Jump to content

Recommended Posts

Здравствуйте. Наша организация использует ключ eToken с закрытым сертификатом и программу VipNet доступа к сертификату и подписи запросов Роскомнадзору. Задался я автоматизировать процедуру подписи и прочее на ос Linux. В результате мне понадобился сертификат в формате "PKCS#12".

Используя программу VipNet CSP я сохраняю данные выбрав необходимый формат, дважды вбиваю пароль для доступа к контейнеру (я так понимаю, что это уже мой пароль, по которому будет доступно содержимое) попроще, т.к. для эксперемента, вроде "123456" или "qwerty". Сохранение успешно проходит, но при попытке экспорта сертификата на другую машину или при попытке обработки сертификата openssl, при запросе пароля мой не подходит.

Не подскажете способ сохранения сертификата в PKCS#12 или что я делаю не так?

Share this post


Link to post
Share on other sites

Здравствуйте.

В ViPNet CSP формат экспорта закрытого ключа в PKCS#12 реализован в соответствии с методическими рекомендациями ТК26 (http://www.tc26.ru/metodiki/).

В настоящее время еще не все производители СКЗИ поддерживают эти методические рекомендации, поэтому использовать формат PKCS#12, как универсальное средство миграции закрытого ключа ГОСТ из одной реализации СКЗИ в другую, не получится. Нужно контактировать с каждым производителем СКЗИ и узнавать детали.

Кроме того, в вопросе шла речь об использовании аппаратных устройств (eToken). Существуют аппаратные токены, которые на аппаратном уровне запрещают извлечение закрытого ключа. Для таких токенов экспорт закрытого ключа в PKCS#12 просто невозможен.

Так что остаётся стандартная для PKI схема. На Linux средствами вашего СКЗИ (например, openssl) создаётся закрытый ключ, а открытый ключ извлекается в стандартном для всех производителей ГОСТовых СКЗИ виде PKCS#10. Далее, этот PKCS#10 сертифицируется в вашем УЦ. Готовый сертификат X.509 приносится на Linux и вводится в действие. Пока только этот способ мне представляется перспективным.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.