• 05.12.2019 10:53
    Всё это странно мягко говоря. О запрете использования Гост-2001 уже давно банеры ...

    Подробнее...

 
 
 

Установлена проблема с отображением контейнеров ГОСТ-2012 при подписании в Электронном бюджете если наименование организации в сертификате превышает 127 символов.

Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. В качестве временного решения предлагается выполнить конвертацию контейнеров КриптоПро PKCS#12 в PKCS#15 специальной утилитой (при этом контейнер должен быть экспортируемым).

Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки.

Для инсталляции утилиты конвертации контейнера ГОСТ-2012 в PKCS#15 достаточно выполнить следующие действия:

1. Скопировать в локальную директорию.

2. Установить дополнительный распространяемый компонент Microsoft Visual C++ 2015: vc_redist.x86.exe или vc_redist.x64.exe.

3. Для запуска приложения: – открыть файл Converter.exe

Порядок конвертации:

1. В компьютер установить съемный носитель с сертификатом PKCS#12.

2. Запускаем утилиту конвертации.

3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список».

4. Выбираем нужный сертификат и нажимаем «Конвертировать».

5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить».

6. В окне Крипто-ПРО повторно указываем пароль указанный ранее и жмем «ОК».

7. Если конвертирование завершено успешно, то на съемном носителе будет сертификат и ключ в контейнере PKCS#15.


Инструкция с картинками→

Большая )) инструкция с картинками→

Конвертер с необходимыми библиотеками (34.6 Мб)→


Информация от пользователей

1. Пользователь semo163 делится опытом:

По ссылке внизу поста скачал конвертер контейнеров с pkcs#12 на pkcs#15 с инструкцией и всеми зависимостями. Сделал как описано в инструкции что прилагается к архиву. При том не важно какого алгоритма сертификаты 2001 или 2012 ( у меня 2 - 2001 и один 2012), конвертить нужно все, только после этого jinn увидит их на флэшке. Единственное что нужно сделать перед этим, импортировать сертификат через jinn-admin указав расположение сертификата и флэшку для записи. jinn-admin формирует сертификат вида TE.cer. Здесь нюанс такой, что если у вас несколько сертификатов, то придется либо иметь несколько флэшек (или виртуальных флэшек как у меня), т.к. на одну флэшку можно записать только один сертификат TE.cer. После манипуляций с размножением флэшек и установкой туда сертификатов переходим к инструкции. Теперь все работает как в гугл хроме так и в IE 11 (Лису не использую).

 


Извините, но у вас недостаточно прав для комментирования

Комментарии   

0 # felix 11.11.2019 10:42
Подскажите на rutoken можно сразу же и сохранить с которого конвертация происходила cертификат и ключ в контейнере PKCS#15, дабы один носитель использовать? Сейчас на usb flash скопировал их. Два ключа использую, все работает, по rutoken заходит, по usb flash подписывает. Если на рутокен сконвентировать , точно не слелит ничего?
-2 # ranger 05.08.2019 06:31
Никаких проблем не испытывал
А кто испытывал - у вас старый XC
на версии XC 1.0.2.2 - никаких проблем
Можете прям закрепить как решение проблемы
0 # Alex_04 06.08.2019 03:49
Цитирую ranger:
Никаких проблем не испытывал
А кто испытывал - у вас старый XC

Или (возможно) ХС от TLS-клиента, а не от Jinn - есть такой подвох. Поэтому иду в таком порядке: сношу старый TLS, ставлю TLS-2.0, сношу ХС от TLS-2.0 и старый Jinn, ставлю Jinn-1.0.3050 + его XC, настраиваю TLS-2.0. На 7-х ОС пока тьфу (3 раза), с 10-ми не бился.
0 # ranger 12.08.2019 13:45
Цитирую Alex_04:

Или (возможно) ХС от TLS-клиента, а не от Jinn - есть такой подвох. Поэтому иду в таком порядке: сношу старый TLS, ставлю TLS-2.0, сношу ХС от TLS-2.0 и старый Jinn, ставлю Jinn-1.0.3050 + его XC, настраиваю TLS-2.0. На 7-х ОС пока тьфу (3 раза), с 10-ми не бился.

Ставил с облака яндекса софт по порядку, а установка ТЛС идет в конце всего
(правда провайдер ставил 1.1.0.5 когда был старый у автора, ну и компоненты c++ я ставил с офрума oszone паком гибрид) - на 1809 х64 с криптой 9944 никаких проблем
0 # harlamov80 01.08.2019 13:34
Огроменное человеческое спасибо!!!
Два для бился - ничего. Общий смысл ответов техподдержки - у вас руки кривые.
Сконвертировал и сразу все подписалось.
+2 # ugg555 27.06.2019 00:32
Подскажите!

Как добиться пункта 6... то есть как увидеть контейнер в Крипто ПРО?
Установить сертификат, не вижу данный контейнер.
+1 # Gvinpin 27.06.2019 03:51
КриптоПро работает не с PKCS#15, а с PKCS#12. А конвертация PKCS#12 в PKCS#15 делается для Jinn-Client, т.к. именно через Jinn осуществляется подписание в ЭБ.
-1 # igor1806 14.05.2019 13:12
Ключ у одного клиента отконвертировал и, но при загрузке в АРМ генерации Ошибка - программа создания доверенной среды будет закрыта
0 # bsv_144 03.04.2019 07:15
При конвертации в PKCS#15 на флешке появляется файл TEcont.p15, чтобы Jinn Client увидел данный контейнер ещё закинул туда сертификат пользователя с именем файла TE.cer (по другому Jinn Client не видит сертификат).
В связи с этим возник вопрос, возможно ли на одну флэшку закинуть контейнеры для нескольких пользователей ?
Пробовал закинуть несколько контейнеров на одну флэшку с помощью АРМ генерации ключей от Jinn Client, но к сожалению результат оказался тот-же (видит только один сертификат).
+2 # Gvinpin 04.04.2019 17:54
Одна флешка - один сертификат. Но здесь на форуме писали, как монтировать диск из папки, поищите. Можно смонтировать столько дисков, сколько нужно сертификатов.
+1 # Alex_04 31.03.2019 11:17
Спасибо за полезную информацию. :) Вопрос: почему vcredist именно 2015? С 2010-м не заработает, проверялось?
0 # sedkazna 31.03.2019 14:30
Нет, не проверялось мной лично, хотя другими опробовано. Сказали, что необходимо ставить vc_redist.x86.e xe даже на 64 разрядную систему - не знаю с чем связано, не проверял еще.