Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
Экспорт PFX (p12) из СКЗИ ViPNet CSP в соответствии с требованиями ТК26 импорт этого PFX в КриптоПро
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602  Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Автор: Винтик  Да, вот я тоже об этом слышал и думал это даже по закону как бы нельзя, типа у КриптоПро воровать на Випент и т.п. :-)
Хотя как узнал что это, то конечно понятно в большей части всех кто только с этим сталкивался интересует обратное ;-) Ну как бы так и есть, в сертификате указано определенное средство подписи. Однако, смотрите - КриптоПро без серийного номера можно использовать только при проверке подписи/шифровании сообщения. То есть если хотите перейти на криптоПро и не использовать непонятную пиратскую версию, то заплатить все равно придется. Таким образом, пока держите контейнер в формате КриптоПро и подписываете это выгодно компании. Поэтому конечно перенос из других криптопровайдеров должен быть отработан до автоматизма. Просто влет засасывать все pfx со всех носителей в радиусе 100 метров от компьютера. И наоборот, при переносе в другие криптопровайдеры будут возникать "сложности", как мы видим сейчас: pfx сделанный КриптоПро открывается главным образом самим КриптоПро. Перенос в openssl тоже задушили и даже дали модуль для работы с контейнером КриптоПро из openssl, чтобы никто не вытаскивал ключ "на коленке". Лично мне это нравится - удобно. Инфотекс (випнет) в свою очередь тоже старается удержать клиентскую базу и "совершенно случайно" указывает не тот алгоритм в контейнере ТК26. Хотя конечно там немного другая ситуация и основная прибыль идет не от выпуска сертификатов, а от защищенных сетей клиентов и координаторов випнет, сертификаты всего лишь средство, ведь випнетовский криптопровайдер бесплатный. В основном косвенная выгода что придут в УЦ с ПО Випнет. Потому поломались немного и указали правильный алгоритм.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 399
Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
|
Автор: two_oceans ...Ну как бы так и есть, в сертификате указано определенное средство подписи. Однако, смотрите - КриптоПро без серийного номера можно использовать только при проверке подписи/шифровании сообщения. То есть если хотите перейти на криптоПро и не использовать непонятную пиратскую версию, то заплатить все равно придется.
....
Я про вопрос лиц. не понимал, тут ВСЕ знают, что даже временные срок нельзя использовать в юридеческом плане, потому лиц. покупают все, как только начинают использовать КриптоПро и радоваться после Випнета.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 399
Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
|
Автор: Максим Коллегин Обновил p12util на сайте - можно пробовать импортировать. Я так и не могу найти где это на сайте то описано? Скачать скачал, там маленький файл примера, но не слова про то что делают с ViPNet-ом? Где вы всё это видите? И те кто делал поясните должен стоять и тот и другой криптопровайдер,чтоб эта утилита работала?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 399
Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
|
Автор: lab2 ура!
работает, но так
p12util.x64.exe -p12tocp -rdrfolder d:\ -contname 888888 -ex -passcp 12345678 -passp12 12345678 -infile d:\vipnet2012.p12
Это у вас при параметрах который выше писали?: Криптопровайдер версии 5.0.11453 (pfx получен с Випнет 4.2 8.51670) А если от кривого Випнет 4.2.11 что выйдет не пробовали?
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Описание действительно почти отсутствует, но немного есть https://www.cryptopro.ru/downloadsУ меня сработало. pfx получен с Випнет 4.2.8, КриптоПро на машине где пробовал 4.0.9944, випнет не установлен (перенесен только pfx), утилита скачана из этой темы 17 июня, создал 5 июля командный файл со строкой Код:p12util.x64.exe -p12tocp -rdrfolder k:\ -contname 888888 -ex -passcp 1234 -passp12 12345678 -infile k:\2019.pfx
и на удивление с первого раза сработало, создало папку 888888.000 в корне диска. Понятно что на машине где делался pfx был установлен випнет 4.2.8 (только vipnet csp, КриптоПро не установлен - специально для такой задачи склонировал чистую систему без отечественных криптопровайдеров и поставил випнетовский) и просто зашел в остастку сертификаты и экспортировал мастером файл. Правда найти остастку сертификаты без КриптоПро не такая тривиальная задача - в меню Пуск випнет не создает ярлыка. Отредактировано пользователем 11 июля 2019 г. 12:31:03(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 399
Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
|
Автор: two_oceans Описание действительно почти отсутствует, но немного есть https://www.cryptopro.ru/downloadsУ меня сработало. pfx получен с Випнет 4.2.8, КриптоПро на машине где пробовал 4.0.9944, випнет не установлен (перенесен только pfx), утилита скачана из этой темы 17 июня, создал 5 июля командный файл со строкой Код:p12util.x64.exe -p12tocp -rdrfolder k:\ -contname 888888 -ex -passcp 1234 -passp12 12345678 -infile k:\2019.pfx
и на удивление с первого раза сработало, создало папку 888888.000 в корне диска. Понятно что на машине где делался pfx был установлен випнет 4.2.8 (только vipnet csp, КриптоПро не установлен - специально для такой задачи склонировал чистую систему без отечественных криптопровайдеров и поставил випнетовский) и просто зашел в остастку сертификаты и экспортировал мастером файл. Правда найти остастку сертификаты без КриптоПро не такая тривиальная задача - в меню Пуск випнет не создает ярлыка. Т.е. правильно ли я понял, надо просто из Випнета в pfx выгрузить и потом уже где КриптоПро пробовать? А про оснаску это не проблема Win+R и certmgr.msc запускаете. Я правда такой батник сделал от лени
@ echo off
cls
color 0A
echo Запуск утилиты "certmgr.msc"
echo для просмотра сертификатов
ping -n 2 -w 1 127.0.0.1 > nul
echo === === ===
echo 3
ping -n 1 -w 1 127.0.0.1 > nul
echo === ===
echo 2
ping -n 1 -w 1 127.0.0.1 > nul
echo ===
echo 1
ping -n 1 -w 1 127.0.0.1 > nul
start certmgr.msc
color 07
exit
Хорошо попробую.
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Автор: Винтик Т.е. правильно ли я понял, надо просто из Випнета в pfx выгрузить и потом уже где КриптоПро пробовать?
А про оснаску это не проблема Win+R и certmgr.msc запускаете. Да, правильно. Есть подозрение, что если стоят вместе, то фокус может выйти не так легко. Да, именно так и запускал, вспоминая как же она называется. С семерки пинг в батниках уже не так актуален, есть команда timeout.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 399
Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
|
Автор: two_oceans Автор: Винтик Т.е. правильно ли я понял, надо просто из Випнета в pfx выгрузить и потом уже где КриптоПро пробовать?
А про оснаску это не проблема Win+R и certmgr.msc запускаете. Да, правильно. Есть подозрение, что если стоят вместе, то фокус может выйти не так легко. Да, именно так и запускал, вспоминая как же она называется. С семерки пинг в батниках уже не так актуален, есть команда timeout. У нас много ещё кто на XP.. потому я придерживаюсь старой закалки :-) \Правда не проверял что будет, если сетевуху отрубить ))\
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Вроде бы есть аналоги и для XP, написать-то их несложно, только придется устанавливать (копировать) отдельно. Автор: Винтик \Правда не проверял что будет, если сетевуху отрубить ))\ По идее ничего не изменится.
1) там же указан 127.0.0.1, а он не на сетевухе, а на loopback интерфейсе (виртуальном замыкании на себя). По крайней мере, когда для локального сайта прописывал "aaa.homedns.org" как "127.0.0.1", сайт открывался даже при отвалившемся сетевом кабеле.
2) если указать заведомо недоступный адрес, на который сразу возвращается ответ "Недостижимый адрес", то тоже ничего не изменится, так как в батнике используется свойство интервала в 1 секунду между пингами.
3) если адрес достижимый, но не отвечает, то время будет отсчитываться неправильно - вместо 1 секунды будет ждать 1 секунду+время таймаута. у Вас это учтено, указанием таймаута в 1 миллисекунду.
В итоге, команда написана добротно.
Отредактировано пользователем 12 июля 2019 г. 5:41:52(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 399
Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
|
Автор: two_oceans Вроде бы есть аналоги и для XP, написать-то их несложно, только придется устанавливать (копировать) отдельно. Автор: Винтик \Правда не проверял что будет, если сетевуху отрубить ))\ По идее ничего не изменится.
1) там же указан 127.0.0.1, а он не на сетевухе, а на loopback интерфейсе (виртуальном замыкании на себя). По крайней мере, когда для локального сайта прописывал "aaa.homedns.org" как "127.0.0.1", сайт открывался даже при отвалившемся сетевом кабеле.
2) если указать заведомо недоступный адрес, на который сразу возвращается ответ "Недостижимый адрес", то тоже ничего не изменится, так как в батнике используется свойство интервала в 1 секунду между пингами.
3) если адрес достижимый, но не отвечает, то время будет отсчитываться неправильно - вместо 1 секунды будет ждать 1 секунду+время таймаута. у Вас это учтено, указанием таймаута в 1 миллисекунду.
В итоге, команда написана добротно.
Да, проверил даже с удалённым сетевым из драйверов. Это было не большое отклонение от темы. А по теме не чего пока не прошло т.к. оказалось что в Випнет 4.2.11 ещё один косяк вывалился, он сделался не экспортируемым в pfx В итоге эта версия бетки кривая из кривых на текущий момент ViPNet_CSP 4.2.11.56905 и 58000 -не совместимые контейнеры с версией нижеи инфотекс конечно не чего делать не будет, может как обычно в ближайшие пол года поправят, а пока если кто то сталкивается с 4.2.11 с ней уже три грубых косяка: 1) Контейнеры созданные на ней работают только с версией 4.2.11 2) Не которые отчётные программы (1С и т.п.) если раньше генерировали экспортируетмые в pfx, то сейчас на этом косяк и делаются не экспортируемые. 3) На примере в налоговую для ЮЛ плагин может не находиться, и тупик. Будьте осторожны.
|
|
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
Экспорт PFX (p12) из СКЗИ ViPNet CSP в соответствии с требованиями ТК26 импорт этого PFX в КриптоПро
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
