Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline aleksey1912  
#1 Оставлено : 5 мая 2016 г. 18:19:08(UTC)
aleksey1912

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2014(UTC)
Сообщений: 19
Российская Федерация
Откуда: Нижний Новгоро

Сказал(а) «Спасибо»: 9 раз
В КриптоПро CSP существует возможность экспортировать сертификат и ключ в файл p12/pfx.
Хотелось бы просмотреть этот файл с помощью утилиты openssl.
Но она его не понимает, точно так же как КриптоПро CSP не понимает файлы p12, в которые упакован закрытый ключ и сертификат посредством openssl.

То есть у меня не получится ГОСТовые ключи сгенерированные в openssl сконвертировать в p12 и установить к себе в Windows, чтобы работать с ними через КриптПро CSP?
Подскажите пожалуйста как поступать?
Или вариант только один выполнять запрос на сертификат на клиентской машине с Windows и подписывать его в openssl?
Спасибо.
Online Максим Коллегин  
#2 Оставлено : 5 мая 2016 г. 18:21:23(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 31 раз
Поблагодарили: 702 раз в 611 постах
Формат нашего pfx отличается от p12, но использовать ключи openssl получится. Недавно мы выложили утилиту с подобным функционалом:
https://www.cryptopro.ru/downloads
Утилита для импорта транспортных контейнеров PKCS#12 в контейнеры КриптоПро CSP:

Утилита предназначена для импорта транспортных контейнеров ключей ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012, соответствующих формату PKCS#12 (с учетом Рекомендаций по стандартизации ТК 26), в контейнеры КриптоПро CSP.
p12tocp.zip

Отредактировано пользователем 5 мая 2016 г. 18:22:47(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
aleksey1912 оставлено 05.05.2016(UTC)
Offline aleksey1912  
#3 Оставлено : 5 мая 2016 г. 18:45:02(UTC)
aleksey1912

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2014(UTC)
Сообщений: 19
Российская Федерация
Откуда: Нижний Новгоро

Сказал(а) «Спасибо»: 9 раз
Подскажите пожалуйста, возможно я делаю что-то не так.
Пытаюсь выполнить команду получаю:
C:\Users\aleksey\Desktop>p12utility.x64.exe -p12tocp -rdrfolder I:\ -contname My
Cont -sg -passp12 123 -infile C:\sert12111.p12 -provtype 75
Ошибка при открытии ключевого контейнера PKCS#12.
При выполнении операции произошла ошибка.

Формировал контейнер вот так
openssl pkcs12 -engine gost -export -in demoCA/newcerts/06.pem -inkey privkey.pem -certfile demoCA/cacert.pem -name "ExportFile" -out sert12111.p12

Алгоритм подписи ГОСТ Р 34.11/34.10-2001

Отредактировано пользователем 5 мая 2016 г. 18:48:37(UTC)  | Причина: Не указана

Offline aleksey1912  
#4 Оставлено : 6 мая 2016 г. 11:49:15(UTC)
aleksey1912

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2014(UTC)
Сообщений: 19
Российская Федерация
Откуда: Нижний Новгоро

Сказал(а) «Спасибо»: 9 раз
Не подскажете в чем может быть проблема, возможно нужно какие-то еще данные от меня, могу переслать.
Контейнер в openssl читается нормально.

openssl pkcs12 -in cert12.p12

Enter Import Password:
MAC verified OK
Bag Attributes
localKeyID: 81 6D C5 13 EB 9A F2 EB 59 35 00 D7 7C C0 CF 2B C0 B3 BF DF
subject=/C=RU/ST=\xD0\x9D\xD0\xB8\xD0\xB6\xD0\xBD\xD0\xB8\xD0\xB9 \xD0\x9.........................\x9D\xD0\xB8\xD0\xB6\xD0\xBD\xD0\xB8\xD0\xB9 \xD0\x9D\xD0\xBE\xD0\xB2\xD0\xB3\xD0\xBE\xD1\x80\xD0\xBE\xD0\x////////////////////2323233
issuer=/C=RU/ST=\xD0\x9D\xD0\xB8\xD0\xB6\xD0\xBD\xD0\xB8\xD0\xB9 \xD0\x9D\xD0\xBE\xD0\xB2\xD0\xB3\xD0\xBE\xD1\x80\xD0\xBE\xD0\xB4/L=\xD0\x9D\xD0\xB8\xD0\xB6\xD0\xBD\xD0\xB8\xD0\xB9 \xD0\x9D\xD0\xBE\xD0\xB2\xD0\xB3\xD0\xBE\xD1\x80\xD0\xBE\xD0\xB4/O=\xD0\x90\xD0.........................D0\xB8\xD1\x8F/CN=\xD0\x90\xD0\x9E \xD0\xAD\xD0\xA2\xD0\xA1/emailAddress=test.@test.ru
-----BEGIN CERTIFICATE-----
MIID4jCCA4+gAwIBAgIBBzAKBgYqhQMCAgMFADCBzDELMAkGA1UEBhMCUlUxJjAk
BgNVBAgMHdCd0LjQttC90LjQuSDQndC+0LLQs9C+0YDQvtC0MSYwJAYDVQQHDB3Q
ndC40LbQvdC40Lkg0J3QvtCy0LPQvtGA0L7QtDEUMBIGA1UECgwL0JDQniDQrdCi
.................................................RU/8cpUOEfc
qjKM9LgR5lRYVUiCHK6inE5sSJpy1KtczV1yIoJKLvl1khfQ3gc=
-----END CERTIFICATE-----
Bag Attributes
localKeyID: 81 6D C5 13 EB 9A F2 EB 59 35 00 D7 7C C0 CF 2B C0 B3 BF DF
Key Attributes: <No Attributes>
Offline nikolaev  
#5 Оставлено : 6 мая 2016 г. 14:34:35(UTC)
nikolaev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.05.2016(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 5 раз в 5 постах
Добрый день!

Можете, пожалуйста, приложить пример проблемного контейнера?
Offline aleksey1912  
#6 Оставлено : 6 мая 2016 г. 15:25:52(UTC)
aleksey1912

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2014(UTC)
Сообщений: 19
Российская Федерация
Откуда: Нижний Новгоро

Сказал(а) «Спасибо»: 9 раз
У вас уже получалось использовать данную утилиту для конвертирования контейнера?

Отредактировано пользователем 6 мая 2016 г. 15:38:32(UTC)  | Причина: Не указана

Offline nikolaev  
#7 Оставлено : 6 мая 2016 г. 15:43:15(UTC)
nikolaev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.05.2016(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 5 раз в 5 постах
Ключ и сертификат в контейнере зашифрованы на иностранных алгоритмах, с ними утилита не работает.

P.S. В режиме -p12tocp provtype указывать не надо.
thanks 1 пользователь поблагодарил nikolaev за этот пост.
aleksey1912 оставлено 06.05.2016(UTC)
Offline aleksey1912  
#8 Оставлено : 6 мая 2016 г. 16:06:39(UTC)
aleksey1912

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2014(UTC)
Сообщений: 19
Российская Федерация
Откуда: Нижний Новгоро

Сказал(а) «Спасибо»: 9 раз
Создавал контейнер следующим образом, openssl pkcs12 -engine gost -export -in demoCA/newcerts/06.pem -inkey privkey.pem -certfile demoCA/cacert.pem -name "ExportFile" -out сert12.p12
То есть явно надо указать ему как зашифровать ключи в контейнере, это с помощью опций:
-certpbe alg specify certificate PBE algorithm (default RC2-40)
-keypbe alg specify private key PBE algorithm (default 3DES)
?
Offline nikolaev  
#9 Оставлено : 6 мая 2016 г. 16:16:34(UTC)
nikolaev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.05.2016(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 5 раз в 5 постах
Утилита работает с контейнерами PKCS#12, которые выработаны в соответствии с рекомендациями ТК26. Среди прочих требований сертификат и ключ должны быть зашифрованы с помощью алгоритма ГОСТ 28147-89. Коль скоро openssl по умолчанию ставит не его, то да, это надо явно указать.
Offline shade777  
#10 Оставлено : 27 июня 2019 г. 17:39:29(UTC)
shade777

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.11.2015(UTC)
Сообщений: 3

та же проблема,
создаю pfx
openssl pkcs12 -engine gost -export -in cert.crt -inkey cert.key -certfile ca.pem -keypbe gost89 -certpbe gost89 -out out.pfx


при импорте через утилиту:
p12util.x64.exe -p12tocp -rdrfolder d:\ -contname 888888 -ex -passcp 1234567890 -passp12 1234567890 -infile out.pfx
Failed to open PKCS#12 key container file.
Failed while executing.

какие параметры OpenSSL правильные?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.