Atom Лента - Форум КриптоПро - Тема:Скрипт для миграции сертификатов - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:Skriptdljamigraciisertifikatov-10:1Copyright 2024 Форум КриптоПро2024-03-29T09:31:17Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.ruМаксим Коллегинhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=3&name=Максим КоллегинМаксим Коллегинhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=3&name=Максим КоллегинМаксим Коллегинhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=3&name=Максим КоллегинFanbirhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=49436&name=Fanbiralexusbbbhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=33520&name=alexusbbbkrgloginhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=36333&name=krgloginМаксим Коллегинhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=3&name=Максим Коллегинkrgloginhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=36333&name=krgloginМаксим Коллегинhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=3&name=Максим Коллегинkrgloginhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=36333&name=krgloginYetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid101944:1Скрипт для миграции сертификатов<table class="content postContainer_Alt" width="100%"><tr><td>Исправили, исправление попадёт в 5.0 и новые сборки 4.0.<br /></td></tr></table>2019-04-02T12:54:49+03:002019-04-02T12:54:49+03:00Максим Коллегин<table class="content postContainer_Alt" width="100%"><tr><td>Исправили, исправление попадёт в 5.0 и новые сборки 4.0.<br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid93895:1Скрипт для миграции сертификатов<table class="content postContainer" width="100%"><tr><td>Ясно, спасибо за информацию, постараемся исправить.</td></tr></table>2018-08-02T01:59:06+03:002018-08-02T01:59:06+03:00Максим Коллегин<table class="content postContainer" width="100%"><tr><td>Ясно, спасибо за информацию, постараемся исправить.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid93884:1Скрипт для миграции сертификатов<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Максим Коллегин <a href="/forum2/default.aspx?g=posts&m=56013#post56013"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Какой-то непонятный набор слов. <br />Сертификат в контейнер можно установить командой csptest -keyset -impcert</div></div><br />только в том случае, если сертификат сгенерен в кодировке .DER c .base64 данная команда не работает</td></tr></table>2018-08-01T19:46:39+03:002018-08-01T19:46:39+03:00Fanbir<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Максим Коллегин <a href="/forum2/default.aspx?g=posts&m=56013#post56013"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Какой-то непонятный набор слов. <br />Сертификат в контейнер можно установить командой csptest -keyset -impcert</div></div><br />только в том случае, если сертификат сгенерен в кодировке .DER c .base64 данная команда не работает</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid58401:1Скрипт для миграции сертификатов<table class="content postContainer" width="100%"><tr><td>krglogin<br />Это же существенно облегчает установку.<br />Огромная просьба, поделись пожалуйста скриптом</td></tr></table>2015-04-28T09:57:53+03:002015-04-28T09:57:53+03:00alexusbbb<table class="content postContainer" width="100%"><tr><td>krglogin<br />Это же существенно облегчает установку.<br />Огромная просьба, поделись пожалуйста скриптом</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid56077:1Скрипт для миграции сертификатов<table class="content postContainer_Alt" width="100%"><tr><td>Спасибо, разобрался. В итоге сделал скрипт, который пробегает по реестру и выгружает контейнеры в файлы, если контейнер поврежден, то выполняет его лечение, попутно приводя все названия к единообразному виду. Вся информацию по сертификату заноситься в Excel, в котором, если нам надо установить сертификат, то на пересечении сооветствующей строки с именем сертификата и столбца с именем пользователя проставляем '+', а если удалить то '-'. И при следующем входе в систему сертификат автоматически устанавливается (удаляется) у пользователя. Теперь установка нового сертификата выполняется так: ставим с носителя сертификат на тестовую машину -> запускаем скрипт -> в Excel проставляем '+' кому надо установить -> наслаждаемся жизнью :)</td></tr></table>2015-02-24T01:39:21+03:002015-02-24T01:39:21+03:00krglogin<table class="content postContainer_Alt" width="100%"><tr><td>Спасибо, разобрался. В итоге сделал скрипт, который пробегает по реестру и выгружает контейнеры в файлы, если контейнер поврежден, то выполняет его лечение, попутно приводя все названия к единообразному виду. Вся информацию по сертификату заноситься в Excel, в котором, если нам надо установить сертификат, то на пересечении сооветствующей строки с именем сертификата и столбца с именем пользователя проставляем '+', а если удалить то '-'. И при следующем входе в систему сертификат автоматически устанавливается (удаляется) у пользователя. Теперь установка нового сертификата выполняется так: ставим с носителя сертификат на тестовую машину -> запускаем скрипт -> в Excel проставляем '+' кому надо установить -> наслаждаемся жизнью :)</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid56013:1Скрипт для миграции сертификатов<table class="content postContainer" width="100%"><tr><td>Какой-то непонятный набор слов. <br />Сертификат в контейнер можно установить командой csptest -keyset -impcert</td></tr></table>2015-02-19T18:36:13+03:002015-02-19T18:36:13+03:00Максим Коллегин<table class="content postContainer" width="100%"><tr><td>Какой-то непонятный набор слов. <br />Сертификат в контейнер можно установить командой csptest -keyset -impcert</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid56004:1Скрипт для миграции сертификатов<table class="content postContainer_Alt" width="100%"><tr><td>Создали в Хранилище сертификатов Локально машины подпапку Temp<br />csptest -ipsec -Reg Temp -key Имя_Контейнера -mycert С:\Файл_Сертифтката.cer<br />Данной коммандой пытаемся импортировать в него сертификат, но она вываливается в ошибку.<br />При использовании данной комманды она проверяет что контейнер и сертификат соответствуют друг другу.<br />Как можно импортировать сертификат в контейнер Temp, чтобы выполнялась проверка на соответствие?<br /><br /> <br /></td></tr></table>2015-02-19T15:13:06+03:002015-02-19T15:13:06+03:00krglogin<table class="content postContainer_Alt" width="100%"><tr><td>Создали в Хранилище сертификатов Локально машины подпапку Temp<br />csptest -ipsec -Reg Temp -key Имя_Контейнера -mycert С:\Файл_Сертифтката.cer<br />Данной коммандой пытаемся импортировать в него сертификат, но она вываливается в ошибку.<br />При использовании данной комманды она проверяет что контейнер и сертификат соответствуют друг другу.<br />Как можно импортировать сертификат в контейнер Temp, чтобы выполнялась проверка на соответствие?<br /><br /> <br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid55960:1Скрипт для миграции сертификатов<table class="content postContainer" width="100%"><tr><td>Если нет header.key - то контейнер восстановить довольно сложно.<br />Если все ключи хранятся в реестре - экспортируйте ветку, поменяйте SID и импортируйте под нужным пользователем (но после установки CryptoPro CSP)<br />Затем экспортируйте все сертификаты в файлы (на форуме была <a rel="nofollow" href="http://www.cryptopro.ru/forum2/default.aspx?g=posts&m=15282#post15282" title="http://www.cryptopro.ru/forum2/default.aspx?g=posts&m=15282#post15282">утилита</a>), и установите их, связав с закрытым ключом.<br />Для команды ipsec -reg будут полезны опции:<br />autocont - автопоиск контейнера<br />nopin - поиск без обращения к закрытому ключу (полезно, когда контейнеры с паролем)</td></tr></table>2015-02-18T19:22:13+03:002015-02-18T19:22:13+03:00Максим Коллегин<table class="content postContainer" width="100%"><tr><td>Если нет header.key - то контейнер восстановить довольно сложно.<br />Если все ключи хранятся в реестре - экспортируйте ветку, поменяйте SID и импортируйте под нужным пользователем (но после установки CryptoPro CSP)<br />Затем экспортируйте все сертификаты в файлы (на форуме была <a rel="nofollow" href="http://www.cryptopro.ru/forum2/default.aspx?g=posts&m=15282#post15282" title="http://www.cryptopro.ru/forum2/default.aspx?g=posts&m=15282#post15282">утилита</a>), и установите их, связав с закрытым ключом.<br />Для команды ipsec -reg будут полезны опции:<br />autocont - автопоиск контейнера<br />nopin - поиск без обращения к закрытому ключу (полезно, когда контейнеры с паролем)</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid55958:1Скрипт для миграции сертификатов<table class="content postContainer_Alt" width="100%"><tr><td>День добрый.<br /><br />Лирическое отступление:<br />В связи с переходом с Windows 2003 на Windows 2012 у нас возникла задача переноса контейнеров и сертификатов с одного сервера на другой.<br />На текущий момент у нас используются порядка 15 серверов, 500+ сертификатов. С ними работают 60 пользователей.<br />Соответственно выполнить миграцию вручную представляется мало возможным. <br />Было решено осуществить миграцию при помощи скрипта на PowerShell 4.<br /><br /> Суть проблемы:<br />В качестве хранилища контейнеров мы используем реестр Windows. При этом часть контейнеров в реестре повреждена (отсутствует открытый ключ, параметр header.key в реестре).<br />Сами сертификаты уже установлены в системе. Мы хотим при помощи консольной программы csptest, находящейся в папке с дистрибутивом Crypto Pro CSP 3.6 R4 выполнить лечение контейнера,<br />использую команду: csptest -ipsec -reg -mycert c:\cert_der.cer -key name_container<br />Для этого мы хотим выгрузить все установленные сертификаты в папку и для каждого поврежденного контейнера по очереди для каждого выгруженного сертификата выполнить предыдущую команду.<br /><br /> Вопросы:<br />1. При использовании csptest привяжет нужный сертификат к контейнеру или может привязать не тот?<br />2. Возможно ли выполнить подвязку путем перебора не выгружая сертификаты на диск (т.е. использовать уже установленные сертификаты, при этом многие сертификаты имеют одинаковые имена)?<br />3. Вместо выгрузки на диск каждого сертификаты выполнить выгрузку всех сертификатов, содержащихся в одном файле и далее этот файл использовать при привязке?<br /></td></tr></table>2015-02-18T18:16:22+03:002015-02-18T18:16:22+03:00krglogin<table class="content postContainer_Alt" width="100%"><tr><td>День добрый.<br /><br />Лирическое отступление:<br />В связи с переходом с Windows 2003 на Windows 2012 у нас возникла задача переноса контейнеров и сертификатов с одного сервера на другой.<br />На текущий момент у нас используются порядка 15 серверов, 500+ сертификатов. С ними работают 60 пользователей.<br />Соответственно выполнить миграцию вручную представляется мало возможным. <br />Было решено осуществить миграцию при помощи скрипта на PowerShell 4.<br /><br /> Суть проблемы:<br />В качестве хранилища контейнеров мы используем реестр Windows. При этом часть контейнеров в реестре повреждена (отсутствует открытый ключ, параметр header.key в реестре).<br />Сами сертификаты уже установлены в системе. Мы хотим при помощи консольной программы csptest, находящейся в папке с дистрибутивом Crypto Pro CSP 3.6 R4 выполнить лечение контейнера,<br />использую команду: csptest -ipsec -reg -mycert c:\cert_der.cer -key name_container<br />Для этого мы хотим выгрузить все установленные сертификаты в папку и для каждого поврежденного контейнера по очереди для каждого выгруженного сертификата выполнить предыдущую команду.<br /><br /> Вопросы:<br />1. При использовании csptest привяжет нужный сертификат к контейнеру или может привязать не тот?<br />2. Возможно ли выполнить подвязку путем перебора не выгружая сертификаты на диск (т.е. использовать уже установленные сертификаты, при этом многие сертификаты имеют одинаковые имена)?<br />3. Вместо выгрузки на диск каждого сертификаты выполнить выгрузку всех сертификатов, содержащихся в одном файле и далее этот файл использовать при привязке?<br /></td></tr></table>