Atom Лента - Форум КриптоПро - Тема:JTLS и передача цепочки сертификатов - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:JTLSiperedachacepochkisertifikatov-10:1Copyright 2024 Форум КриптоПро2024-03-29T05:27:33Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.rurrrrrr111https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=58527&name=rrrrrr111rrrrrr111https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=58527&name=rrrrrr111rrrrrr111https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=58527&name=rrrrrr111rrrrrr111https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=58527&name=rrrrrr111Санчир Момолдаевhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=50915&name=Санчир Момолдаевrrrrrr111https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=58527&name=rrrrrr111Евгений Афанасьевhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=1064&name=Евгений Афанасьевrrrrrr111https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=58527&name=rrrrrr111Евгений Афанасьевhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=1064&name=Евгений Афанасьевrrrrrr111https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=58527&name=rrrrrr111Евгений Афанасьевhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=1064&name=Евгений АфанасьевYetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid126017:1JTLS и передача цепочки сертификатов<table class="content postContainer_Alt" width="100%"><tr><td>еще подскажите как можно выпустить промежуточный сертификат на тестом CA <a rel="nofollow" href="https://testgost2012.cryptopro.ru/certsrv/certrqxt.asp" title="https://testgost2012.cryptopro.ru/certsrv/certrqxt.asp">https://testgost2012.cry....ru/certsrv/certrqxt.asp</a> ?, нужно чтобы в нем было указано Bacic Constraints (Subject Type=CA, Path Length Constraint=0), если указываю их в CSR запросе, тествый CA выдает "Встречено неверное значение тега ASN1. 0x8009310b (ASN: 267 CRYPT_E_ASN1_BADTAG)""</td></tr></table>2021-07-15T11:48:29+03:002021-07-15T11:48:29+03:00rrrrrr111<table class="content postContainer_Alt" width="100%"><tr><td>еще подскажите как можно выпустить промежуточный сертификат на тестом CA <a rel="nofollow" href="https://testgost2012.cryptopro.ru/certsrv/certrqxt.asp" title="https://testgost2012.cryptopro.ru/certsrv/certrqxt.asp">https://testgost2012.cry....ru/certsrv/certrqxt.asp</a> ?, нужно чтобы в нем было указано Bacic Constraints (Subject Type=CA, Path Length Constraint=0), если указываю их в CSR запросе, тествый CA выдает "Встречено неверное значение тега ASN1. 0x8009310b (ASN: 267 CRYPT_E_ASN1_BADTAG)""</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid126009:1JTLS и передача цепочки сертификатов<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Санчир Момолдаев <a href="/forum2/default.aspx?g=posts&m=126007#post126007"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><br />через cli думаю лучше создать отдельное хранилище. импортировать туда целевые серты, выгрузить все хранилище в файл<br />certmgr -export -store name -all -dest 1.p7b</div></div><br /><br />оно создает файл в каком-то ином формате, не PKCS#7</td></tr></table>2021-07-15T01:23:13+03:002021-07-15T01:23:13+03:00rrrrrr111<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Санчир Момолдаев <a href="/forum2/default.aspx?g=posts&m=126007#post126007"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><br />через cli думаю лучше создать отдельное хранилище. импортировать туда целевые серты, выгрузить все хранилище в файл<br />certmgr -export -store name -all -dest 1.p7b</div></div><br /><br />оно создает файл в каком-то ином формате, не PKCS#7</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid126008:1JTLS и передача цепочки сертификатов<table class="content postContainer_Alt" width="100%"><tr><td>а есть возможность импортировать цепочку в контейнер чем-то кроме keytool? , дело в том что keytool не находит контейнер в алиасе которого русские буквы, certmgr находит контейнер на русском, но не импортирует цепочку</td></tr></table>2021-07-14T23:39:40+03:002021-07-14T23:39:40+03:00rrrrrr111<table class="content postContainer_Alt" width="100%"><tr><td>а есть возможность импортировать цепочку в контейнер чем-то кроме keytool? , дело в том что keytool не находит контейнер в алиасе которого русские буквы, certmgr находит контейнер на русском, но не импортирует цепочку</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid126007:1JTLS и передача цепочки сертификатов<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: rrrrrr111 <a href="/forum2/default.aspx?g=posts&m=126005#post126005"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><div class="quote"><span class="quotetitle">Автор: Евгений Афанасьев <a href="/forum2/default.aspx?g=posts&m=125991#post125991"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Да, keytool чувствителен к сертификатам в цепочке.<br />Возможно, в csptest или certmgr есть возможность, нужно смотреть документацию на них или читать -help, на форуме тоже могут быть примеры команд. </div></div><br /><br />Евгений, а Вы здесь для чего <img src="/forum2/Images/Emoticons/eusa_think.gif" alt="Think" /> ?</div></div><br /><br />техническая поддержка осуществляется <a rel="nofollow" href="https://support.cryptopro.ru/" title="https://support.cryptopro.ru/">на портале технической поддержки</a><br />форум - место для общения пользователей, а не оказания технической поддержки. если есть время наши сотрудники также оказывают методическую помощь.<br />полноценная техподдержка оказывается на портале.<br /><br />удобным способом будет использование CPTools в GUI среде для создания p7b<br /><br />через cli думаю лучше создать отдельное хранилище. импортировать туда целевые серты, выгрузить все хранилище в файл<br />certmgr -export -store name -all -dest 1.p7b</td></tr></table>2021-07-14T18:18:04+03:002021-07-14T18:18:04+03:00Санчир Момолдаев<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: rrrrrr111 <a href="/forum2/default.aspx?g=posts&m=126005#post126005"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><div class="quote"><span class="quotetitle">Автор: Евгений Афанасьев <a href="/forum2/default.aspx?g=posts&m=125991#post125991"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Да, keytool чувствителен к сертификатам в цепочке.<br />Возможно, в csptest или certmgr есть возможность, нужно смотреть документацию на них или читать -help, на форуме тоже могут быть примеры команд. </div></div><br /><br />Евгений, а Вы здесь для чего <img src="/forum2/Images/Emoticons/eusa_think.gif" alt="Think" /> ?</div></div><br /><br />техническая поддержка осуществляется <a rel="nofollow" href="https://support.cryptopro.ru/" title="https://support.cryptopro.ru/">на портале технической поддержки</a><br />форум - место для общения пользователей, а не оказания технической поддержки. если есть время наши сотрудники также оказывают методическую помощь.<br />полноценная техподдержка оказывается на портале.<br /><br />удобным способом будет использование CPTools в GUI среде для создания p7b<br /><br />через cli думаю лучше создать отдельное хранилище. импортировать туда целевые серты, выгрузить все хранилище в файл<br />certmgr -export -store name -all -dest 1.p7b</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid126005:1JTLS и передача цепочки сертификатов<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Евгений Афанасьев <a href="/forum2/default.aspx?g=posts&m=125991#post125991"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Да, keytool чувствителен к сертификатам в цепочке.<br />Возможно, в csptest или certmgr есть возможность, нужно смотреть документацию на них или читать -help, на форуме тоже могут быть примеры команд. </div></div><br /><br />Евгений, а Вы здесь для чего <img src="/forum2/Images/Emoticons/eusa_think.gif" alt="Think" /> ?</td></tr></table>2021-07-14T17:31:19+03:002021-07-14T17:31:19+03:00rrrrrr111<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Евгений Афанасьев <a href="/forum2/default.aspx?g=posts&m=125991#post125991"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Да, keytool чувствителен к сертификатам в цепочке.<br />Возможно, в csptest или certmgr есть возможность, нужно смотреть документацию на них или читать -help, на форуме тоже могут быть примеры команд. </div></div><br /><br />Евгений, а Вы здесь для чего <img src="/forum2/Images/Emoticons/eusa_think.gif" alt="Think" /> ?</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid125991:1JTLS и передача цепочки сертификатов<table class="content postContainer" width="100%"><tr><td>Да, keytool чувствителен к сертификатам в цепочке.<br />Возможно, в csptest или certmgr есть возможность, нужно смотреть документацию на них или читать -help, на форуме тоже могут быть примеры команд. </td></tr></table>2021-07-14T11:28:42+03:002021-07-14T11:28:42+03:00Евгений Афанасьев<table class="content postContainer" width="100%"><tr><td>Да, keytool чувствителен к сертификатам в цепочке.<br />Возможно, в csptest или certmgr есть возможность, нужно смотреть документацию на них или читать -help, на форуме тоже могут быть примеры команд. </td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid125989:1JTLS и передача цепочки сертификатов<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Евгений Афанасьев <a href="/forum2/default.aspx?g=posts&m=125984#post125984"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Если есть цепочка сертификатов в файле p7b, то можно либо в панели jcp, открыв нужный контейнер, нажать кнопку установки сертификата в него, либо с помощью панели csp, тоже установка сертификата, либо с помощью утилиты csptest csp (команды можно поискать на форуме или набрав csptest -help). </div></div><br /><br />есть ли возможность создать файл p7b (PKCS7) средствами CryptoPro или др CLI утилитами, или как-то по другому импортировать цепочку?, похоже что PKCS7 можно сделать только панелькой Windows <img src="/forum2/Images/Emoticons/eusa_eh.gif" alt="Eh?" /> . <br /><br />Кроме того, цепочка импортируется только если она включает корневой, и значит он всегда будет без надобности передаваться серверу, без корневого не удалось импортировать, куда бы я его не импортировал получаем keytool error: java.lang.Exception: Failed to establish chain from reply потом при импорте серта в контейнер если вмести с ним нет корневого в файле p7b</td></tr></table>2021-07-14T10:51:33+03:002021-07-14T10:51:33+03:00rrrrrr111<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Евгений Афанасьев <a href="/forum2/default.aspx?g=posts&m=125984#post125984"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Если есть цепочка сертификатов в файле p7b, то можно либо в панели jcp, открыв нужный контейнер, нажать кнопку установки сертификата в него, либо с помощью панели csp, тоже установка сертификата, либо с помощью утилиты csptest csp (команды можно поискать на форуме или набрав csptest -help). </div></div><br /><br />есть ли возможность создать файл p7b (PKCS7) средствами CryptoPro или др CLI утилитами, или как-то по другому импортировать цепочку?, похоже что PKCS7 можно сделать только панелькой Windows <img src="/forum2/Images/Emoticons/eusa_eh.gif" alt="Eh?" /> . <br /><br />Кроме того, цепочка импортируется только если она включает корневой, и значит он всегда будет без надобности передаваться серверу, без корневого не удалось импортировать, куда бы я его не импортировал получаем keytool error: java.lang.Exception: Failed to establish chain from reply потом при импорте серта в контейнер если вмести с ним нет корневого в файле p7b</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid125984:1JTLS и передача цепочки сертификатов<table class="content postContainer" width="100%"><tr><td>Если есть цепочка сертификатов в файле p7b, то можно либо в панели jcp, открыв нужный контейнер, нажать кнопку установки сертификата в него, либо с помощью панели csp, тоже установка сертификата, либо с помощью утилиты csptest csp (команды можно поискать на форуме или набрав csptest -help). </td></tr></table>2021-07-14T10:06:32+03:002021-07-14T10:06:32+03:00Евгений Афанасьев<table class="content postContainer" width="100%"><tr><td>Если есть цепочка сертификатов в файле p7b, то можно либо в панели jcp, открыв нужный контейнер, нажать кнопку установки сертификата в него, либо с помощью панели csp, тоже установка сертификата, либо с помощью утилиты csptest csp (команды можно поискать на форуме или набрав csptest -help). </td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid125982:1JTLS и передача цепочки сертификатов<table class="content postContainer_Alt" width="100%"><tr><td>подскажите как установить всю цепочку в контейнер ?</td></tr></table>2021-07-14T08:43:50+03:002021-07-14T08:43:50+03:00rrrrrr111<table class="content postContainer_Alt" width="100%"><tr><td>подскажите как установить всю цепочку в контейнер ?</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid125815:1JTLS и передача цепочки сертификатов<table class="content postContainer" width="100%"><tr><td>Можно вместе с корневым (увеличится размер собщения). Вообще, корневой клиента (как и сервера) не является необходимым, т.к. когда цепочка клиента попадает на сервер (а сервер предварительно высылает список доверенных имен корневых distinguished names из ROOT, чтобы клиент мог выбрать цепочку), сервер ищет для нее подходящий корневой в ROOT, и построение такой цепочки в итоге является критерием доверия сервера клиенту.</td></tr></table>2021-07-06T11:46:25+03:002021-07-06T11:46:25+03:00Евгений Афанасьев<table class="content postContainer" width="100%"><tr><td>Можно вместе с корневым (увеличится размер собщения). Вообще, корневой клиента (как и сервера) не является необходимым, т.к. когда цепочка клиента попадает на сервер (а сервер предварительно высылает список доверенных имен корневых distinguished names из ROOT, чтобы клиент мог выбрать цепочку), сервер ищет для нее подходящий корневой в ROOT, и построение такой цепочки в итоге является критерием доверия сервера клиенту.</td></tr></table>