Установлена проблема с отображением контейнеров ГОСТ-2012 при подписании в Электронном бюджете если наименование организации в сертификате превышает 127 символов.
Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. В качестве временного решения предлагается выполнить конвертацию контейнеров КриптоПро PKCS#12 в PKCS#15 специальной утилитой (при этом контейнер должен быть экспортируемым).
Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки.
Для инсталляции утилиты конвертации контейнера ГОСТ-2012 в PKCS#15 достаточно выполнить следующие действия:
1. Скопировать в локальную директорию.
2. Установить дополнительный распространяемый компонент Microsoft Visual C++ 2015: vc_redist.x86.exe или vc_redist.x64.exe.
3. Для запуска приложения: – открыть файл Converter.exe
Порядок конвертации:
1. В компьютер установить съемный носитель с сертификатом PKCS#12.
2. Запускаем утилиту конвертации.
3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список».
4. Выбираем нужный сертификат и нажимаем «Конвертировать».
5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить».
6. В окне Крипто-ПРО повторно указываем пароль указанный ранее и жмем «ОК».
7. Если конвертирование завершено успешно, то на съемном носителе будет сертификат и ключ в контейнере PKCS#15.
Большая )) инструкция с картинками→
Конвертер с необходимыми библиотеками (34.6 Мб)→
Информация от пользователей
1. Пользователь semo163 делится опытом:
По ссылке внизу поста скачал конвертер контейнеров с pkcs#12 на pkcs#15 с инструкцией и всеми зависимостями. Сделал как описано в инструкции что прилагается к архиву. При том не важно какого алгоритма сертификаты 2001 или 2012 ( у меня 2 - 2001 и один 2012), конвертить нужно все, только после этого jinn увидит их на флэшке. Единственное что нужно сделать перед этим, импортировать сертификат через jinn-admin указав расположение сертификата и флэшку для записи. jinn-admin формирует сертификат вида TE.cer. Здесь нюанс такой, что если у вас несколько сертификатов, то придется либо иметь несколько флэшек (или виртуальных флэшек как у меня), т.к. на одну флэшку можно записать только один сертификат TE.cer. После манипуляций с размножением флэшек и установкой туда сертификатов переходим к инструкции. Теперь все работает как в гугл хроме так и в IE 11 (Лису не использую).
Комментарии
Вы сами подумайте: раз конвертировали на фрэшку, значит с токена jinn не подписывает (из-за длинного названия орг-ции в серте скорей всего). Так "где же логика?" (с) в Вашем вопросе? Выход в обратном, имхо: И ВХОДИТЬ И ПОДПИСЫВАТЬ С ФЛЭШКИ.
А что касается конвертации на рутокен -- сообщение ниже (от 16.07.2020), что нужен именно Рутокен S.
Зачем? Ведь:
Цитирую doctor:
Имхо, достаточно как раз второго из предложенного Вами:
Цитирую Gvinpin:
После чего токен вообще извлечь из ПК подальше от вероятности обращения к нему и возможности возникновения "путаницы" при входе и подписании.
Цитирую doctor:
Цитирую doctor:
Я так понимаю, что обычный контейнер Криптопро только на рутокене, а на флешке его нет -- есть только сконвертированн ый.
Я тоже так понял.
Цитирую doctor:
Потому что:
- входом рулит КриптоПро - ей подавай "нормальный" ключевой контейнер - он на токене;
- подписанием рулит Jinn - в Вашем случае нужен сконвертированн ый КК - он на флешке.
Предложил оба КК иметь на флешке только по причине простоты её использования. Токен конечно надежней, но он действительно имеет "нюансы" , о чем читайте ниже и выше.
Вот затем и скопировать "нормальный" контейнер на флешку, чтобы на ней были оба (а не только один сконвертированы й).
тут версия 3.7.7.651
mega.nz/.../
Оставить только нужные ключи.
Либо можно Скопировать только один закрытый ключ на другую чистую флешку и проверить конвертацию контейнера. (КриптоПро CSP - Сервис - [ Скопировать... ])
КриптоПро CSP - Сервис - [ Протестировать ]
выбрать соответствующий контейнер закрытого ключа
Значение параметра "экспорт ключа" должно быть: разрешен
Если контейнер закрытого ключа, создали через восстановление ключа из файла с расширением .pfx на флешку или в реестр нужно было указать [x] Пометить этот ключ как экспортируемый
Восстановление ключа из файла с расширением .pfx на флешку или в реестр
Нужно два раза кликнуть по файлу
-> Далее -> Далее
Ввести пароль, который был задан при создании файла .pfx
Должны быть включены галочки:
[x] Пометить этот ключ как экспортируемый, что позволит сохранять архивную копию ключа и перемещать его
[x] Включить все расширенные свойства
-> Далее
-> Далее
Выбрать флешку или реестр, куда восстановить контейнер закрытого ключа
Если требуется задать пароль для контейнера закрытого ключа
-> ОК
Я вообще как остался один на один с суфд и эл бюджетом ТОЛЬКО сюда и забегаю
Вот только жаль, что ни в одной методической рекомендации, рассылаемой нам сверху нет ни слова о таких проблемах. Кто бы мог подумать, что огромное название организации так усложнит нам жизнь.
Например, те, кто получает Jinn 1.0.3050 в нашем УФК, вместе с ним получают конвертер и не имеют проблем. А о необходимости получения Jinn в УФК все были уведомлены еще год назад. Как в других регионах - не знаю.
Если под "получать" понимать "записанное на 1-разовый носитель" (типа CD-R), то органы ФК имеют право писать туда только официальное СКЗИ, на которое в УФК есть лицензия. Ни первое ни второе не относится к упомянутому конвертору (если правильно понимаю), к сожалению. :( Ваше УФК рисковое, если пишет его тоже туда же. Идея сама по себе правильная -- вещь то нужная. А вот НЕОФИЦИАЛЬНО записывать, например, на флэшку никто не запрещал -- ответственность за использование ПО на его пользователе.
Почему?
А кто испытывал - у вас старый XC
на версии XC 1.0.2.2 - никаких проблем
Можете прям закрепить как решение проблемы
Или (возможно) ХС от TLS-клиента, а не от Jinn - есть такой подвох. Поэтому иду в таком порядке: сношу старый TLS, ставлю TLS-2.0, сношу ХС от TLS-2.0 и старый Jinn, ставлю Jinn-1.0.3050 + его XC, настраиваю TLS-2.0. На 7-х ОС пока тьфу (3 раза), с 10-ми не бился.
Ставил с облака яндекса софт по порядку, а установка ТЛС идет в конце всего
(правда провайдер ставил 1.1.0.5 когда был старый у автора, ну и компоненты c++ я ставил с офрума oszone паком гибрид) - на 1809 х64 с криптой 9944 никаких проблем
Два для бился - ничего. Общий смысл ответов техподдержки - у вас руки кривые.
Сконвертировал и сразу все подписалось.
Как добиться пункта 6... то есть как увидеть контейнер в Крипто ПРО?
Установить сертификат, не вижу данный контейнер.
В связи с этим возник вопрос, возможно ли на одну флэшку закинуть контейнеры для нескольких пользователей ?
Пробовал закинуть несколько контейнеров на одну флэшку с помощью АРМ генерации ключей от Jinn Client, но к сожалению результат оказался тот-же (видит только один сертификат).
RSS лента комментариев этой записи