Установлена проблема с отображением контейнеров ГОСТ-2012 при подписании в Электронном бюджете если наименование организации в сертификате превышает 127 символов.
Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. В качестве временного решения предлагается выполнить конвертацию контейнеров КриптоПро PKCS#12 в PKCS#15 специальной утилитой (при этом контейнер должен быть экспортируемым).
Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки.
Для инсталляции утилиты конвертации контейнера ГОСТ-2012 в PKCS#15 достаточно выполнить следующие действия:
1. Скопировать в локальную директорию.
2. Установить дополнительный распространяемый компонент Microsoft Visual C++ 2015: vc_redist.x86.exe или vc_redist.x64.exe.
3. Для запуска приложения: – открыть файл Converter.exe
Порядок конвертации:
1. В компьютер установить съемный носитель с сертификатом PKCS#12.
2. Запускаем утилиту конвертации.
3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список».
4. Выбираем нужный сертификат и нажимаем «Конвертировать».
5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить».
6. В окне Крипто-ПРО повторно указываем пароль указанный ранее и жмем «ОК».
7. Если конвертирование завершено успешно, то на съемном носителе будет сертификат и ключ в контейнере PKCS#15.
Большая )) инструкция с картинками→
Конвертер с необходимыми библиотеками (34.6 Мб)→
Информация от пользователей
1. Пользователь semo163 делится опытом:
По ссылке внизу поста скачал конвертер контейнеров с pkcs#12 на pkcs#15 с инструкцией и всеми зависимостями. Сделал как описано в инструкции что прилагается к архиву. При том не важно какого алгоритма сертификаты 2001 или 2012 ( у меня 2 - 2001 и один 2012), конвертить нужно все, только после этого jinn увидит их на флэшке. Единственное что нужно сделать перед этим, импортировать сертификат через jinn-admin указав расположение сертификата и флэшку для записи. jinn-admin формирует сертификат вида TE.cer. Здесь нюанс такой, что если у вас несколько сертификатов, то придется либо иметь несколько флэшек (или виртуальных флэшек как у меня), т.к. на одну флэшку можно записать только один сертификат TE.cer. После манипуляций с размножением флэшек и установкой туда сертификатов переходим к инструкции. Теперь все работает как в гугл хроме так и в IE 11 (Лису не использую).
2. Пользователь memoze делится опытом:
Может кому поможет, программа для выдаёт ошибку 302645276 если у вас Рутокен 2.0, Рутокен Light, НУЖЕН Рутокен S.
3. Пользователь FarWinter объясняет:
Если вам нужно подписывать в Электронном бюджете, то можно настроить через браузер Chromium GOST,
Для подписания документов в ЭБ используется КриптоПРО ЭЦП Browser Plug-in, а не Jinn-Client,
там не нужно будет конвертировать контейнер.
QuickCG - Порядок быстрой настройки Chromium GOST
ссылка на тему sedkazna.ru/.../
Если используете Jinn-Client для подписания, то
Нужно использовать конвертер, только когда название организации превышает 127 символов (В сертификате, вкладка Состав - Субъект - O=Название организации)
при подписании в ЭБ Jinn-Client не видит такие контейнера закрытых ключей в ГОСТ 2012
(Если количество символов меньше или равно 127, то конвертер не нужен.)
Можно при использовании конвертера, указать куда создать новый контейнер - на тот же рутокен (а не на флешку), в таком случае:
После конвертации контейнера на рутокене, старый контейнер на рутокене не удаляется,
на рутокене создаются файлы которые видит Jinn-Client (TE.cer и TEcont.p15, такие же как при конвертации контейнера закрытого ключа на флешке,
только на рутокене эти файлы стандартными средствами через Панель управления рутокена не видно, их можно только перезатереть, или для удаления формат рутокена)
Ещё при использовании рутокена в Jinn-Client,
желательно удалить все старые закрытые ключи с рутокена и
использовать eXtended Container 1.0.1.1
(меньше подвисаний в JinnClient при чтения с рутокена чем с eXtended Container 1.0.2.2)
-----------------------
У кого Jinn-Client не видит контейнера закрытых ключей, хотя в названии организации количество символов меньше или равно 127
Посмотрите сообщение:
Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ
ссылка sedkazna.ru/.../
Пункт 4.1 В ЭБ при подписании Jinn-Client не видит на флэшке сертификаты ГОСТ 2012
Комментарии
Вы сами подумайте: раз конвертировали на фрэшку, значит с токена jinn не подписывает (из-за длинного названия орг-ции в серте скорей всего). Так "где же логика?" (с) в Вашем вопросе? Выход в обратном, имхо: И ВХОДИТЬ И ПОДПИСЫВАТЬ С ФЛЭШКИ.
А что касается конвертации на рутокен -- сообщение ниже (от 16.07.2020), что нужен именно Рутокен S.
Зачем? Ведь:
Цитирую doctor:
Имхо, достаточно как раз второго из предложенного Вами:
Цитирую Gvinpin:
После чего токен вообще извлечь из ПК подальше от вероятности обращения к нему и возможности возникновения "путаницы" при входе и подписании.
Цитирую doctor:
Цитирую doctor:
Я так понимаю, что обычный контейнер Криптопро только на рутокене, а на флешке его нет -- есть только сконвертированн ый.
Я тоже так понял.
Цитирую doctor:
Потому что:
- входом рулит КриптоПро - ей подавай "нормальный" ключевой контейнер - он на токене;
- подписанием рулит Jinn - в Вашем случае нужен сконвертированн ый КК - он на флешке.
Предложил оба КК иметь на флешке только по причине простоты её использования. Токен конечно надежней, но он действительно имеет "нюансы" , о чем читайте ниже и выше.
Вот затем и скопировать "нормальный" контейнер на флешку, чтобы на ней были оба (а не только один сконвертированы й).
Ну так я ж не знал, что Вам проверяющий велел? ;) И оговорку я (мы) сделал(и), что на флешку проще, но это не значит, что только так и надо.
Данный текст доступен только зарегистрирован ным пользователям
Уважаемый "doctor", Вы за советом сюда обратились, или решили полечить мозг тем, кто Вам решил помочь?
Цитата:Ну если намек на шутку - некорректное замечание, тогда пардон-с. Но как-то некомфортно, когда лечат от того, чего и не было вовсе.
Там ему точно помогут
Если вам нужно подписывать в Электронном бюджете, то можно настроить через браузер Chromium GOST,
Для подписания документов в ЭБ используется КриптоПРО ЭЦП Browser Plug-in, а не Jinn-Client,
там не нужно будет конвертировать контейнер.
QuickCG - Порядок быстрой настройки Chromium GOST
ссылка на тему sedkazna.ru/.../
Если используете Jinn-Client для подписания, то
Нужно использовать конвертер, только когда название организации превышает 127 символов (В сертификате, вкладка Состав - Субъект - O=Название организации)
при подписании в ЭБ Jinn-Client не видит такие контейнера закрытых ключей в ГОСТ 2012
(Если количество символов меньше или равно 127, то конвертер не нужен.)
Можно при использовании конвертера, указать куда создать новый контейнер - на тот же рутокен (а не на флешку), в таком случае:
После конвертации контейнера на рутокене, старый контейнер на рутокене не удаляется,
на рутокене создаются файлы которые видит Jinn-Client (TE.cer и TEcont.p15, такие же как при конвертации контейнера закрытого ключа на флешке,
только на рутокене эти файлы стандартными средствами через Панель управления рутокена не видно, их можно только перезатереть, или для их удаления - формат рутокена)
Ещё при использовании рутокена в Jinn-Client,
желательно удалить все старые закрытые ключи с рутокена и
использовать eXtended Container 1.0.1.1
(меньше подвисаний в JinnClient при чтении с рутокена чем с eXtended Container 1.0.2.2)
-----------------------
У кого Jinn-Client не видит контейнера закрытых ключей, хотя в названии организации количество символов меньше или равно 127
Посмотрите сообщение:
Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ
ссылка sedkazna.ru/.../
Пункт 4.1 В ЭБ при подписании Jinn-Client не видит на флэшке сертификаты ГОСТ 2012
тут версия 3.7.7.651
mega.nz/.../
Оставить только нужные ключи.
Либо можно Скопировать только один закрытый ключ на другую чистую флешку и проверить конвертацию контейнера. (КриптоПро CSP - Сервис - [ Скопировать... ])
КриптоПро CSP - Сервис - [ Протестировать ]
выбрать соответствующий контейнер закрытого ключа
Значение параметра "экспорт ключа" должно быть: разрешен
Если контейнер закрытого ключа, создали через восстановление ключа из файла с расширением .pfx на флешку или в реестр нужно было указать [x] Пометить этот ключ как экспортируемый
Восстановление ключа из файла с расширением .pfx на флешку или в реестр
Нужно два раза кликнуть по файлу
-> Далее -> Далее
Ввести пароль, который был задан при создании файла .pfx
Должны быть включены галочки:
[x] Пометить этот ключ как экспортируемый, что позволит сохранять архивную копию ключа и перемещать его
[x] Включить все расширенные свойства
-> Далее
-> Далее
Выбрать флешку или реестр, куда восстановить контейнер закрытого ключа
Если требуется задать пароль для контейнера закрытого ключа
-> ОК
Я вообще как остался один на один с суфд и эл бюджетом ТОЛЬКО сюда и забегаю
Вот только жаль, что ни в одной методической рекомендации, рассылаемой нам сверху нет ни слова о таких проблемах. Кто бы мог подумать, что огромное название организации так усложнит нам жизнь.
Например, те, кто получает Jinn 1.0.3050 в нашем УФК, вместе с ним получают конвертер и не имеют проблем. А о необходимости получения Jinn в УФК все были уведомлены еще год назад. Как в других регионах - не знаю.
Если под "получать" понимать "записанное на 1-разовый носитель" (типа CD-R), то органы ФК имеют право писать туда только официальное СКЗИ, на которое в УФК есть лицензия. Ни первое ни второе не относится к упомянутому конвертору (если правильно понимаю), к сожалению. :( Ваше УФК рисковое, если пишет его тоже туда же. Идея сама по себе правильная -- вещь то нужная. А вот НЕОФИЦИАЛЬНО записывать, например, на флэшку никто не запрещал -- ответственность за использование ПО на его пользователе.
Почему?
А кто испытывал - у вас старый XC
на версии XC 1.0.2.2 - никаких проблем
Можете прям закрепить как решение проблемы
Или (возможно) ХС от TLS-клиента, а не от Jinn - есть такой подвох. Поэтому иду в таком порядке: сношу старый TLS, ставлю TLS-2.0, сношу ХС от TLS-2.0 и старый Jinn, ставлю Jinn-1.0.3050 + его XC, настраиваю TLS-2.0. На 7-х ОС пока тьфу (3 раза), с 10-ми не бился.
Ставил с облака яндекса софт по порядку, а установка ТЛС идет в конце всего
(правда провайдер ставил 1.1.0.5 когда был старый у автора, ну и компоненты c++ я ставил с офрума oszone паком гибрид) - на 1809 х64 с криптой 9944 никаких проблем
Два для бился - ничего. Общий смысл ответов техподдержки - у вас руки кривые.
Сконвертировал и сразу все подписалось.
Как добиться пункта 6... то есть как увидеть контейнер в Крипто ПРО?
Установить сертификат, не вижу данный контейнер.
В связи с этим возник вопрос, возможно ли на одну флэшку закинуть контейнеры для нескольких пользователей ?
Пробовал закинуть несколько контейнеров на одну флэшку с помощью АРМ генерации ключей от Jinn Client, но к сожалению результат оказался тот-же (видит только один сертификат).
RSS лента комментариев этой записи