Установлена проблема с отображением контейнеров ГОСТ-2012 при подписании в Электронном бюджете если наименование организации в сертификате превышает 127 символов.
Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. В качестве временного решения предлагается выполнить конвертацию контейнеров КриптоПро PKCS#12 в PKCS#15 специальной утилитой (при этом контейнер должен быть экспортируемым).
Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки.
Для инсталляции утилиты конвертации контейнера ГОСТ-2012 в PKCS#15 достаточно выполнить следующие действия:
1. Скопировать в локальную директорию.
2. Установить дополнительный распространяемый компонент Microsoft Visual C++ 2015: vc_redist.x86.exe или vc_redist.x64.exe.
3. Для запуска приложения: – открыть файл Converter.exe
Порядок конвертации:
1. В компьютер установить съемный носитель с сертификатом PKCS#12.
2. Запускаем утилиту конвертации.
3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список».
4. Выбираем нужный сертификат и нажимаем «Конвертировать».
5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить».
6. В окне Крипто-ПРО повторно указываем пароль указанный ранее и жмем «ОК».
7. Если конвертирование завершено успешно, то на съемном носителе будет сертификат и ключ в контейнере PKCS#15.
Большая )) инструкция с картинками→
Конвертер с необходимыми библиотеками (34.6 Мб)→
Информация от пользователей
1. Пользователь semo163 делится опытом:
По ссылке внизу поста скачал конвертер контейнеров с pkcs#12 на pkcs#15 с инструкцией и всеми зависимостями. Сделал как описано в инструкции что прилагается к архиву. При том не важно какого алгоритма сертификаты 2001 или 2012 ( у меня 2 - 2001 и один 2012), конвертить нужно все, только после этого jinn увидит их на флэшке. Единственное что нужно сделать перед этим, импортировать сертификат через jinn-admin указав расположение сертификата и флэшку для записи. jinn-admin формирует сертификат вида TE.cer. Здесь нюанс такой, что если у вас несколько сертификатов, то придется либо иметь несколько флэшек (или виртуальных флэшек как у меня), т.к. на одну флэшку можно записать только один сертификат TE.cer. После манипуляций с размножением флэшек и установкой туда сертификатов переходим к инструкции. Теперь все работает как в гугл хроме так и в IE 11 (Лису не использую).
Комментарии
Вот только жаль, что ни в одной методической рекомендации, рассылаемой нам сверху нет ни слова о таких проблемах. Кто бы мог подумать, что огромное название организации так усложнит нам жизнь.
Например, те, кто получает Jinn 1.0.3050 в нашем УФК, вместе с ним получают конвертер и не имеют проблем. А о необходимости получения Jinn в УФК все были уведомлены еще год назад. Как в других регионах - не знаю.
Если под "получать" понимать "записанное на 1-разовый носитель" (типа CD-R), то органы ФК имеют право писать туда только официальное СКЗИ, на которое в УФК есть лицензия. Ни первое ни второе не относится к упомянутому конвертору (если правильно понимаю), к сожалению. :( Ваше УФК рисковое, если пишет его тоже туда же. Идея сама по себе правильная -- вещь то нужная. А вот НЕОФИЦИАЛЬНО записывать, например, на флэшку никто не запрещал -- ответственность за использование ПО на его пользователе.
Почему?
А кто испытывал - у вас старый XC
на версии XC 1.0.2.2 - никаких проблем
Можете прям закрепить как решение проблемы
Или (возможно) ХС от TLS-клиента, а не от Jinn - есть такой подвох. Поэтому иду в таком порядке: сношу старый TLS, ставлю TLS-2.0, сношу ХС от TLS-2.0 и старый Jinn, ставлю Jinn-1.0.3050 + его XC, настраиваю TLS-2.0. На 7-х ОС пока тьфу (3 раза), с 10-ми не бился.
Ставил с облака яндекса софт по порядку, а установка ТЛС идет в конце всего
(правда провайдер ставил 1.1.0.5 когда был старый у автора, ну и компоненты c++ я ставил с офрума oszone паком гибрид) - на 1809 х64 с криптой 9944 никаких проблем
Два для бился - ничего. Общий смысл ответов техподдержки - у вас руки кривые.
Сконвертировал и сразу все подписалось.
Как добиться пункта 6... то есть как увидеть контейнер в Крипто ПРО?
Установить сертификат, не вижу данный контейнер.
В связи с этим возник вопрос, возможно ли на одну флэшку закинуть контейнеры для нескольких пользователей ?
Пробовал закинуть несколько контейнеров на одну флэшку с помощью АРМ генерации ключей от Jinn Client, но к сожалению результат оказался тот-же (видит только один сертификат).
RSS лента комментариев этой записи