logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline NikS118802  
#1 Оставлено : 2 апреля 2018 г. 11:17:30(UTC)
NikS118802

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.04.2018(UTC)
Сообщений: 6

Добрый день.

Обычно в работе с ключами и сертификатами я использую утилиту openssl. Но сейчас для взаимодействия со сторонней организацией мне нужно использовать возможности КриптоПро. Т.к. делаю это впервые, то некоторые вещи мне непонятны.

1. Правильно ли я понимаю, что для создания закрытого ключа достаточно на странице https://www.cryptopro.ru/certsrv/certrqma.asp заполнить необходимую информацию, выбрать алгоритм шифрования и отметить "Сохранить запрос"?

2. Организации необходимо предоставить запрос на сертификат. Обязательное условие - сертификат должен быть сформирован с использованием ключа rsa 2048.
Как я понял RSA поддерживается только начиная с версии 5.0. Выбирая в ней "Microsoft Enhanced RSA and AES Cryptographic Provider" или "Microsoft RSA SChannel Cryptographic Provider" вижу, что максимальная длина ключа равна 1024. Как быть в данной ситуации?
Offline Андрей Писарев  
#2 Оставлено : 2 апреля 2018 г. 13:28:45(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,465
Мужчина
Российская Федерация

Сказал «Спасибо»: 262 раз
Поблагодарили: 933 раз в 757 постах
Здравствуйте.

Какая у Вас ОС?
Offline NikS118802  
#3 Оставлено : 2 апреля 2018 г. 13:38:34(UTC)
NikS118802

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.04.2018(UTC)
Сообщений: 6

Тестирую на Windows 7. В боевом режиме будет скорее всего работать Ubuntu
Offline Андрей Писарев  
#4 Оставлено : 2 апреля 2018 г. 13:39:50(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,465
Мужчина
Российская Федерация

Сказал «Спасибо»: 262 раз
Поблагодарили: 933 раз в 757 постах
Приложите снимок страницы, где видны алгоритм и размер.
Offline Андрей Писарев  
#5 Оставлено : 2 апреля 2018 г. 13:41:48(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,465
Мужчина
Российская Федерация

Сказал «Спасибо»: 262 раз
Поблагодарили: 933 раз в 757 постах
Обычно щелкая по ссылкам - можно выбрать из перечня необходимый размер ключа.
У Вас другая ситуация?

Snimok ehkrana ot 2018-04-02 17-37-30.png (28kb) загружен 20 раз(а).

Snimok ehkrana ot 2018-04-02 17-38-35.png (23kb) загружен 20 раз(а).
Offline NikS118802  
#6 Оставлено : 2 апреля 2018 г. 13:53:35(UTC)
NikS118802

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.04.2018(UTC)
Сообщений: 6

rsa_schanel.PNG (30kb) загружен 19 раз(а). rsa-aes.PNG (36kb) загружен 18 раз(а).
Offline Захар Тихонов  
#7 Оставлено : 2 апреля 2018 г. 13:58:47(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,597
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 16 раз
Поблагодарили: 240 раз в 232 постах
Автор: NikS118802 Перейти к цитате
rsa_schanel.PNG (30kb) загружен 19 раз(а). rsa-aes.PNG (36kb) загружен 18 раз(а).


Используйте IE.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline NikS118802  
#8 Оставлено : 2 апреля 2018 г. 14:09:06(UTC)
NikS118802

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.04.2018(UTC)
Сообщений: 6

Автор: Захар Тихонов Перейти к цитате
Автор: NikS118802 Перейти к цитате
rsa_schanel.PNG (30kb) загружен 19 раз(а). rsa-aes.PNG (36kb) загружен 18 раз(а).


Используйте IE.


В ie нормально. Вроде для хрома установил плагин, необходимый для работы с КриптоПро. Эта проблема решена. В Windows для работы с RSA есть библиотека Microsoft RSA Signature Cryptographic Provider, как утверждается у них на сайте. Но там же написано, что она уже не поддерживается. В таком случае можно мне использовать алгоритм "Microsoft Enhanced RSA and AES Cryptographic Provider" как альтернативу?
Offline NikS118802  
#9 Оставлено : 3 апреля 2018 г. 15:07:54(UTC)
NikS118802

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.04.2018(UTC)
Сообщений: 6

При создании через браузер запроса на сертификат я могу создать также набор ключей. А как мне получить к нему доступ? Например, для записи на флешку.
Offline Русев Андрей  
#10 Оставлено : 4 апреля 2018 г. 12:59:28(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 429

Поблагодарили: 67 раз в 56 постах
Вы написали, что нужно использовать КриптоПро CSP 5.0, но при этом выбираете провайдер от Microsoft. Кажется, здесь первая ошибка, из-за которой всё пошло не так. Вероятно, вам нужно выбрать наш провайдер - "Crypto-Pro Enhanced RSA and AES CSP". Для того, чтобы он был доступен, при установке КриптоПро CSP 5.0 надо поставить галку "Поддержка RSA/ECDSA криптопровайдеров". Наш провайдер поддерживает сохранение ключей на множество носителей, например, можно сразу сохранить контейнер на флешку (и пользоваться им с неё).
Техническую поддержку оказываем тут.
Наша база знаний.
Offline NikS118802  
#11 Оставлено : 5 апреля 2018 г. 8:43:17(UTC)
NikS118802

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.04.2018(UTC)
Сообщений: 6

Автор: olin Перейти к цитате
Вы написали, что нужно использовать КриптоПро CSP 5.0, но при этом выбираете провайдер от Microsoft. Кажется, здесь первая ошибка, из-за которой всё пошло не так. Вероятно, вам нужно выбрать наш провайдер - "Crypto-Pro Enhanced RSA and AES CSP". Для того, чтобы он был доступен, при установке КриптоПро CSP 5.0 надо поставить галку "Поддержка RSA/ECDSA криптопровайдеров". Наш провайдер поддерживает сохранение ключей на множество носителей, например, можно сразу сохранить контейнер на флешку (и пользоваться им с неё).


Спасибо за ответ.

Скорее всего я неправильно изложил свои мысли. Попробую подробней изложить, а вы, пожалуйста, направьте меня на правильную последовательность действий.

У меня есть приложение на Java, которое отправляет на сторонний сервер запросы в формате XML, зашифрованные моим ключом. Ответы я расшифровываю ключом, предоставленным организацией. Формат ключа - RSA 2048, хэш подписи - SHA256RSA. Все работы по созданию ключа, запроса на сертификаты, pkcs12 с сертификатом организации - проводились мной в openssl. Приложение работает без проблем

Сейчас организация поставила дополнительное условие - наладить документооборот по почте и документы подписывать в КриптоАРМ. Я вижу 2 варианта решения.
1) Каким-то способом перенести существующее хранилище pkcs12 в контейнер, который будет доступен в CSP и АРМ. Как это сделать - не знаю.
2) Либо средствами CSP создать новый контейнер и запрос на сертификат. Тогда после получения сертификата у меня будет контейнер, которым смогу пользоваться в ARM. Но здесь возникает другая проблема.
a. Переделывание договора о взаимодействии в связи со сменой ключей.
б. Из а. вытекает, что старые ключи и сертификат теряют силу. Тогда мне нужно будет получить доступ к контейнеру для работы с ним через Java. Как это сделать не понимаю.

Offline Максим Коллегин  
#12 Оставлено : 9 апреля 2018 г. 7:46:08(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,061
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 447 раз в 409 постах
Не уверен, что КриптоАрм умеет работать с нашим RSA криптопровайдером.
Offline Lirein  
#13 Оставлено : 14 июня 2018 г. 15:35:19(UTC)
Lirein

Статус: Участник

Группы: Участники
Зарегистрирован: 18.09.2015(UTC)
Сообщений: 27
Мужчина
Российская Федерация
Откуда: На работе

Сказал «Спасибо»: 7 раз
Поблагодарили: 9 раз в 5 постах
Добрый день, пытаюсь выполнить импорт p12 (pfx) контейнера с RSA сертификатом, пакет поддержки RSA установлен.
Отдельно без закрытого ключа сертификат импортируется. При попытке импорта pfx получаю ошибку:
lirein@lirein-desktop ~/Загрузки/csp $ /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -pfx -file /data/shares/document/OAS/Удостоверяющий\ центр/Баталин\ Иван\ Анатольевич.pfx -pin 666213
Certmgr 1.1 (c) "CryptoPro", 2007-2018.
program for managing certificates, CRLs and stores

Error while importing pfx

The keyset is not defined.
[ErrorCode: 0x80090019]

При этом сам импортированный сертификат без привязки к ключу:

1-------
Issuer : C=RU, S=Тюменская область, L=Тюмень, O="ООО ""Открытые Автоматизированные Системы""", OU="УЦ ""Исток""", CN=cert.oas.su, E=ca@oas.su
Subject : O="ООО ""Открытые Автоматизированные Системы""", L=Тюмень, S=Тюменская область, 2.5.4.72="#0C086469726563746F72", T=Директор, CN=Баталин Иван Анатольевич, SN=Баталин, E=director@oas.su, C=RU
Serial : 0x00C27F002DDD4DEA2751AC67B76952F9FF
SHA1 Hash : 22dff52c36b3d3df6364acfcdd9f29bbe167a29a
SubjKeyID : 9665a88afc15ec216eddb0f6c72c578e20514f7f
Signature Algorithm : sha1RSA
PublicKey Algorithm : RSA (2048 bits)
Not valid before : 26/12/2017 08:05:25 UTC
Not valid after : 26/12/2018 08:05:25 UTC
PrivateKey Link : No
OCSP URL : https://cert.oas.su/ocsp
CA cert URL : https://cert.oas.su/public/source_ca.crt
CDP : https://cert.oas.su/public/source_ca.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.4
--- Эльфиек на всех не хватает...
*** А всё таки, она вертится!
Offline Русев Андрей  
#14 Оставлено : 14 июня 2018 г. 19:01:40(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 429

Поблагодарили: 67 раз в 56 постах
Можете прислать хвост системного журнала?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Lirein  
#15 Оставлено : 17 июня 2018 г. 2:47:26(UTC)
Lirein

Статус: Участник

Группы: Участники
Зарегистрирован: 18.09.2015(UTC)
Сообщений: 27
Мужчина
Российская Федерация
Откуда: На работе

Сказал «Спасибо»: 7 раз
Поблагодарили: 9 раз в 5 постах
Автор: Русев Андрей Перейти к цитате
Можете прислать хвост системного журнала?


Здравствуйте, проверил, но в Syslog работа с certmgr не пишется. Если есть какой либо ещё журнал, который он пишет или отладочный флаг типа -v или --verbose, можно попробовать с ним.
--- Эльфиек на всех не хватает...
*** А всё таки, она вертится!
Offline Русев Андрей  
#16 Оставлено : 18 июня 2018 г. 17:31:13(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 429

Поблагодарили: 67 раз в 56 постах
Пакет cprocsp-rsa для КриптоПро CSP 5.0 не нужен: всё входит в состав пакета lsb-cprocsp-kc1.
И он устаревший. Давайте вы его удалите, ещё раз попробуете установить pfx. И если будет неуспех, сразу соберёте диагностический архив:
Код:
curl http://cryptopro.ru/sites/default/files/products/csp/cprodiag 2>/dev/null|sudo perl

Архив не содержит ключи, но может содержать "чувствительную" информацию, поэтому шлите в личку.
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.