Сохранение Сертификата В Формате Pkcs#12

[MaDerer]

Здравствуйте. Наша организация использует ключ eToken с закрытым сертификатом и программу VipNet доступа к сертификату и подписи запросов Роскомнадзору. Задался я автоматизировать процедуру подписи и прочее на ос Linux. В результате мне понадобился сертификат в формате "PKCS#12".

Используя программу VipNet CSP я сохраняю данные выбрав необходимый формат, дважды вбиваю пароль для доступа к контейнеру (я так понимаю, что это уже мой пароль, по которому будет доступно содержимое) попроще, т.к. для эксперемента, вроде "123456" или "qwerty". Сохранение успешно проходит, но при попытке экспорта сертификата на другую машину или при попытке обработки сертификата openssl, при запросе пароля мой не подходит.

Не подскажете способ сохранения сертификата в PKCS#12 или что я делаю не так?

[Axiator]

Добрый день.

Мне тоже это счастье досталось. Удалось решить проблему?

[pre]

Здравствуйте.

В ViPNet CSP формат экспорта закрытого ключа в PKCS#12 реализован в соответствии с методическими рекомендациями ТК26 (http://www.tc26.ru/metodiki/).

В настоящее время еще не все производители СКЗИ поддерживают эти методические рекомендации, поэтому использовать формат PKCS#12, как универсальное средство миграции закрытого ключа ГОСТ из одной реализации СКЗИ в другую, не получится. Нужно контактировать с каждым производителем СКЗИ и узнавать детали.

Кроме того, в вопросе шла речь об использовании аппаратных устройств (eToken). Существуют аппаратные токены, которые на аппаратном уровне запрещают извлечение закрытого ключа. Для таких токенов экспорт закрытого ключа в PKCS#12 просто невозможен.

Так что остаётся стандартная для PKI схема. На Linux средствами вашего СКЗИ (например, openssl) создаётся закрытый ключ, а открытый ключ извлекается в стандартном для всех производителей ГОСТовых СКЗИ виде PKCS#10. Далее, этот PKCS#10 сертифицируется в вашем УЦ. Готовый сертификат X.509 приносится на Linux и вводится в действие. Пока только этот способ мне представляется перспективным.