Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,777   Сказал «Спасибо»: 581 раз
Поблагодарили: 2310 раз в 1809 постах
|
это на тему - а правильно ли выбран путь? :) ЭЦП корректная, то, что сертификат УЦ не установлен - уже другая проблема... например - можно в ПО предусмотреть установку цепочки (корневой, промежуточный)... т.к. в pkcs7 есть вся цепочка... и тогда на рабочем месте пользователя будет без предупреждений (от КриптоАРМ-а или другого ПО) Отредактировано пользователем 11 марта 2012 г. 20:04:35(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.12.2011(UTC) Сообщений: 45 Откуда: Москва
|
Цитата:Чей и как?
Если корневой сертификат не установлен.. и нет доверия к сертификату... уж определись, что нужно...
Хочу чтоб корневой сертификат валялся в виде файла рядом с пользовательским сертификатом. Если такое возможно. Если невозможно, то придется его обязать устанавливать корневые сертификаты в хранилища.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,777 Сказал «Спасибо»: 581 раз
Поблагодарили: 2310 раз в 1809 постах
|
andreyxvo написал:Цитата:Чей и как?
Если корневой сертификат не установлен.. и нет доверия к сертификату... уж определись, что нужно...
Хочу чтоб корневой сертификат валялся в виде файла рядом с пользовательским сертификатом. Если такое возможно. Если невозможно, то придется его обязать устанавливать корневые сертификаты в хранилища. Цитата:
Хочу чтоб корневой сертификат валялся в виде файла рядом с пользовательским сертификатом
никто не против... если для создания ЭЦП и вложения в pkcs7 .. а для проверки пути сертификации в стороннем ПО (КриптоАРМ) - необходимо будет его установить в корневые... задача в чем? теперь, чтобы КриптоАРМ сообщал о полной корректности? тогда - устанавливай корневой это же... PKI ... Отредактировано пользователем 11 марта 2012 г. 20:10:11(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.12.2011(UTC) Сообщений: 45 Откуда: Москва
|
Да. Задача именно в том, чтоб не только мое "произведение" признавало эту подпись, но и КриптоАрм, и прочие продукты. Если правильно понял, то: Вариант 1: Все оставляю как есть. Только устанавливаю корневой сертификат в хранилище. А пользовательский беру из файла (cer). Вариант 2: 1.Сохраняю сертификат пользователя в p7b. 2.После создания ЭЦП, добавляю всю цепочку сертификатов прописаных в нем, в подпись. Но при этом возникает вопрос, примет ли КриптоАрм мою подпись без установленного в хранилище корневого сертификата? Вообще правильный ли подход? Тут был провакационный вопрос про ключи. ни в *.cer ни в *.p7s закрытые ключи не экспортируюстя. Как создать без них подпись? Судя по всему вариант 2 как-то не очень правилен. При варианте 1, устанавливать корневой сертификат, скорее всего следует на машину, где будет проверяться подпись, с помощью сторонних средств, Например КриптоАРМ. На других он не нужен. Отредактировано пользователем 11 марта 2012 г. 20:25:28(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,777 Сказал «Спасибо»: 581 раз
Поблагодарили: 2310 раз в 1809 постах
|
andreyxvo написал:Да. Задача именно в том, чтоб не только мое "произведение" признавало эту подпись, но и КриптоАрм, и прочие продукты.
Если правильно понял, то:
Вариант 1:
Все оставляю как есть. Только устанавливаю корневой сертификат в хранилище. А пользовательский беру из файла (cer).
Вариант 2:
1.Сохраняю сертификат пользователя в p7b.
2.После создания ЭЦП, добавляю всю цепочку сертификатов прописаных в нем, в подпись.
Но при этом возникает вопрос, примет ли КриптоАрм мою подпись без установленного в хранилище корневого сертификата? Вообще правильный ли подход?
Тут был провакационный вопрос про ключи. ни в *.cer ни в *.p7s закрытые ключи не экспортируюстя. Как создать без них подпись?
Судя по всему вариант 2 как-то не очень правилен.
Цитата:Тут был провакационный вопрос про ключи. ни в *.cer ни в *.p7s закрытые ключи не экспортируюстя. Как создать без них подпись? твой закрытый ключ с сертификатом прекрасно экспортируется в p12 (т.к. RSA) только зачем его экспортировать? :) для создания ЭЦП - нужен закрытый ключ... закрытый ключ - в контейнере... контейнер ... (где-то рядом) ... получишь доступ к закрытому ключу - сделаешь ЭЦП... КриптоАРМ - примет, но сообщит о проблеме в цепочке сертификации. Корневой - должен быть установлен Цитата:
Как создать без них подпись?
без закрытого ключа - никак... а про установленный сертификат\и потом удаленный\ со ссылкой на закрытый ключ: говоришь получилось же... (удалил сертификат из хранилища ... создал ЭЦП, вложил сертификаты... ) Отредактировано пользователем 11 марта 2012 г. 20:27:22(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.12.2011(UTC) Сообщений: 45 Откуда: Москва
|
Про RSA :). Криптопровайдер стандартный виндовый, потому что на праздниках посеял свою флешку. И ГОСТовскую криптографию использовать пока не могу. Т.к. к существующему сертификату ключи посеяны вместе с ней, А новый создать не могу, т.к. нет флешки на что ключи кинуть. Ну так, что, господа, Профессионалы. Подскажите чайнику! По какому пути идти. Чтоб не загнать себя в тупик. Мне ближе вариант: 1. Получаю контекст пользовательского сертификата из файла .cer. Не обращая внимание на наличие корневых сертификатов на машине подписанта. hStore = CertOpenStore(CERT_STORE_PROV_FILENAME,..) CertFindCertificateInStore(hStore,...) 2. Создаю на основе него подпись. CryptSignMessage(...) 3. При проверке подписи, сторонними продуктами, обязываю заказчика иметь вся цепочку сертификатов, установленных в системное хранилище. На Ваш взгляд, правилен ли такой подход? Отредактировано пользователем 11 марта 2012 г. 20:43:40(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.12.2011(UTC) Сообщений: 45 Откуда: Москва
|
Вопрос все еще актуален... Подскажите пожалуйста!
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,777 Сказал «Спасибо»: 581 раз
Поблагодарили: 2310 раз в 1809 постах
|
пропущен пункт 0) связка сертификата и контейнера на машине ... - если все ОК - тогда так и оставляй :) |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.12.2011(UTC) Сообщений: 45 Откуда: Москва
|
Спасибо! По какому адресу выслать бандероль с коньяком?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,777 Сказал «Спасибо»: 581 раз
Поблагодарили: 2310 раз в 1809 постах
|
andreyxvo написал:
Спасибо! По какому адресу выслать бандероль с коньяком?
Написал в РМ |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
