Jump to content

Экспорт закрытого ключа в PFX


Alexey Vasilyev

Recommended Posts

Всем привет!

Не могу победить ситуацию.   Пытаюсь перенести закрытый ключ с VIPnet 4.2/ 4.4  Windows  в PFX на Крипто-про. Уже делал это с прошлыми ключами.

Но сейчас неожиданно получил эффект:  Закрытый ключ не экспортируется или экспортируется с каким-то хитрым алгоритмом. Крипто-Про в логах ругается 

cptools: <capi20>pfx_AddCertAttributesToContext!() pfx - pkcs12 attribute unsupported
cptools: <capi20>pfx_AddCertAttributesToContext!() pfx - pkcs12 attribute unsupported
cptools: <capi10>CryptGetUserKey!failed: LastError = 0x8009000D
cptools: message repeated 11 times: [ <capi10>CryptGetUserKey!failed: LastError = 0x8009000D]
cptools: <capi20>CertOpenStore!failed: LastError = 0x2
cptools: message repeated 3 times: [ <capi20>CertOpenStore!failed: LastError = 0x2]



Обновился на  VipNet 4.4 (Windows), но не может обратно импортировать только что собой созданный PFX говорит  пароль "не подходит" (ага, только что созданный типа 123, 12345678)

 

openssl pkcs12 -in container.pfx -nodes   

тоже не видит закрытого ключа. в раннем PFX  видит.

При этом  ключ из контейнера работает, VipNet 4.2 (Linux) подписывает что надо, на Windows тоже работает.
Но закрытый ключ не удается достать достать для переноса.

Предыдущие выпускал в Тензор, и ИТК  в начале года,  новый ключ в августе  в Тензор. Ключи выпускались удаленно в VipNet контенер.
Проверил типы шифрования одинаковые ГОСТ 34.10-2012/512 

Единственное различие нашел:  Новый ключ имеет поле:
Embedded License    : CryptoPro CSP

Куда копать?  Как еще можно получить закрытый ключ из контейнера?

Link to comment
Share on other sites

Походу причина в Windows-10 что-то с апдейтами пришло, сделал тоже самое на VipNet 4.2.2 (winXP, хорошо иметь виртуальную машину) сертификат нормально экспортировался  с закрытым -ключом.

Link to comment
Share on other sites

  • 3 months later...

Причина: Windows 10 после обновления просто не экспортирует ключ в PFX. или VipNet не встраивается (или хук потерялся)  в процедуру экспорта.

Решение: 
1. поднять виртуальную машину с win8  (скачать образ с сайта микрософта)
2. поставить в VipNet (4.4) в виртуальную машину
3. перегнать контейнер в VM
4. экспортировать.

Почему перестал экспортироваться без понятия, переустановка не помогала. 

 

 

Проверку наличия ключа в PFX делать через гостовый-openssl: отсюда https://habr.com/ru/post/353534/

sudo docker run -i -v `pwd`:`pwd` -w `pwd` rnix/openssl-gost openssl pkcs12 -in file.pfx   -engine gost -info

в заголовке должен сказать

PKCS7 Encrypted data: PBES2, PBKDF2, gost89, Iteration 2000, PRF id-tc26-hmac-gost-3411-2012-512

Если скажет что-то другое, значит ключа в PFX нет, или VipNеt его туда не положил.

 

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.