Континент-АП

19 окт 2018 08:07 - 19 окт 2018 08:25 #9040 от Alexer81
Регламент ФК

2.3. Срок действия КЭП составляет максимально допустимый срок действия КЭП, установленный эксплуатационной документацией для используемого средства ЭП. Начало периода действия КЭП Владельца сертификата исчисляется с даты и времени создания КЭП.

сроки можно посмотреть в - ЖТЯИ.00087-01 91 01. Руководство администратора безопасности. Общая часть.pdf
6.8. Сроки действия пользовательских ключей
там же написано как отключается проверка.
протестируйте контейнер в панели управления криптопро. должен показать дату, по которую действует ваш ключ.

При создании ключа срок действия определяется равным 3 годам для неэкспортируемых ключей, хранящихся на функциональных ключевых носителях (ФКН) или в КриптоПро HSM. Сроки действия всех остальных ключей составляют 15 месяцев. Срок окончания действия ключа записывается в расширение контейнера.
При наличии сертификата в контейнере срок действия ключа определяется на основании поля PrivateKeyUsagePeriod (при наличии), либо при его отсутствии сроком начала действия сертификата (3 года с начала при использовании неэкспортируемых ключей, хранящихся на ФКН или в КриптоПро HSM, и 15 месяцев для прочих ключей).

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 окт 2018 08:34 #9041 от Enigmatic74
Я и не просто так написал: "Вся проблема в том, что когда создали ключ, то почему-то заблокировали функцию экспорта (скопировать ключ).". Другими словами, в "Мастере экспорта сертификатов" первый вариант "Да, экспортировать закрытый ключ" неактивен и остается выбрать, увы, единственный вариант "Нет, не экспортировать закрытый ключ".
Поэтому и я обратился сюда найти пути решения.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 окт 2018 08:45 - 19 окт 2018 08:51 #9042 от Gvinpin

Enigmatic74 пишет: Я и не просто так написал: "Вся проблема в том, что когда создали ключ, то почему-то заблокировали функцию экспорта (скопировать ключ).". Другими словами, в "Мастере экспорта сертификатов" первый вариант "Да, экспортировать закрытый ключ" неактивен и остается выбрать, увы, единственный вариант "Нет, не экспортировать закрытый ключ".
Поэтому и я обратился сюда найти пути решения.

Может быть, кто-то Вам поможет.
Но мне в Вашем случае видится одно решение: получить новый сертификат для Континент-АП (и не ждать).

___________________________
Все страньше и страньше! Все чудесатее и чудесатее! Все любопытственнее и любопытственнее! Все страннее и страннее! Все чудесится и чудесится! ©

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 окт 2018 09:06 #9043 от Enigmatic74

Но мне в Вашем случае видится одно решение: получить новый сертификат для Континент-АП.


Этот вариант я и сразу понял;) Думал, что у гуру есть другие хитрости копировать закрытый ключ в PFX-файл).

Кстати, вот что мне пришло в голову... Бредятина, но прошу не судить строго!;) 2 варианта решения вопроса:
1) Так как ругается на срок действия ключа, то я в текущей дате системного времени поменял только год, точнее поставил дату 19.10.2011 и вуаля, Контитент-АП подключился к серверу СУФД!! Вернул обратно настоящую дату и соединение осталось активным. Вопрос: если вернуть дату в тот промежуток, где срок действия ключа в силе, после соединения с сервером вернуть настоящую дату, то в ходе работы в системе СУФД это отрицательно не сказывается?

2) На другой машине установил КриптоПРО CSP 3.9 и протестировал ключ: Сервис --> Протестировать... и всё успешно! Ключ рабочий! Вопрос: а может просто вместо КриптоПРО 4.0 установить чуть старую версию 3.9? Будет так работать?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 окт 2018 09:12 - 19 окт 2018 09:25 #9044 от Alex67

Gvinpin пишет: "Вся проблема в том, что когда создали ключ, то почему-то заблокировали функцию экспорта

Есть подозрение, что КАП версии 3.7 по умолчанию при генерации делает ключ неэкспортируемым.
Поэтому надо делать ключ на флешке чтобы потом можно было сделать копию ключа простым копированием.
А вот кто заставлял вас потом копировать сертификат в контейнер -- это загадка....
Короче, если нет копии ключа -- только новый делать........
Менять системную дату туда-обратно можно, но геморройно....
будет ли работать с 3,9 --- зависит от того на какой версии крипты делались сертификаты СУФД - если ещё на 3,6 (3,9) то будет, а если уже на 4.0 то нет

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 окт 2018 09:28 #9045 от Enigmatic74

А вот кто заставлял вас потом копировать сертификат в контейнер -- это загадка....


Был один товарищ из группы сопровождения пользователей весь тоже на нервах (это все специалисты из СУФД такие нервные, остается только догадываться!!!). Это было в январе 2011 года, когда только запустили старую долбанную, тормознутую СЭД. Он всё это генерировал, устанавливал и настраивал. Только вот года 3 тому назад от СЭДа перешли на СУФД. А ключ для подключения по VPN серверу остался по наследству с тех пор. Срок его действия до 01 янв. 2038 г. Пока что на старой машине с Windows XP, КриптоПРО 3.6 и Континент-АП 3.3 всё работает! Тьфу-тьфу, не сглазить бы!!)

Но вот недавно пришло письмо от УФК о переходе к новой версии Континент-АП с новыми параметрами для подключения до 10 ноября. Поэтому пытаюсь к этому времени перейти на новую машину с Windows 8.1, КриптоПРО 4.0 и Континент-АП 3.7, что и предлагают установить по письму

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 окт 2018 09:42 - 19 окт 2018 09:48 #9046 от Enigmatic74

будет ли работать с 3,9 --- зависит от того на какой версии крипты делались сертификаты СУФД - если ещё на 3,6 (3,9) то будет, а если уже на 4.0 то нет


Т.е. Вы хотите сказать, что на какой версии КриптоПРО был сгенерирован этот ключ (речь идет только о ключе для подключения по Континент-АП, а не о ключах для подписей документов), то можно и не обязательно устанавливать КриптоПРО 4.0, а старее?? Если память не изменят в то время (декабрь 2010 г.) он устанавливал КриптоПРО 2.0 и на нем сгенерировал все ключи, в том числе и этот ключ.

Одним словом, так как тестирование ключа в КриптоПРО 3.9 проходит успешно, то я могу и установить на новой машине вместо 4.0 версию 3.9 и спокойно пользоваться им?

Последние ключи для подписей (апр. 2018г.) я лично сам генерировал как раз в КриптоПРО 3.9. Дистрибутив 4.0 отдали из УФК вместе с готовыми ключами для подписей. Вот впервые я установил 4.0 и неудачно)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 окт 2018 09:51 #9047 от Alex67
Вот ещё про копирование контейнеров утилитой:
winitpro.ru/index.php/2011/09/07/peresoz...-klyuch-sertifikata/
может и прокатит.
Я хочу сказать что есть обратная совместимость:
т.е. 4,0 поймёт ключи сделанные на 3,9
а 3.9 ключи сделанные на 4,0 не поймёт
(это я про подпись документов в суфд говорю)
Хм, а на 3,9 крипте ключ континента всё так же остаётся неэкспортируемым?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 окт 2018 10:17 - 19 окт 2018 10:19 #9048 от Enigmatic74

Вот ещё про копирование контейнеров утилитой:
winitpro.ru/index.php/2011/09/07/peresoz...-klyuch-sertifikata/
может и прокатит.


Спасибо Большое!! Попробую. А вдруг!;)

Хм, а на 3,9 крипте ключ континента всё так же остаётся неэкспортируемым?


Мне самому тоже это стало странным, но понимаете ли криптозащита!!)) Кстати, у меня есть сравнительный анализ проверки ключа в 3.9 и 4.0 в таблицах. Попробую прикрепить во вложении.

(Серийные номера, имя ключа, на кого оформлен.... понятное дело изменены, но это не важно)

Вложенный файл:

Имя файла:
Размер файла:17 KB
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 окт 2018 11:00 #9051 от Alexer81
во дают.. сертификат действует 28 лет..

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 окт 2018 12:49 #9052 от Enigmatic74

Alexer81 пишет: во дают.. сертификат действует 28 лет..


По блату всё можно! Мы особенные! B)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 окт 2018 12:55 - 19 окт 2018 12:56 #9053 от Alex_04

Enigmatic74 пишет: в то время (декабрь 2010 г.) он устанавливал КриптоПРО 2.0 и на нем сгенерировал все ключи, в том числе и этот ключ.

А если на каком-нибудь компе попробовать так: криптопро - не выше 3.6.1 (та что была 3.6.7777) + континент тот, что стоял до необходимости перехода на 3.7.х - активируется желанная кнопка экспорта ключа континента?

Alexer81 пишет: во дают.. сертификат действует 28 лет..

решили дать счастливчику пожизненно... с континентом кувыркаться...

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 окт 2018 15:28 - 20 окт 2018 05:15 #9055 от Gvinpin

Enigmatic74 пишет:

будет ли работать с 3,9 --- зависит от того на какой версии крипты делались сертификаты СУФД - если ещё на 3,6 (3,9) то будет, а если уже на 4.0 то нет

Т.е. Вы хотите сказать, что на какой версии КриптоПРО был сгенерирован этот ключ (речь идет только о ключе для подключения по Континент-АП, а не о ключах для подписей документов), то можно и не обязательно устанавливать КриптоПРО 4.0, а старее?? Если память не изменят в то время (декабрь 2010 г.) он устанавливал КриптоПРО 2.0 и на нем сгенерировал все ключи, в том числе и этот ключ.
Одним словом, так как тестирование ключа в КриптоПРО 3.9 проходит успешно, то я могу и установить на новой машине вместо 4.0 версию 3.9 и спокойно пользоваться им?
Последние ключи для подписей (апр. 2018г.) я лично сам генерировал как раз в КриптоПРО 3.9. Дистрибутив 4.0 отдали из УФК вместе с готовыми ключами для подписей. Вот впервые я установил 4.0 и неудачно)

Ну, если для Вас не критично использование КриптоПро именно версии 4.0, то КриптоПро версий 3.9 и ниже не будет считать сертификат Континента просроченным.
Остается только убедиться, что в связке КриптоПро 3.9 + Континент-АП 3.7 не возникнет проблем в подписанием в СУФД ).

PS. признак экспортируемости - это признак ключевого контейнера и от версии КриптоПро не зависит.

___________________________
Все страньше и страньше! Все чудесатее и чудесатее! Все любопытственнее и любопытственнее! Все страннее и страннее! Все чудесится и чудесится! ©

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

22 окт 2018 10:45 - 22 окт 2018 10:47 #9069 от Enigmatic74

А если на каком-нибудь компе попробовать так: криптопро - не выше 3.6.1 (та что была 3.6.7777) + континент тот, что стоял до необходимости перехода на 3.7.х - активируется желанная кнопка экспорта ключа континента?


Что-то я забыл проверить такой вариант. Надо же!) Вот и проверил, но увы и ах, результат тот же: "У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0х8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.".

Сейчас снесу всю ОС дабы потом не было никаких сомнений, разверну из чистого образа и на сей раз установлю КриптоПРО 3.9 + Континент-АП 3.7.7. О результатах отпишусь

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

22 окт 2018 15:08 - 22 окт 2018 15:10 #9076 от Enigmatic74
Ну вот как и обещал: докладываю о результатах работы) Установил на чистой ОС Windows 8.1 PRO x64 ПО для работы с СУФД:

- КриптоПРО CSP 3.9.8495;
- Континент-АП 3.7.7.651.

Всё прекрасно работает!! Скрин подключения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.