- Сообщений: 183
- Спасибо получено: 36
Это не связь в прямом смысле - КриптоПро тупо перечисляет ВСЕ подключенные на тот момент контейнеры и проверяет соответствие открытого ключа из сертификата, закрытому ключу из контейнера. Подтверждение - если установлены и не запомнены пароли на контейнеры, то КриптоПро попросит последовательно ввести пароли на каждый контейнер пока не найдет соответствие. Если же в подключенных есть 2 копии контейнера соответствующих сертификату, то КриптоПро "найдет" первую копию, попавшуюся в перечисление. Не факт, что правильную, но если контейнер в порядке, то проблемы не вызывает.Wmffre пишет: Значит, связь между сертификатом пользователя и контейнером закрытого ключа все равно есть.
Тут важно уточнить еще один момент - привязка к конкретному контейнеру на конкретном носителе в КриптоПро фиксируется в момент запоминания пароля. Если Вы ни разу не запоминали пароль для данного контейнера, то контейнер с таким же именем с успехом найдется на другом носителе даже если есть привязка в хранилище "Личные". Если запоминали, то поможет сброс запомненных паролей или ручное удаление ключа с привязкой и паролем из реестра. Изменить привязку в реестре тоже можно, но с этим не все так просто. Если носитель флешка, то можно скопировать VolumeId и метку на другую флешку и КриптоПро их перестанет различать даже при запомненном пароле (но лучше не подключайте одновременно обе такие флешки). Про таблетки и токены не могу с уверенностью сказать как их КриптоПро различает, но у них тоже есть аналог метки и номера.Wmffre пишет: Данная особенность находит следующее применение. Если установить сертификат пользователя через КриптоПро CSP с привязкой к таблетке(iButton) от ПАК "Соболь", а затем скопировать контейнер закрытого ключа с таблетки на eToken/флешку (имя контейнера при этом мы оставляем точно таким же - не проверял, важно это), то ... сайт отыскивает контейнер на etoken-е, не смотря на то, что сертификат в хранилище сертификатов пользователя Windows связан с контейнером на таблетке.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
А как еще можно найти нужный контейнер, как не путем перебора всех имеющихся? И уже после того, когда нужный контейнер найден и завершена установка, происходитtwo_oceans пишет:
Это не связь в прямом смысле - КриптоПро тупо перечисляет ВСЕ подключенные на тот момент контейнеры и проверяет соответствие открытого ключа из сертификата, закрытому ключу из контейнера.Wmffre пишет: Значит, связь между сертификатом пользователя и контейнером закрытого ключа все равно есть.
Что значит неправильная копия? По мне, копия контейнера равна оригиналу. Могу ошибаться.two_oceans пишет: Если же в подключенных есть 2 копии контейнера соответствующих сертификату, то КриптоПро "найдет" первую копию, попавшуюся в перечисление. Не факт, что правильную, но если контейнер в порядке, то проблемы не вызывает.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Верно, но перебираются все, даже те, в которых уже есть другой сертификат (это можно установить без ввода пароля контейнера) и поэтому их можно было пропустить.Gvinpin пишет: А как еще можно найти нужный контейнер, как не путем перебора всех имеющихся?
Да, более точно простановка ссылки на контейнер (точного вида ссылки не видел) в свойство контекста сертификата в хранилище сертификатов. Одно из свойств контекста представляет сертификат как мы его видим на диске, остальные "пересказывают" поля сертификата (например, можно добавить роли или запретить роли из сертификата). Единых требований к ссылке нет, каждый криптопровайдер может ее сделать по-своему.Gvinpin пишет: И уже после того, когда нужный контейнер найден и завершена установка, происходит привязка конкретного сертификата к конкретному контейнеру.
Это верно, но не на 100%. Поясню, что я имел ввиду - копия действительно равна оригиналу на момент копирования, однако потом каждый контейнер изменяется независимо.Gvinpin пишет:
Что значит неправильная копия? По мне, копия контейнера равна оригиналу. Могу ошибаться.two_oceans пишет: Если же в подключенных есть 2 копии контейнера соответствующих сертификату, то КриптоПро "найдет" первую копию, попавшуюся в перечисление. Не факт, что правильную, но если контейнер в порядке, то проблемы не вызывает.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
А вот с этого места поподробнее и, если возможно - не очень мудрёно. Сам не сталкивался с таким ("Соболи" только в казначействе, но ЭП у всех на флэшках), но интересно понять просто самому - каг таг происходит?Wmffre пишет: сайт отыскивает контейнер на etoken-е, не смотря на то, что сертификат в хранилище сертификатов пользователя Windows связан с контейнером на таблетке.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Alex_04 пишет:
А вот с этого места поподробнее и, если возможно - не очень мудрёно. Сам не сталкивался с таким ("Соболи" только в казначействе, но ЭП у всех на флэшках), но интересно понять просто самому - каг таг происходит?Wmffre пишет: сайт отыскивает контейнер на etoken-е, не смотря на то, что сертификат в хранилище сертификатов пользователя Windows связан с контейнером на таблетке.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Ну, наверное, примерно так же какAlex_04 пишет: А вот с этого места поподробнее и, если возможно - не очень мудрёно. Сам не сталкивался с таким ("Соболи" только в казначействе, но ЭП у всех на флэшках), но интересно понять просто самому - каг таг происходит?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Сертификат в контейнере закрытого ключа на etoken-е отсутствует и не требуется при этом устанавливать.two_oceans пишет: Если при этом работает без привязки сертификата в хранилище и контейнера, то возможно и имя контейнера не проверяется, только что ключи составляют пару или (с учетом необходимости ставить сертификат в контейнер) что сертификат в контейнере 1-в-1.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Первые 3 пункта давно известны и понятны, суть в п.4 - выбирать хранилище сертификатов Windows. Ок, но:Wmffre пишет:
- ...
- ...
- ...
- Пользователь входит, выбирая установленный сертификат в хранилище сертификатов Windows, но несмотря на то, что он связан с контейнером на таблетке, сайт находит контейнер на etoken-е (таблетка и etoken могут быть подключены в этот момент при этом одновременно, имена контейнеров на обоих носителях одинаковые)
Вот это-то как раз и вопросительно - как серт из хранилище Windows, НЕ привязанный к КК на токене, принимается Континентом TLS...?Wmffre пишет: Сертификат в контейнере закрытого ключа на etoken-е отсутствует и не требуется при этом устанавливать.
Любая? Даже без копии "родительского" КК? И без вставленных других носителей с копией или оригиналом этого КК (пусть и не содержащих самого серта внутри)? "Что-то сумлеваюсь я." (с)Alex67 пишет: Если вставлена любая флешка, то можно зайти по сертификату выбрав хранилище Windows
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Подробнее...