× Функционирование и эксплуатация Государственной интегрированной информационной системы управления общественными финансами "Электронный бюджет" (ГИИС ЭБ).

Конвертация контейнера PKCS#12 в PKCS#15 и 127 символов наименования организации

26 март 2019 02:42 - 26 март 2019 02:42 #11483 от jurganov
неоднократно обращался в техподдержку федерального казаначейства, и они мне повторяли одно и тоже.
"Делайте всё по инструкции" и дальше выписка как пользоваться Криптопро для записи сертификата на флешку. Несмотря на то, что я просил не повторять эту фигню, которую делал уже ни раз.
С третьего пинка к повторению этой стандартной ерунды они дописали следующее

"Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки. Для конвертации контейнера PKCS#12 в PKCS#15 есть специальная утилита, для получения обращаться в ТОФК. 1. В компьютере вставлен съемный носитель с сертификатом PKCS#12. 2. Запускаем утилиту конвертации. 3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список». 4. Выбираем нужный сертификат и нажимаем «Конвертировать». 5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить». 6. В окне Крипто-ПРО повторно указываем пароль ранее и «ОК». 7. Конвертирование завершено успешно, на съемном носителе будет сертификат и ключ в контейнере PKCS#15. При отсутствии сертификата в jinn плагине при подписании требуется обратиться в отдел ОРСИБИ вашего ТОФК для получения конвертера и инструкции по конвертации контейнера подписи из формата PKCS#12 в PKCS#15."

Разумеется, в инструкции, по которой я должен был делать об этом ни слова.
надеюсь, теперь вопрос будет решен
Спасибо сказали: sedkazna

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

26 март 2019 03:38 #11484 от Gvinpin

jurganov пишет: неоднократно обращался в техподдержку федерального казаначейства, и они мне повторяли одно и тоже.
"Делайте всё по инструкции" и дальше выписка как пользоваться Криптопро для записи сертификата на флешку. Несмотря на то, что я просил не повторять эту фигню, которую делал уже ни раз.
С третьего пинка к повторению этой стандартной ерунды они дописали следующее

"Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки. Для конвертации контейнера PKCS#12 в PKCS#15 есть специальная утилита, для получения обращаться в ТОФК. 1. В компьютере вставлен съемный носитель с сертификатом PKCS#12. 2. Запускаем утилиту конвертации. 3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список». 4. Выбираем нужный сертификат и нажимаем «Конвертировать». 5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить». 6. В окне Крипто-ПРО повторно указываем пароль ранее и «ОК». 7. Конвертирование завершено успешно, на съемном носителе будет сертификат и ключ в контейнере PKCS#15. При отсутствии сертификата в jinn плагине при подписании требуется обратиться в отдел ОРСИБИ вашего ТОФК для получения конвертера и инструкции по конвертации контейнера подписи из формата PKCS#12 в PKCS#15."

Разумеется, в инструкции, по которой я должен был делать об этом ни слова.
надеюсь, теперь вопрос будет решен

Каким образом?

______________________________
лучше уже было

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

26 март 2019 04:02 #11485 от jurganov
сделать ключ по PKCS#15 и попробовать подписать им.
вот только дама из ТОФК заявила, что знать про это не знает. хотя она не знала и про Континет 2.0
Пытаюсь прозвониться спецам...
не представляю где искать этот конвертер, если казначеи не имеют

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

26 март 2019 04:28 #11486 от ViktorGRBS

jurganov пишет: неоднократно обращался в техподдержку федерального казаначейства, и они мне повторяли одно и тоже.
"Делайте всё по инструкции" и дальше выписка как пользоваться Криптопро для записи сертификата на флешку. Несмотря на то, что я просил не повторять эту фигню, которую делал уже ни раз.
С третьего пинка к повторению этой стандартной ерунды они дописали следующее

"Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки. Для конвертации контейнера PKCS#12 в PKCS#15 есть специальная утилита, для получения обращаться в ТОФК. 1. В компьютере вставлен съемный носитель с сертификатом PKCS#12. 2. Запускаем утилиту конвертации. 3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список». 4. Выбираем нужный сертификат и нажимаем «Конвертировать». 5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить». 6. В окне Крипто-ПРО повторно указываем пароль ранее и «ОК». 7. Конвертирование завершено успешно, на съемном носителе будет сертификат и ключ в контейнере PKCS#15. При отсутствии сертификата в jinn плагине при подписании требуется обратиться в отдел ОРСИБИ вашего ТОФК для получения конвертера и инструкции по конвертации контейнера подписи из формата PKCS#12 в PKCS#15."

Разумеется, в инструкции, по которой я должен был делать об этом ни слова.
надеюсь, теперь вопрос будет решен

Зачем вам весь этот колхоз?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

26 март 2019 05:23 - 26 март 2019 08:24 #11495 от Gvinpin

jurganov пишет: сделать ключ по PKCS#15 и попробовать подписать им.
вот только дама из ТОФК заявила, что знать про это не знает. хотя она не знала и про Континет 2.0
Пытаюсь прозвониться спецам...

Вы обращались в ОРСиБИ УФК или в теротдел? Все СКЗИ выдаются в ОРСиБИ без посредничества теротделов, видимо, до теротделов информация не доводилась. Но скорее всего информация доводилась до клиентов посредством СУФД да только мало кто обращает внимание.

jurganov пишет: не представляю где искать этот конвертер, если казначеи не имеют

Может, здесь?

jurganov пишет: скачал утилиту для конвертирования контейнера.
на 7ке заявила, что не хватает библиотеки (на 10ке- двух библиотек). скачал установил. выдало ошибку 0xc000007b которую исправить не предсталяется возможным, тк количество возможных причин запредельно


______________________________
лучше уже было

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

26 март 2019 05:50 #11496 от sedkazna

jurganov пишет: не представляю где искать этот конвертер, если казначеи не имеют

Оказывается это тот же конвертер что и для обрезки поля "наименования организации" до 127 символов.
Вот нашел документацию к нему:

This browser does not support PDFs. Please download the PDF to view it: Download PDF

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

26 март 2019 06:00 - 26 март 2019 06:38 #11499 от Gvinpin

sedkazna пишет:

jurganov пишет: не представляю где искать этот конвертер, если казначеи не имеют

Оказывается это тот же конвертер что и для обрезки поля "наименования организации" до 127 символов.
Вот нашел документацию к нему:

This browser does not support PDFs. Please download the PDF to view it: Download PDF

И все давно о нем знают даже те, кто не знает.

______________________________
лучше уже было

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 март 2019 09:50 #11559 от sedkazna

Gvinpin пишет: И все давно о нем знают даже те, кто не знает.

Какие все молодцы, правда...

И все же..
Вынес конвертер в " Полезные программы ".

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

11 июнь 2019 05:10 #12528 от depfin
Если исходный контейнер pkcs#12 на токене, возможно ли обойтись только им? Или придется хранить 12 на токене, а 15 на флешке

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

14 окт 2019 14:10 #13955 от Khanaphi
Коллеги, пожалуйста, объясните, что нужно сделать чтобы при конвертации криптоконтейнера на e-Token, предыдущий сконвертированный криптоконтейнер не перезаписывался и был тоже доступен для выбора в jinn-client при подписании документов? А если выбирать сертификат из списка сертификатов Windows, то выдается сообщение "Ошибка целостности файла масок контейнера КриптоПро".

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

14 окт 2019 16:12 #13959 от Gvinpin

Khanaphi пишет: Коллеги, пожалуйста, объясните, что нужно сделать чтобы при конвертации криптоконтейнера на e-Token, предыдущий сконвертированный криптоконтейнер не перезаписывался и был тоже доступен для выбора в jinn-client при подписании документов?

Не получится, придется использовать разные носители.

______________________________
лучше уже было

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

14 окт 2019 18:42 - 14 окт 2019 18:55 #13962 от Wmffre

Khanaphi пишет: А если выбирать сертификат из списка сертификатов Windows, то выдается сообщение "Ошибка целостности файла масок контейнера КриптоПро".

Это ошибка означает, что либо не установлен, либо требуется удалить из "Установка и удаление программ" и затем установить с последующий перезагрузкой XC 1.0.1.1 (другое название - eXtended Container). Инстоллятор находится внутри дистрибутива Jinn-client 1.0.3050.0 - файл xc.msi или xc64.msi - в зависимости от разрядности операционной системы, вводимая лицензия находится в инструкции .

Khanaphi пишет: Коллеги, пожалуйста, объясните, что нужно сделать чтобы при конвертации криптоконтейнера на e-Token

Конвертер из PKCS#12 в PKCS#15 не является сертифицированным ПО, поэтому, если Вы - сотрудник казначейства, то Вам его использовать запрещено.

Auto screen capture + mencoder - бесплатные(GPL) программы для создания видео действий пользователя для техподдержки.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

16 окт 2019 06:30 #13988 от pikachurus

Khanaphi пишет: А если выбирать сертификат из списка сертификатов Windows, то выдается сообщение "Ошибка целостности файла масок контейнера КриптоПро".


Буквально только что увидел такое, при попытке утвердить отчет руководителем (сертификат ГОСТ-2012).
В моем случае причина оказалась в очередном ежемесячном обновлении Windows, который повредил какие-то корневые сертификаты Крипто-Про. Помогает установка той же версии Крипто-Про поверх текущей установки (выбрать Восстановление). После перезагрузки всё подписалось.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

16 окт 2019 07:09 #13989 от ranger
XC 1.0.1.1 - старье тупое

нужна версия 1.0.2.2

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.