Работа с сертификатами КриптоПро

На чтение 6 мин. Просмотров 212 Опубликовано
Содержание
  1. Перенос контейнера с flash-носителя в локальное хранилище пк
  2. Просмотр сертификатов
  3. Удаление контейнеров и сертификатов
  4. Удаление сертификатов
  5. Установка корневых сертификатов
  6. Установка личных сертификатов
  7. Установка сертификатов pfx
  8. Проверка отзыва сертификата¶

Перенос контейнера с flash-носителя в локальное хранилище пк

1. Активируем хранилище HDIMAGE:

cpconfig -hardware reader -add HDIMAGE store 

Adding new reader:
Nick name: HDIMAGE
Succeeded, code:0x0

2. Посмотрим, какие контейнеры доступны на флешке:

csptest -keyset -enum_cont -fqcn -verifyc 

CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 32114099
\.FLASHbob
OK.
Total: SYS: 0,020 sec USR: 0,080 sec UTC: 0,190 sec
[ErrorCode: 0x00000000]

Просмотр сертификатов

1. Просмотр установленных сертификатов:

certmgr -list

2. Просмотр установленных сертификатов в локальном хранилище uMy:

certmgr -list -store uMy

3. Просмотр сертификатов в хранилище ПК (обычно сюда устанавливаются корневых сертификаты):

$ certmgr -list -store uRoot

4. Просмотр сертификатов в контейнере:

certmgr -list -container '\.Aladdin R.D. JaCarta 00 008df47e71-18ae-49c1-8738-9b4b0944dcd4'

5. Просмотр промежуточных сертификатов:

certmgr -list -store uca

Удаление контейнеров и сертификатов

Построение защищенного соединения происходит с аутентификацией абонентов при помощи ключевой пары (закрытого и открытого ключа). Закрытый ключ аутентификации является конфиденциальным и должен использоваться только одним абонентом. Если клонирование произведено после введения ключа аутентификации, то необходимо удалить клонированный ключ и ввести ключ, принадлежащий абоненту, для которого производится клонирование виртуального шлюза.

Порядок удаления ключа описан далее.

Для работы с сертификатами используется утилита cert_mgr.

·       Вывод списка сертификатов:

cert_mgr show

Found 2 certificates. No CRLs found.

1 Status: trusted C=RU,L=Moscow,O=S-Terra CSP,OU=Research,CN=CA-W2008SP1-X64-CA

2 Status: local   C=RU,OU=Research,CN=GW1

·       Вывод пути до контейнера, относящегося к сертификату:

cert_mgr show -i 2 | grep “container”

  Private key container name: ‘\.HDIMAGEHDIMAGE\vpn5493fd98’

где -i 2 – номер сертификата.

·       Удаление сертификата:

cert_mgr remove –i 2

Читайте также:  Возможно, удостоверяющий центр компании Тензор компрометирует приватные ключи клиентов / Хабр

2 OK   C=RU,OU=Research,CN=GW1

где -i 2 – номер сертификата.

Описание работы утилиты cert_mgr представлено в документации на ПК «С-Терра Шлюз 4.1» (документ «Специализированные команды»).

Для работы с контейнерами применяются следующие утилиты:

·       cont_mgr, если используется криптобиблиотека, разработанная компанией «С-Терра СиЭсПи»,

·       csptest, если используется СКЗИ  «КриптоПро CSP».

Утилита cont_mgr

·       Вывод списка контейнеров:

cont_mgr show

file://ContName1

·       Удаление контейнера:

cont_mgr delete -cont file://ContName1 -PIN 1234

где:

-cont file://ContName1 – путь до контейнера.

-PIN 1234 – пароль для доступа к контейнеру.

Описание работы утилиты cont_mgr представлено в документации на ПК «С-Терра Шлюз 4.1» (документ  «Специализированные команды»).

Утилита csptest размещена в каталоге /opt/cprocsp/bin/ia32/ или /opt/cprocsp/bin/amd64/, в зависимости от разрядности операционной системы.

·       Описание возможных ключей утилиты csptest можно вызвать, запустив утилиту с ключом –help:

./csptest –help

./csptest -keyset –help

·       Вывод списка контейнеров:

./csptest -keyset -machinekeyset -verifycontext -enum_containers -fqcn –unique

CSP (Type:75) v3.9.8000 KC1 Release Ver:3.9.8212 OS:Linux CPU:AMD64 FastCode:READY:AVX.

AcquireContext: OK. HCRYPTPROV: 30670563

\.HDIMAGEHDIMAGE\vpn5493fd98                |\.HDIMAGEHDIMAGE\vpn5493fd98

OK.

Total:

[ErrorCode: 0x00000000]

·       Удаление контейнера:

./csptest -keyset -machinekeyset -deletekeyset -container ‘\.HDIMAGEHDIMAGE\vpn5493fd98’ -password pass

CSP (Type:75) v3.9.8000 KC1 Release Ver:3.9.8212 OS:Linux CPU:AMD64 FastCode:READY:AVX.

Container \.HDIMAGEHDIMAGE\vpn5493fd98 deleted.

Total:

[ErrorCode: 0x00000000]

где:

-container ‘\.HDIMAGEHDIMAGE\vpn5493fd98’ – путь до контейнера.

-password pass – пароль для доступа к контейнеру.

Удаление сертификатов

1. Удалить сертификат из личного хранилища сертификатов

Просмотрите установленные сертификаты: 

certmgr -list

Изучите список всех установленных сертификатов (в общем списке отображаются абсолютно все сертификаты).

Для удаления следует выполнить команду в Терминале:

certmgr -delete -store uMy

Если установлено более одного сертификата, то будет предложено указать номер удаляемого сертификата.

2. Удалить сертификаты, установленные в хранилище КриптоПро:

certmgr -delete -store uRoot

Если установлено более одного сертификата, то будет предложено указать номер удаляемого сертификата.

Читайте также:  Лицензия для криптопро pki

3. Удалить все сертификаты, установленные в хранилище КриптоПро:

certmgr -delete -all -store uRoot

4. Удалить все сертификаты, установленные в хранилище ПК:

certmgr -delete -store mRoot

Установка корневых сертификатов

При установке корневых сертификатов достаточно указать хранилище uRoot. При указании mRoot (при наличии прав администратора) корневой сертификат будет доступен всем пользователям системы.

1. Установка в хранилище КриптоПро:

certmgr -inst -store uRoot -file <название-файла>.cer

2. Установка в хранилище ПК:

certmgr -inst -store mRoot -file <название-файла>cer

3. Установка списка отозванных сертификатов crl:

certmgr -inst -crl -file <название-файла>.crl

Установка личных сертификатов

1. Установка сертификата без привязки к ключам:

certmgr -inst -file cert_bob.cer

2. Установка личного сертификата cert_bob.cer, сертификат при этом попадает в пользовательское хранилище uMy. Приватный ключ находится на флешке.

certmgr -inst -file cert_bob.cer -store uMy -cont '\.FLASHbob'

в команде указывается сертификат cert_bob.cer, который ассоциируется с приватным контейнером \.FLASHbob’

3. Установка сертификата с токена (в конце команды указывается контейнер)

/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\.Aladdin R.D. JaCarta 00 008df47e71-18ae-49c1-8738-9b4b0944dcd4'

Установка сертификатов pfx

1. Необходимо установить пакет cprocsp-rsa, который находится в составе дистрибутива КриптоПро (linux-amd64).

2. Выполним команду от локального (доменного) пользователя:

/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -pfx -pin <пинкод> -file 'путь до pfx'

Цепочка сертификатов будет отображаться в утилите «Ключевые носители и сертификаты» в «Личное хранилище сертификатов».

Проверка отзыва сертификата¶

Чтобы проверить открытый сертификат на отозванность, необходимо:

  1. Открыть командную строку «Пуск → Выполнить → cmd»;
  2. Ввести команду certutil-verify и указать путь до сертификата, например, certutil-verify6654074390-632701001-613402108217.cer;

Будет показана информация о сертификате. В случае, если сертификат действующий, то будет выведено сообщение:

В случае, если сертификат отозван, то будет выведено сообщение СертификатОТОЗВАН(причина=5) и код причины отзыва.

Читайте также:  Общие вопросы | ТЭК-Торг

Например, код причины 5 означает, что сертификат отозван по окончанию срока действия.

Оцените статью
ЭЦП Эксперт
Добавить комментарий

© 2023 ЭЦП Эксперт