Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.10.2008(UTC) Сообщений: 181
|
Расположение ключей в JCP определяется настройкой контрольной панели вкладка "Оборудование" / "Путь к хранилищу HDImage". Значение по умолчанию для Unix систем "/var/CPROcsp/keys/{user.name}". Проверьте что ключи там есть и есть права на них. Возможно, хранилища ключей в CSP и JCP настроены в разные места.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.07.2020(UTC) Сообщений: 64 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 31 раз Поблагодарили: 1 раз в 1 постах
|
скопируйте ключи(директорию с именем в формате 8.3) из корня дискеты в директорию /var/opt/cprocsp/keys/имя_пользователя
Поясните пожалуйста, в указанную директорию мы копируем открытые части ключей (с дискеты) .cer только? Что необходимо сделать с закрытой частью от сертификата вида primary.key ..... header.key
Спасибо.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,388 Сказал «Спасибо»: 53 раз Поблагодарили: 777 раз в 719 постах
|
Автор: Алексей1987 скопируйте ключи(директорию с именем в формате 8.3) из корня дискеты в директорию /var/opt/cprocsp/keys/имя_пользователя
Поясните пожалуйста, в указанную директорию мы копируем открытые части ключей (с дискеты) .cer только? Что необходимо сделать с закрытой частью от сертификата вида primary.key ..... header.key
Спасибо. Здравствуйте. В директорию: Код:/var/opt/cprocsp/keys/имя_пользователя
нужно скопировать ключевой контейнер - папку с именем вида name.000 с 6 файлами .key. |
|
1 пользователь поблагодарил Александр Лавник за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.07.2020(UTC) Сообщений: 64 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 31 раз Поблагодарили: 1 раз в 1 постах
|
Александр большое спасибо за пояснение. А открытые части ключей пользователя + сертификаты удостоверяющих центров? Так же дополнительный вопрос. На скриншоте я выполнил команду проверит считыватели. bandicam 2020-07-22 12-34-01-661.jpg (53kb) загружен 22 раз(а).Вывод команды как я считаю говорит о том что сущность-считыватель HDImage существует и работает. Несмотря на это мне необходимо добавлять подкаталог (как у пользователя 10 лет назад) вида # /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add MySertsили этого делать не требуется? Отредактировано пользователем 22 июля 2020 г. 13:07:04(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,388 Сказал «Спасибо»: 53 раз Поблагодарили: 777 раз в 719 постах
|
Автор: Алексей1987 Александр большое спасибо за пояснение. А открытые части ключей пользователя + сертификаты удостоверяющих центров? Так же дополнительный вопрос. На скриншоте я выполнил команду проверит считыватели. bandicam 2020-07-22 12-34-01-661.jpg (53kb) загружен 22 раз(а).Вывод команды как я считаю говорит о том что сущность-считыватель HDImage существует и работает. Несмотря на это мне необходимо добавлять подкаталог (как у пользователя 10 лет назад) вида # /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add MySertsили этого делать не требуется? Не требуется. В этой инструкции есть базовая информация. По сертификатам: личные - в хранилище my (оно же всегда по умолчанию) с привязкой к закрытому ключу в ключевом контейнере, промежуточных удостоверяющих центров - в хранилище ca (необходимо при проблемах построения цепочки по ссылкам из сертификатов или недоступности по сети), корневых удостоверяющих центров - в хранилище root, актуальные списки отзыва - в хранилище ca (необходимо при проблемах доступа по ссылкам из сертификатов или недоступности по сети). |
|
1 пользователь поблагодарил Александр Лавник за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.07.2020(UTC) Сообщений: 64 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 31 раз Поблагодарили: 1 раз в 1 постах
|
Большое спасибо за пояснение. Прочитал полностью статью. Я правильно понимаю логику что я добавляю сертификаты (как в примере через) # /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -f ~/ИСТОЧНИК СЕРТИФИКАТА/Сам сертификат.crt В личное хранилище: # /opt/cprocsp/bin/amd64/certmgr -inst -store my -f ~/ИСТОЧНИК СЕРТИФИКАТА/Сам сертификат.crt В хранилище промежуточных корневых центров: # /opt/cprocsp/bin/amd64/certmgr -inst -store ca -f ~/ИСТОЧНИК СЕРТИФИКАТА/Сам сертификат.crt В хранилище удостоверяющих центров: # /opt/cprocsp/bin/amd64/certmgr -inst -store root -f ~/ИСТОЧНИК СЕРТИФИКАТА/Сам сертификат.crt ? Вопрос - где физически расположены эти хранилища в ОС ГосЛинукс и могу ли я добавлять необходимые файлы напрямую в каталоги ОС, прочитал что для Centos в частности доверенные это /etc/pki/ca-trust/source/anchors/ Каталог /var/opt/cprocsp/keys/имя_пользователя является в моем понимании является хранилищем ключевых контейнеров (закрытых частей) ЭП. Скопировал как сказано выше решил проверить командой csptest с соответствующими ключами, в результате получаю ошибку. Делаю все под рутом, у рута полный права на папку и файлы. Результат выполнения команды проверки csptest -keyset -check -cont '\\.\HDIMAGE\my' Oshibka posle kopirovanija kljuchejj.jpg (111kb) загружен 8 раз(а).Отредактировано пользователем 22 июля 2020 г. 15:05:41(UTC)
| Причина: Дополнение
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,388 Сказал «Спасибо»: 53 раз Поблагодарили: 777 раз в 719 постах
|
Автор: Алексей1987 Большое спасибо за пояснение. Прочитал полностью статью. Я правильно понимаю логику что я добавляю сертификаты (как в примере через) # /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -f ~/ИСТОЧНИК СЕРТИФИКАТА/Сам сертификат.crt В личное хранилище: # /opt/cprocsp/bin/amd64/certmgr -inst -store my -f ~/ИСТОЧНИК СЕРТИФИКАТА/Сам сертификат.crt В хранилище промежуточных корневых центров: # /opt/cprocsp/bin/amd64/certmgr -inst -store ca -f ~/ИСТОЧНИК СЕРТИФИКАТА/Сам сертификат.crt В хранилище удостоверяющих центров: # /opt/cprocsp/bin/amd64/certmgr -inst -store root -f ~/ИСТОЧНИК СЕРТИФИКАТА/Сам сертификат.crt ? Вопрос - где физически расположены эти хранилища в ОС ГосЛинукс и могу ли я добавлять необходимые файлы напрямую в каталоги ОС, прочитал что для Centos в частности доверенные это /etc/pki/ca-trust/source/anchors/ Каталог /var/opt/cprocsp/keys/имя_пользователя является в моем понимании является хранилищем ключевых контейнеров (закрытых частей) ЭП. Скопировал как сказано выше решил проверить командой csptest с соответствующими ключами, в результате получаю ошибку. Делаю все под рутом, у рута полный права на папку и файлы. Результат выполнения команды проверки csptest -keyset -check -cont '\\.\HDIMAGE\my' Oshibka posle kopirovanija kljuchejj.jpg (111kb) загружен 8 раз(а). 1) Логику работы утилиты certmgr Вы понимаете правильно. Как я писал ранее, устанавливать личный сертификат имеет смысл с привязкой к закрытому ключу (по сути к ключевому контейнеру). Для этого необходимо в команде установки сертификата указывать не только путь к файлу сертификата, но и соответствующий ему ключевой контейнер через параметр -cont. 2) Где именно находятся хранилища сертификатов по сути знать не обязательно (найти непосредственно файлы хранилищ можно внутри /var/opt/cprocsp/... но это и не нужно). Прочитать/записать в них можно только через утилиту certmgr. 3) Чтобы вывести список имен доступных ключевых контейнеров (и использовать корректные имена далее) нужно использовать команду (есть в приведенной ранее инструкции): Код:/opt/cprocsp/bin/amd64/csptest -keys -enum -verifyc -fqcn
|
|
1 пользователь поблагодарил Александр Лавник за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.07.2020(UTC) Сообщений: 64 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 31 раз Поблагодарили: 1 раз в 1 постах
|
Большое спасибо за пояснение. Теперь логика работы ясна. При попытке выполнить операцию /opt/cprocsp/bin/amd64/certmgr -inst -store root -f ~/ИСТОЧНИК СЕРТИФИКАТА/Сам сертификат.crt
Уведомление - "Не удалось добавить 1-й сертификат в хранилище. Отказано в доступе" Прочитал что для добавление в хранилище компьютера используется Mroot импортирую сертификаты так, но при этом консоль выдает что - Устаревший параметр -store Mroot Это допустимо?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,388 Сказал «Спасибо»: 53 раз Поблагодарили: 777 раз в 719 постах
|
Автор: Алексей1987 Большое спасибо за пояснение. Теперь логика работы ясна. При попытке выполнить операцию /opt/cprocsp/bin/amd64/certmgr -inst -store root -f ~/ИСТОЧНИК СЕРТИФИКАТА/Сам сертификат.crt
Уведомление - "Не удалось добавить 1-й сертификат в хранилище. Отказано в доступе" Прочитал что для добавление в хранилище компьютера используется Mroot импортирую сертификаты так, но при этом консоль выдает что - Устаревший параметр -store Mroot Это допустимо? Здравствуйте. Предположу, что нужный сертификат уже установлен в соответствующее хранилище и устанавливать его еще раз не нужно. Вывод списка установленных сертификатов: Код:/opt/cprocsp/bin/amd64/certmgr -list -store root
|
|
1 пользователь поблагодарил Александр Лавник за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.07.2020(UTC) Сообщений: 64 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 31 раз Поблагодарили: 1 раз в 1 постах
|
Добрый день. Интересно, потом это перепроверю. Воспользовался приведенной командой - действительно все сертификаты которые я ставил установлены. Дополнительный вопрос: Предположим имеется личное хранилище закрытой части рода: \\.\HDIMAGE\dfgdfg34534gertg в котором находится закрытая часть от конкретного сертификата. Я хочу добавить сертификат с ассоциацией закрытой части для другого пользователя. Вопрос - при стандартном методе копирования закрытой части в позицию /var/opt/cprocsp/keys/имя_пользователясоздаст в сущности HDIMAGE новый уникальный контейнер вида dfgdfg34534gert A (отличающийся от первого) и на этом все? Или необходимо создавать через Add какой то подконтейнер? Если у меня 100 пользователей, у каждого просто будет уникальный идентификатор в \\.\HDIMAGE\******? Отредактировано пользователем 23 июля 2020 г. 14:36:54(UTC)
| Причина: Не указана
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close