Я тут недавно сделал программу на Qt, для управления ключами и сертификатами. В примерах Aladin SDK весь функционал показан.
Для тех, кто захочет осилить этот труд, даю подсказку, что дополнительный подключаемый модуль jcPKCS11x, это "Big Number part of OpenSSL 1.0.0 29 Mar 2010".
Достаточно прочитать пункт 13.7.1 из SDK: "Функция createCSR формирует запрос на выпуск сертификата". Далее, осилить примеры заполнения OID-ов для выпуска сертификатов в OpenSSL. Да, набирание правильного Subject Name, задача не самая приятная.
Подготовленный файл запроса нормально обрабатывается удостоверяющим центром. В ответ приходит сертификат, подписанный сертификатом УЦ,с алгоритмом, используемым в КриптоПро CSP.
Остается незначительная, но не самая приятная часть пути. С помощью OpenSSL разбираем сертификат и извлекаем из него значение открытого ключа. Далее, читаем на eToken/JaCard значения открытых ключей. Если ключи совпали, записываем на носитель сертификат, указав ему тот же псевдоним (alias), что присутствует у найденного открытого ключа.
Кажись всё.

А вот дальше начинается самое интересное. На сколько мне хватило ума, текущее ПО КриптоПро не умеет работать с данными аппаратными средствами.
Встает вопрос, насколько уместно обсуждать работу с данными аппаратными средствами на данном форуме?

Если вам интересно, данный эксперимент проводился в NWUDC. Рекламировать не буду.
Попробовали, сформировать нужный PKCS#10 получилось. Сертификат выдан средствами УЦ.
Поймите правильно, данный программный продукт должен распространяться с самим носителем, конечному пользователю.
Даже, если этот программный продукт выпустить под Open Source лицензией, мы сталкиваемся с тем фактом, что библиотеки поддержки носителей,
jcPKCS11 и jcPKCS11x для платформ просто так не получить с сайта производителя.
Производитель, пока что, предлагает единственную бесплатную программу JaCardGOST, которая максимум скажет, что на вашей карточке есть "нечто" и позволит это всё стереть (переформатировать) носитель.

Да, кстати, на Linux платформах, для работы этого чуда, надо установить службу (демон) pcscd.

Если я правильно понял, утилиту для формирования запроса вы писали сами?

Восхищаюсь вашим титаническим трудом. Аладдин вам очень задолжал.

Отредактировано пользователем 12 ноября 2013 г. 8:13:40(UTC)  | Причина: очень