Добрый день! Уважаемые читатели и гости крупнейшего IT блога в России pyatilistnik.org. В прошлый раз мы разбирали ситуацию, что утилита КриптоПРО не видела токен Jacarta, согласитесь, что при решении этой проблемы было бы здорово иметь тестовый ключ с сертификатом, и параллельно ваш коллега мог бы тоже траблшутить. Еще тестовый сертификат CryptoPRO может быть полезен, при процедуре переноса контейнера КриптоПРО из реестра в случае с не экспортируемым закрытым ключом. Сегодня я вас научу генерировать нормальный, тестовый сертификат шифрования или подписи для разных задачу.
- Генерация тестового сертификата
- Установка КриптоПро ЭЦП Browser plug-in.
- Справка по csptest. exe¶
- Основные команды csptest. exe¶
- Копирование контейнера¶
- Копирование на Рутокен¶
- Установка сертификатов¶
- Смена пароля на контейнер (снятие паролей с контейнера)¶
- Автоматизация работы с сертификатами и контейнерами¶
Генерация тестового сертификата
Как я и писал выше вы много, где сможете его применять, я когда знакомился с миром сертификатов и электронных подписей, то использовал тестовые ЭЦП от КриптоПРО для проверки правильности настройки программного обеспечения для работы на электронных, торговых площадках. Чтобы сгенерировать тестовый электронный сертификат, компания КриптоПРО предоставила вам специальный удостоверяющий, виртуальный центр, которым мы и воспользуемся. Переходим по ссылке:
В самом низу у вас будет ссылка на пункт «Сформировать ключи и отправить запрос на сертификат».
Я вам советую этот сайт открывать в Internet Explore, меньше будет глюков. Как открыть Internet Explore в Windows 10, читайте по ссылке слева
Если же вы хотите использовать другой браузер, то установите КриптоПро ЭЦП Browser plug-in.
Установка КриптоПро ЭЦП Browser plug-in.
Сама инсталляция плагина, очень простая, скачиваем его и запускаем.
Для запуска нажмите «Выполнить»
Далее у вас появится окно с уведомлением, что будет произведена установка КриптоПро ЭЦП Browser plug-in, соглашаемся.
После инсталляции утилиты, вам нужно будет обязательно перезапустить ваш браузер.
Открыв ваш браузер, вы увидите предупредительный значок, нажмите на него.
В открывшемся окне нажмите «Включить расширение»
Не забудьте установить КриптоПРО CSP на компьютер, где будет генерироваться сертификат
Теперь у нас все готово. Нажимаем «Сформировать ключи и отправить запрос на сертификат». Согласитесь с выполнением операции.
У вас откроется форма расширенного запроса сертификата. Вначале заполним раздел «Идентифицирующие сведения». В него входят пункты:
- Имя
- Электронная почта
- Организация
- Подразделение
- Город
- Область
- Страна
Далее вам нужно указать тип требуемого сертификата. В двух словах, это область применения ЭЦП:
- Сертификат проверки подлинности клиента (самый распространенный вариант, по сути для подтверждения, что вы это вы)
- Сертификат защиты электронной почты
- Сертификат подписи кода
- Сертификат подписи штампа времени
- Сертификат IPSec, для VPN тунелей.
- Другие, для специальных OID
Я оставляю «Сертификат проверки подлинности клиента».
Далее вы задаете параметры ключа, указываете, что будет создан новый набор ключей, указываете гост CSP, от него зависит минимальная длина ключа. Обязательно пометьте ключ как экспортируемый, чтобы вы его могли при желании выгружать в реестр или копировать на флешку.
Для удобства еще можете заполнить поле «Понятное имя», для быстрой идентификации вашей тестовой ЭЦП от КриптоПРО. Нажимаем выдать тестовый сертификат.
У вас появится запрос на создание, в котором вам необходимо указать устройство, на которое вы будите записывать тестовый сертификат КриптоПРО, в моем случае это е-токен.
Как только вы выбрали нужное устройство появится окно с генерацией случайной последовательности, в этот момент вам необходимо нажмить любые клавиши или водить мышкой, это защита от ботов.
Все наш контейнер КриптоПРО сформирован и для его записи введите пин-код.
Вам сообщат, что запрошенный вами сертификат был вам выдан, нажимаем «Установить этот сертификат».
Если у вас еще не установленны корневые сертификаты данного центра сертификации, то вы получите вот такую ошибку:
Данный ЦС не является доверенным
Для ее устранения нажмите на ссылку «установите этот сертификат ЦС»
У вас начнется его скачивание.
Запускаем его, как видите в левом верхнем углу красный значок, чтобы его убрать нажмите «Установить сертификат», оставьте для пользователя.
Далее выбираем пункт «Поместить все сертификаты в следующее хранилище» и через кнопку обзор указываете контейнер «Доверенные корневые центры сертификации». Далее ок.
На последнем этапе у вас выскочит окно с предупреждением, о подтверждении установки сертификатов, нажимаем «Да».
Открываем снова окно с выпуском тестового сертификата КриптоПРО и заново нажимаем «Установить сертификат», в этот раз у вас вылезет окно с вводом вашего пин-кода от вашего носителя.
Если вы его ввели правильно, то увидите, что новый сертификат успешно установлен.
Теперь открывайте ваш КриптоПРО и посмотрите есть ли сертификат в контейнере. Как видите в контейнере есть наша ЭЦП.
Если посмотреть состав, то видим все наши заполненные поля. Вот так вот просто выпустить бесплатный, тестовый сертификат КриптоПРО, надеюсь было не сложно.
Утилита , входит в состав программы КриптоПро и позволяет выполнять операции через командную строку. Это дает возможность автоматизировать выполняемые действия с помощью скриптов.
Далее будут рассмотрены основные команды утилиты и скрипты, позволяющие выполнить массовое копирование контейнеров закрытых ключей и установку сертификатов.
Для удобства, перед выполнением команд перейдите в папку , выполнив в командной строке команду:
Справка по csptest. exe¶
Посмотреть все параметры утилиты :
Основные команды csptest. exe¶
Список контейнеров выводится с помощью параметра :
Для просмотра списка контейнеров на съемных носителях используется параметр . В данном случае не будут показаны ключи, установленные в реестр:
Пример вывода команды:
\\
\
\ \\
\\
Флешки и дискеты обозначаются как , где и буква, присвоенная съемному носителю.
Носитель будет отображен данной командной только в том случае, если на нем есть контейнеры.
Копирование контейнера¶
Копирование контейнера осуществляется с помощью параметра :
csptest.exe -keycopy -src «Имя исходного контейнера» -pinsrc=пароль -dest «Имя конечного контейнера» -pindest=пароль
- — имя контейнера. Имена контейнеров уникальны, поэтому можно не указывать путь к носителю, КриптоПро сама найдет путь к контейнеру.
- — имя скопированного контейнера, оно должно отличаться от исходного имени. Так же можно указать путь к контейнеру, например, если указать , то контейнер будет скопирован на флэшку. Если не указать путь к носителю, а просто задать название контейнеру, то крипто про выведет графический диалог выбора носителя для копирования.
- — пароль от исходного контейнера, если пинкода нет, то данный параметр можно не указывать.
- — пароль на скопированный контейнер. Чтобы подавить графический диалог установки пароля при автоматическом копировании контейнеров, можно указать пустой пароль, выполнив
Например, рассмотрим копирование контейнера с рутокена в реестр:
Аналогичная ситуация с рутокенами, в данном случае программа не различает понятия пароль и пин-код. Т.е. чтобы скопировать контейнер с рутокена на носитель можно команде присвоить стандарнтный пин-код от Рутокена . В таком случае не будет выводиться запрос на ввод пин-кода Рутокена.
Копирование на Рутокен¶
К сожалению, копирование контейнера на Рутокен работает не совсем гладко. Если параметру указать значение , то будет выведено пустое окно КриптоПро для выбора ключевого носителя.
В данном случае лучше передать параметру просто название контейнера, без указания пути к носителю, но тогда при копировании каждого контейнера будет появляться уже не пустое окно КриптоПро для выбора ключевого носителя, в котором надо будет вручную выбирать нужный Рутокен.
С другой стороны, такое поведения достаточно удобно при копировании большого числа контейнеров на разные Рутокены. Можно контролировать заполненность носителя.
Установка сертификатов¶
Установка сертификатов производится параметром :
Смена пароля на контейнер (снятие паролей с контейнера)¶
Чтобы удалить пароли с контейнеров, можно в параметр передать .
Автоматизация работы с сертификатами и контейнерами¶
Графические интерфейсы очень неудобны для работы с большим количеством ключей. Утилиты командной строки позволяют автоматизировать практически все задачи. В разделе приводится ряд утилит, позволяющих автоматизировать работу с сертификатами и контейнерами.
