Alexey Vasilyev Posted November 7, 2021 Report Share Posted November 7, 2021 Всем привет! Не могу победить ситуацию. Пытаюсь перенести закрытый ключ с VIPnet 4.2/ 4.4 Windows в PFX на Крипто-про. Уже делал это с прошлыми ключами. Но сейчас неожиданно получил эффект: Закрытый ключ не экспортируется или экспортируется с каким-то хитрым алгоритмом. Крипто-Про в логах ругается cptools: <capi20>pfx_AddCertAttributesToContext!() pfx - pkcs12 attribute unsupported cptools: <capi20>pfx_AddCertAttributesToContext!() pfx - pkcs12 attribute unsupported cptools: <capi10>CryptGetUserKey!failed: LastError = 0x8009000D cptools: message repeated 11 times: [ <capi10>CryptGetUserKey!failed: LastError = 0x8009000D] cptools: <capi20>CertOpenStore!failed: LastError = 0x2 cptools: message repeated 3 times: [ <capi20>CertOpenStore!failed: LastError = 0x2] Обновился на VipNet 4.4 (Windows), но не может обратно импортировать только что собой созданный PFX говорит пароль "не подходит" (ага, только что созданный типа 123, 12345678) openssl pkcs12 -in container.pfx -nodes тоже не видит закрытого ключа. в раннем PFX видит. При этом ключ из контейнера работает, VipNet 4.2 (Linux) подписывает что надо, на Windows тоже работает. Но закрытый ключ не удается достать достать для переноса. Предыдущие выпускал в Тензор, и ИТК в начале года, новый ключ в августе в Тензор. Ключи выпускались удаленно в VipNet контенер. Проверил типы шифрования одинаковые ГОСТ 34.10-2012/512 Единственное различие нашел: Новый ключ имеет поле: Embedded License : CryptoPro CSP Куда копать? Как еще можно получить закрытый ключ из контейнера? Quote Link to comment Share on other sites More sharing options...
Alexey Vasilyev Posted November 7, 2021 Author Report Share Posted November 7, 2021 Походу причина в Windows-10 что-то с апдейтами пришло, сделал тоже самое на VipNet 4.2.2 (winXP, хорошо иметь виртуальную машину) сертификат нормально экспортировался с закрытым -ключом. Quote Link to comment Share on other sites More sharing options...
Alexey Vasilyev Posted February 8, 2022 Author Report Share Posted February 8, 2022 Ситуация ухудшилась. Созданный декабре ключ открывается только на win10 пери переносе контейнера в win XP - "пароль не подходит." Кто-то сталкивался с таким? Quote Link to comment Share on other sites More sharing options...
Alexey Vasilyev Posted February 14, 2022 Author Report Share Posted February 14, 2022 Причина: Windows 10 после обновления просто не экспортирует ключ в PFX. или VipNet не встраивается (или хук потерялся) в процедуру экспорта. Решение: 1. поднять виртуальную машину с win8 (скачать образ с сайта микрософта) 2. поставить в VipNet (4.4) в виртуальную машину 3. перегнать контейнер в VM 4. экспортировать. Почему перестал экспортироваться без понятия, переустановка не помогала. Проверку наличия ключа в PFX делать через гостовый-openssl: отсюда https://habr.com/ru/post/353534/ sudo docker run -i -v `pwd`:`pwd` -w `pwd` rnix/openssl-gost openssl pkcs12 -in file.pfx -engine gost -info в заголовке должен сказать PKCS7 Encrypted data: PBES2, PBKDF2, gost89, Iteration 2000, PRF id-tc26-hmac-gost-3411-2012-512 Если скажет что-то другое, значит ключа в PFX нет, или VipNеt его туда не положил. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.