Форум русскоязычного сообщества Ubuntu


Автор Тема: openssl ГОСТ не удаётся установить *.pfx в WinXP  (Прочитано 8600 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн gordei3000

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Создал самоподписанный корневой сертификат УЦ, создал закрытый ключ и запрос на сертификат для пользователя, подписал запрос и получил сертификат для пользователя описанным выше способом, всё упаковал в *.pfx

В MS WINDOWS не получается установить файл *.pfx - "Произошла внутренняя ошибка. Для импорта закрытого ключа требуется поставщик криптографии, который не установлен".
Хотя по отдельности сертификат УЦ и сертификат пользователя устанавливаются в нужные места спокойно.

Как же установить набор закрытый ключ + подписанный сертификат пользователя на его машину?

Каким софтом в дальнейшем можно подписывать файлы для их передачи?



упаковал 3 файла: ca.crt - сертификат УЦ, client1.crt - сертификат клиента, подписанный УЦ, client1.key - закрытый ключ клиента

openssl pkcs12 -export -chain -Cafile ca.crt -in client1.crt -inkey client1.key -out client1.pfx

далее файл client1.pfx скинул на комп с WinXP - попробовал установить - запустился мастер импорта сертификатов, а в конце вылезла ошибка

Ключи создавал по алгоритму gost2001 paramset:A

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2262
    • Просмотр профиля
Re: openssl ГОСТ не удаётся установить *.pfx в WinXP
« Ответ #1 : 18 Ноябрь 2013, 13:48:56 »
Насколько я понимаю (возможно, ошибаюсь), ошибка "требуется поставщик криптографии, который не установлен" означает, что на Вашем WinXP не установлен пакет, "понимающий" алгоритм gost2001. Поверить достаточно просто - попробуйте создать ключи, например, x509 и проделать ту же процедуру по установке ключей на winXP.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27663
    • Просмотр профиля
Re: openssl ГОСТ не удаётся установить *.pfx в WinXP
« Ответ #2 : 18 Ноябрь 2013, 15:41:24 »
На Windows должен быть установлен пакет Crypto Pro CSP либо аналогичный, содержащий алгоритмы шифрования ГОСТ.
В чистой системе, до Windows 7 включительно, этих алгоритмов нет. На счёт Win8 врать не буду - не в курсе.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн gordei3000

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: openssl ГОСТ не удаётся установить *.pfx в WinXP
« Ответ #3 : 18 Ноябрь 2013, 19:11:10 »
Может кто-нибудь знает open source криптопровайдеры, с поддержкой гост и софт бесплатный для подписи/проверки файлов?

Оффлайн Rosenfeld

  • Активист
  • *
  • Сообщений: 388
  • Fedora GNU/Linux
    • Просмотр профиля
Re: openssl ГОСТ не удаётся установить *.pfx в WinXP
« Ответ #4 : 18 Ноябрь 2013, 19:14:36 »
Цитировать
Может кто-нибудь знает open source криптопровайдеры, с поддержкой гост

Могу ошибаться, но в продукты open source алгоритм ГОСТ включается крайне неохотно по причине его дискредитации Николя Куртуа (поищите в интернете самостоятельно). Проще говоря - никто не хочет связываться.
Зарегистрированный пользователь Linux # 526899.

Оффлайн gordei3000

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: openssl ГОСТ не удаётся установить *.pfx в WinXP
« Ответ #5 : 18 Ноябрь 2013, 20:00:12 »
Судя по публикациям, Куртуа критиковал гост 28147-89, а для подписи вроде бы используется 34.10 и 34.11

Оффлайн Rosenfeld

  • Активист
  • *
  • Сообщений: 388
  • Fedora GNU/Linux
    • Просмотр профиля
Re: openssl ГОСТ не удаётся установить *.pfx в WinXP
« Ответ #6 : 18 Ноябрь 2013, 20:25:50 »
Увы, за давностью - не помню. Я как-то подробно рассматривал эту тему, но абсолютно запамятовал - на каком форуме  именно... Был качественный крипто-мега-срач. :)

P.S. Ага, нашел и про ГOСТ-Р 34.11-94: https://www.pgpru.com/novosti/2008/pervajaatakanafunkcijuheshirovanijagostr341194
« Последнее редактирование: 18 Ноябрь 2013, 20:44:15 от Rosenfeld »
Зарегистрированный пользователь Linux # 526899.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27663
    • Просмотр профиля
Re: openssl ГОСТ не удаётся установить *.pfx в WinXP
« Ответ #7 : 18 Ноябрь 2013, 23:33:36 »
Может кто-нибудь знает open source криптопровайдеры, с поддержкой гост и софт бесплатный для подписи/проверки файлов?
openssl1.0 есть и под винду, если что...
Только это не криптопровайдер.
Из каких побуждений выбран шифр ГОСТ, вообще?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Rosenfeld

  • Активист
  • *
  • Сообщений: 388
  • Fedora GNU/Linux
    • Просмотр профиля
Re: openssl ГОСТ не удаётся установить *.pfx в WinXP
« Ответ #8 : 18 Ноябрь 2013, 23:39:37 »
Цитировать
Из каких побуждений выбран шифр ГОСТ, вообще?

Осмелюсь предположить (не выслушав ответ топикстартера), что его ему просто навязывают на российской веб-площадке госторгов, либо он работает в госучреждении.
Зарегистрированный пользователь Linux # 526899.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27663
    • Просмотр профиля
Re: openssl ГОСТ не удаётся установить *.pfx в WinXP
« Ответ #9 : 18 Ноябрь 2013, 23:44:51 »
Rosenfeld, вы неправы, и вот почему:
1. Ни на одной площадке не примут сертификат, подписанный неизвестно кем. Только конкретный список "аттестованных" (читай - набашлявший нужному дяде) центров сертификации может выдавать сертификаты, пригодные для участия в торгах.
2. Если организация всё же участвует в торгах, весь нужный софт у неё есть - поставляется вместе с ключами за ваши деньги.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Rosenfeld

  • Активист
  • *
  • Сообщений: 388
  • Fedora GNU/Linux
    • Просмотр профиля
Re: openssl ГОСТ не удаётся установить *.pfx в WinXP
« Ответ #10 : 18 Ноябрь 2013, 23:47:02 »
А-а-а, виноват. Не дочитал:

Цитировать
Создал самоподписанный корневой сертификат УЦ

(да еще корневой. Или вообще корневого УЦ?!) :)
Зарегистрированный пользователь Linux # 526899.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27663
    • Просмотр профиля
Re: openssl ГОСТ не удаётся установить *.pfx в WinXP
« Ответ #11 : 18 Ноябрь 2013, 23:50:47 »
Да какого угодно - если САМ создал сертификат, значит, уже мимо.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн gordei3000

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: openssl ГОСТ не удаётся установить *.pfx в WinXP
« Ответ #12 : 19 Ноябрь 2013, 13:05:20 »
Задача - создать на фирме систему электронного документооборота с возможностью подписи файлов ЭЦП. ГОСТ выбран из соображений патриотизма :) Обмениваться информацией со сторонними организациями не предполагается, чисто для внутренних нужд.

Судя по тому, что с 1 января 2013 года введён ГОСТ Р 34.11-2012, могу предположить, что в новом стандарте повысили криптостойкость.

Теперь про самоподписанный корневой сертификат УЦ.
 
Судя по тексту поста https://forum.ubuntu.ru/index.php?topic=194259.0


Теперь надо создать главный ключ удостоверяющего центра. И сертификат, конечно же... Обязательно ставьте на ключ пароль! Обязательно!

$ openssl req -newkey rsa:4096 -x509 -extensions x509_ca -keyout $HOME/ca.key -out $HOME/ca-$(date +%Y%m%d-%H%M).crt -days 3654
Generating a 4096 bit RSA private key
................................................................................
................................................................................
................................................................................
................................................................................
................................................................................
................................................................................
............................++
................................................................................
................................................................................
...............................++
writing new private key to '/home/.CA/ca.key'
Enter PEM pass phrase: <myveryownca>
Verifying - Enter PEM pass phrase: <myveryownca>
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code, mandatory) [RU]:
State or province name (optional) []:Russian Federation
Locality Name (eg, city, mandatory) [Moscow]:
Organization name (optional) []:Home Co
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name, or a server address) []:Andrey Repin
Email Address []:anrdaemon@example.org

Это было много-много точечек, да...
Поясню, что именно мы сделали - это поможет ориентироваться в дальнейших
командах.

Цитировать
openssl req - вызывается функция создания запроса сертификата
-newkey rsa:4096 - запрашивается генерация нового ключа RSA с длиной 4096 бит.
-x509 - а вот тут мы переключаемся в режим самоподписывания сертификатов. Вместо закрытого ключа и запроса сертификата будет создан ключ и сертификат, подписанный этим ключом. (Сертификат ключа, подписанный этим же самым ключом, называется "самоподписанным".)
-extensions x509_ca - из файла настроек загружаются расширения X.509 для CA
-keyout $HOME/ca.key - файл, куда сохранять ключ.
-out /home/.CA/ca-$(date +%Y%m%d-%H%M).crt
  - файл, куда сохранять подписанный сертификат. Файл создается с именем, включающим текущие дату и время - для большей наглядности.
-days 3654 - сертификат будет действителен примерно 10 лет, начиная от момента подписания.

А корневой - исходя из того, что все остальные будут поставляться с этим сертификатом, он в древовидной структуре будет главным.


Повторюсь,
Задача - создать на фирме систему электронного документооборота с возможностью подписи файлов ЭЦП. ГОСТ выбран из соображений патриотизма :) Обмениваться информацией со сторонними организациями не предполагается, чисто для внутренних нужд.
Естественно бесплатно по возможности.

Я предположил, что будет неплохо организовать выдачу сертификатов на основе openssl (свободное распространение и поддержка ГОСТ) и найти какой-нибудь софт собственно для подписи/проверки файлов.

Возможно предложите другие варианты решения моей задачи. Буду рад любым советам :)

Спасибо :)



Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27663
    • Просмотр профиля
Re: openssl ГОСТ не удаётся установить *.pfx в WinXP
« Ответ #13 : 20 Ноябрь 2013, 00:22:55 »
Местечковый патриотизм - дурацкая аргументация при выборе системы безопасности.
Вашими критериями должны быть надёжность и распространённость.
Для использования GOST вам придётся ставить дополнительное программное обеспечение на каждый компьютер.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн gordei3000

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: openssl ГОСТ не удаётся установить *.pfx в WinXP
« Ответ #14 : 23 Ноябрь 2013, 13:14:40 »
Понятно, все гуру сподобились разве что на критику, вместо какого-либо дельного совета как разрешить существующую проблему. Чтож, спасибо и на этом!

 

Страница сгенерирована за 0.092 секунд. Запросов: 25.