Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline aleksey1912  
#1 Оставлено : 5 мая 2016 г. 18:19:08(UTC)
aleksey1912

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2014(UTC)
Сообщений: 19
Российская Федерация
Откуда: Нижний Новгоро

Сказал(а) «Спасибо»: 9 раз
В КриптоПро CSP существует возможность экспортировать сертификат и ключ в файл p12/pfx.
Хотелось бы просмотреть этот файл с помощью утилиты openssl.
Но она его не понимает, точно так же как КриптоПро CSP не понимает файлы p12, в которые упакован закрытый ключ и сертификат посредством openssl.

То есть у меня не получится ГОСТовые ключи сгенерированные в openssl сконвертировать в p12 и установить к себе в Windows, чтобы работать с ними через КриптПро CSP?
Подскажите пожалуйста как поступать?
Или вариант только один выполнять запрос на сертификат на клиентской машине с Windows и подписывать его в openssl?
Спасибо.
Offline Максим Коллегин  
#2 Оставлено : 5 мая 2016 г. 18:21:23(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,976
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 586 раз в 527 постах
Формат нашего pfx отличается от p12, но использовать ключи openssl получится. Недавно мы выложили утилиту с подобным функционалом:
https://www.cryptopro.ru/downloads
Утилита для импорта транспортных контейнеров PKCS#12 в контейнеры КриптоПро CSP:

Утилита предназначена для импорта транспортных контейнеров ключей ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012, соответствующих формату PKCS#12 (с учетом Рекомендаций по стандартизации ТК 26), в контейнеры КриптоПро CSP.
p12tocp.zip

Отредактировано пользователем 5 мая 2016 г. 18:22:47(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
aleksey1912 оставлено 05.05.2016(UTC)
Offline aleksey1912  
#3 Оставлено : 5 мая 2016 г. 18:45:02(UTC)
aleksey1912

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2014(UTC)
Сообщений: 19
Российская Федерация
Откуда: Нижний Новгоро

Сказал(а) «Спасибо»: 9 раз
Подскажите пожалуйста, возможно я делаю что-то не так.
Пытаюсь выполнить команду получаю:
C:\Users\aleksey\Desktop>p12utility.x64.exe -p12tocp -rdrfolder I:\ -contname My
Cont -sg -passp12 123 -infile C:\sert12111.p12 -provtype 75
Ошибка при открытии ключевого контейнера PKCS#12.
При выполнении операции произошла ошибка.

Формировал контейнер вот так
openssl pkcs12 -engine gost -export -in demoCA/newcerts/06.pem -inkey privkey.pem -certfile demoCA/cacert.pem -name "ExportFile" -out sert12111.p12

Алгоритм подписи ГОСТ Р 34.11/34.10-2001

Отредактировано пользователем 5 мая 2016 г. 18:48:37(UTC)  | Причина: Не указана

Offline aleksey1912  
#4 Оставлено : 6 мая 2016 г. 11:49:15(UTC)
aleksey1912

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2014(UTC)
Сообщений: 19
Российская Федерация
Откуда: Нижний Новгоро

Сказал(а) «Спасибо»: 9 раз
Не подскажете в чем может быть проблема, возможно нужно какие-то еще данные от меня, могу переслать.
Контейнер в openssl читается нормально.

openssl pkcs12 -in cert12.p12

Enter Import Password:
MAC verified OK
Bag Attributes
localKeyID: 81 6D C5 13 EB 9A F2 EB 59 35 00 D7 7C C0 CF 2B C0 B3 BF DF
subject=/C=RU/ST=\xD0\x9D\xD0\xB8\xD0\xB6\xD0\xBD\xD0\xB8\xD0\xB9 \xD0\x9.........................\x9D\xD0\xB8\xD0\xB6\xD0\xBD\xD0\xB8\xD0\xB9 \xD0\x9D\xD0\xBE\xD0\xB2\xD0\xB3\xD0\xBE\xD1\x80\xD0\xBE\xD0\x////////////////////2323233
issuer=/C=RU/ST=\xD0\x9D\xD0\xB8\xD0\xB6\xD0\xBD\xD0\xB8\xD0\xB9 \xD0\x9D\xD0\xBE\xD0\xB2\xD0\xB3\xD0\xBE\xD1\x80\xD0\xBE\xD0\xB4/L=\xD0\x9D\xD0\xB8\xD0\xB6\xD0\xBD\xD0\xB8\xD0\xB9 \xD0\x9D\xD0\xBE\xD0\xB2\xD0\xB3\xD0\xBE\xD1\x80\xD0\xBE\xD0\xB4/O=\xD0\x90\xD0.........................D0\xB8\xD1\x8F/CN=\xD0\x90\xD0\x9E \xD0\xAD\xD0\xA2\xD0\xA1/emailAddress=test.@test.ru
-----BEGIN CERTIFICATE-----
MIID4jCCA4+gAwIBAgIBBzAKBgYqhQMCAgMFADCBzDELMAkGA1UEBhMCUlUxJjAk
BgNVBAgMHdCd0LjQttC90LjQuSDQndC+0LLQs9C+0YDQvtC0MSYwJAYDVQQHDB3Q
ndC40LbQvdC40Lkg0J3QvtCy0LPQvtGA0L7QtDEUMBIGA1UECgwL0JDQniDQrdCi
.................................................RU/8cpUOEfc
qjKM9LgR5lRYVUiCHK6inE5sSJpy1KtczV1yIoJKLvl1khfQ3gc=
-----END CERTIFICATE-----
Bag Attributes
localKeyID: 81 6D C5 13 EB 9A F2 EB 59 35 00 D7 7C C0 CF 2B C0 B3 BF DF
Key Attributes: <No Attributes>
Offline nikolaev  
#5 Оставлено : 6 мая 2016 г. 14:34:35(UTC)
nikolaev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.05.2016(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 5 раз в 5 постах
Добрый день!

Можете, пожалуйста, приложить пример проблемного контейнера?
Offline aleksey1912  
#6 Оставлено : 6 мая 2016 г. 15:25:52(UTC)
aleksey1912

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2014(UTC)
Сообщений: 19
Российская Федерация
Откуда: Нижний Новгоро

Сказал(а) «Спасибо»: 9 раз
У вас уже получалось использовать данную утилиту для конвертирования контейнера?

Отредактировано пользователем 6 мая 2016 г. 15:38:32(UTC)  | Причина: Не указана

Offline nikolaev  
#7 Оставлено : 6 мая 2016 г. 15:43:15(UTC)
nikolaev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.05.2016(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 5 раз в 5 постах
Ключ и сертификат в контейнере зашифрованы на иностранных алгоритмах, с ними утилита не работает.

P.S. В режиме -p12tocp provtype указывать не надо.
thanks 1 пользователь поблагодарил nikolaev за этот пост.
aleksey1912 оставлено 06.05.2016(UTC)
Offline aleksey1912  
#8 Оставлено : 6 мая 2016 г. 16:06:39(UTC)
aleksey1912

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2014(UTC)
Сообщений: 19
Российская Федерация
Откуда: Нижний Новгоро

Сказал(а) «Спасибо»: 9 раз
Создавал контейнер следующим образом, openssl pkcs12 -engine gost -export -in demoCA/newcerts/06.pem -inkey privkey.pem -certfile demoCA/cacert.pem -name "ExportFile" -out сert12.p12
То есть явно надо указать ему как зашифровать ключи в контейнере, это с помощью опций:
-certpbe alg specify certificate PBE algorithm (default RC2-40)
-keypbe alg specify private key PBE algorithm (default 3DES)
?
Offline nikolaev  
#9 Оставлено : 6 мая 2016 г. 16:16:34(UTC)
nikolaev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.05.2016(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 5 раз в 5 постах
Утилита работает с контейнерами PKCS#12, которые выработаны в соответствии с рекомендациями ТК26. Среди прочих требований сертификат и ключ должны быть зашифрованы с помощью алгоритма ГОСТ 28147-89. Коль скоро openssl по умолчанию ставит не его, то да, это надо явно указать.
Offline shade777  
#10 Оставлено : 27 июня 2019 г. 17:39:29(UTC)
shade777

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.11.2015(UTC)
Сообщений: 3

та же проблема,
создаю pfx
openssl pkcs12 -engine gost -export -in cert.crt -inkey cert.key -certfile ca.pem -keypbe gost89 -certpbe gost89 -out out.pfx


при импорте через утилиту:
p12util.x64.exe -p12tocp -rdrfolder d:\ -contname 888888 -ex -passcp 1234567890 -passp12 1234567890 -infile out.pfx
Failed to open PKCS#12 key container file.
Failed while executing.

какие параметры OpenSSL правильные?
Offline nikolaev  
#11 Оставлено : 27 июня 2019 г. 17:56:59(UTC)
nikolaev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.05.2016(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 5 раз в 5 постах
Добрый день.

Попробуйте вызвать p12util с параметрами -noMACVerify и -noCPKM сначала по отдельности, потом вместе.
Offline shade777  
#12 Оставлено : 27 июня 2019 г. 19:23:06(UTC)
shade777

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.11.2015(UTC)
Сообщений: 3

Автор: nikolaev Перейти к цитате
Добрый день.

Попробуйте вызвать p12util с параметрами -noMACVerify и -noCPKM сначала по отдельности, потом вместе.


Добрый день, не помогло :(

поигрался с параметрами OpenSSL - тот же результат:
Цитата:
openssl pkcs12 -engine gost -export -in cert.crt -inkey cert.key -certfile ca.pem -keypbe gost89 -certpbe gost89 -macalg md_gost94 -out out.pfx
openssl pkcs12 -engine gost -export -in cert.crt -inkey cert.key -certfile ca.pem -keypbe gost89 -certpbe gost89 -out out.pfx
openssl pkcs12 -engine gost -export -in cert.crt -inkey cert.key -certfile ca.pem -out out.pfx


Вот certmgr.exe

Цитата:
C:\Program Files\Crypto Pro\CSP>certmgr.exe -inst -pfx -keep_exportable -pin "1234567890" -file "out.pfx"
Certmgr 1.1 (c) "Crypto-Pro", 2007-2019.
program for managing certificates, CRLs and stores

Error while importing pfx

An error occurred during encode or decode operation.

[ErrorCode: 0x80092002]
Offline two_oceans  
#13 Оставлено : 28 июня 2019 г. 5:18:52(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,045
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 68 раз
Поблагодарили: 238 раз в 224 постах
Тоже не очень понимаю эту головоломку. У меня конкретно был случай, что несколько лет назад перевел ключ гост-2001 в pem формат и использовал для внутреннего УЦ на основе openssl. Потом вышла gostengy и там была возможность работать именно с контейнером КриптоПро без перевода и openssl 1.1.0 стала формировать ОГРН ИНН правильно. Вот только исходный контейнер/pfx уже утерялись/уничтожены и перевести ключ в контейнер снова у меня не вышло. Однако перескажу, что мне отвечали в процессе: для pfx по требованиям ТК26 нужно использовать утилиту p12tocp. Как сформировать по требованиям ТК26 в openssl так и осталось для меня загадкой - с учетом вывода гост-2001 это уже стало не так актуально.

Для certmgr.exe в то же время используется собственный алгоритм КриптоПро не по требованиям TK 26, а с непонятным для openssl оидом, в нем как я понял фактически используются не только гост, а еще и зарубежные алгоритмы. Поэтому скорее всего экспортировав pfx с алгоритмами гост, импортировать такой pfx в certmgr не выйдет в принципе.

С p12tocp шансов на успех больше. На днях тут на форуме мелькнула новая версия утилиты, возможно она подойдет.
Offline nikolaev  
#14 Оставлено : 28 июня 2019 г. 14:00:48(UTC)
nikolaev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.05.2016(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 5 раз в 5 постах
shade777, а у Вас свежая версия утилиты? Если нет - скачайте свежую и попробуйте её. Если таки свежая - пришлите, пожалуйста, тестовый pfx контейнер.

two_oceans, certmgr, действительно, производит экспорт pfx только специального формата. Контейнеры ТК26 при этом могут быть импортированы.
Offline two_oceans  
#15 Оставлено : 1 июля 2019 г. 12:50:42(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,045
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 68 раз
Поблагодарили: 238 раз в 224 постах
Автор: nikolaev Перейти к цитате
two_oceans, certmgr, действительно, производит экспорт pfx только специального формата. Контейнеры ТК26 при этом могут быть импортированы.
Спасибо за уточнение, приму к сведению.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.