Jump to content

Recommended Posts

Здравствуйте. Наша организация использует ключ eToken с закрытым сертификатом и программу VipNet доступа к сертификату и подписи запросов Роскомнадзору. Задался я автоматизировать процедуру подписи и прочее на ос Linux. В результате мне понадобился сертификат в формате "PKCS#12".

Используя программу VipNet CSP я сохраняю данные выбрав необходимый формат, дважды вбиваю пароль для доступа к контейнеру (я так понимаю, что это уже мой пароль, по которому будет доступно содержимое) попроще, т.к. для эксперемента, вроде "123456" или "qwerty". Сохранение успешно проходит, но при попытке экспорта сертификата на другую машину или при попытке обработки сертификата openssl, при запросе пароля мой не подходит.

Не подскажете способ сохранения сертификата в PKCS#12 или что я делаю не так?

Share this post


Link to post
Share on other sites

Здравствуйте.

В ViPNet CSP формат экспорта закрытого ключа в PKCS#12 реализован в соответствии с методическими рекомендациями ТК26 (http://www.tc26.ru/metodiki/).

В настоящее время еще не все производители СКЗИ поддерживают эти методические рекомендации, поэтому использовать формат PKCS#12, как универсальное средство миграции закрытого ключа ГОСТ из одной реализации СКЗИ в другую, не получится. Нужно контактировать с каждым производителем СКЗИ и узнавать детали.

Кроме того, в вопросе шла речь об использовании аппаратных устройств (eToken). Существуют аппаратные токены, которые на аппаратном уровне запрещают извлечение закрытого ключа. Для таких токенов экспорт закрытого ключа в PKCS#12 просто невозможен.

Так что остаётся стандартная для PKI схема. На Linux средствами вашего СКЗИ (например, openssl) создаётся закрытый ключ, а открытый ключ извлекается в стандартном для всех производителей ГОСТовых СКЗИ виде PKCS#10. Далее, этот PKCS#10 сертифицируется в вашем УЦ. Готовый сертификат X.509 приносится на Linux и вводится в действие. Пока только этот способ мне представляется перспективным.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.