(2014-12-01 17:35:28 отредактировано pw-dimon)

rutoken и менеджер паролей keepass

Всем привет. Кто-нибудь пробовал эту связку? Хотелось бы получать доступ к базе паролей с помощью rutoken

Re: rutoken и менеджер паролей keepass

pw-dimon пишет:

Всем привет. Кто-нибудь пробовал эту связку? Хотелось бы получать доступ к базе паролей с помощью rutoken

Отвечено по почте

Re: rutoken и менеджер паролей keepass

Здравствуйте. По инструкции http://dev.rutoken.ru/pages/viewpage.ac … d=13795543 ничего не получается.
Генерирую ключ и сертификат (RSA, рутокен ЭЦП), экспортирую сертификат, ставлю его в систему, keepass с RSACertKeyProviderPlugin его видят, но при попытке использовать сертификат появляется ошибка "No Private key contained within certificate"
Как правильно скрестить keepass и rutoken?

Re: rutoken и менеджер паролей keepass

Здравствуйте.

Вадим пишет:

Здравствуйте. По инструкции http://dev.rutoken.ru/pages/viewpage.ac … d=13795543 ничего не получается.
Генерирую ключ и сертификат (RSA, рутокен ЭЦП), экспортирую сертификат, ставлю его в систему, keepass с RSACertKeyProviderPlugin его видят, но при попытке использовать сертификат появляется ошибка "No Private key contained within certificate"
Как правильно скрестить keepass и rutoken?

Уточните, пожалуйста, каким именно образом выполняется генерация ключевой пары и выписывается сертификат?

Re: rutoken и менеджер паролей keepass

Генерацию сертификата пробовал делать при помощи XCA под Windows.
В XCA указывал библиотеку rtPKCS11ECP.dll
Далее генерировал закрытый ключ RSA 2048 bit прямо на токене и сертификат там же.
При генерации сертификата указывал внутреннее имя, country, state, organisation name, период действия.
Далее при помощи того же XCA экспортировал сертификат в pem файл (пробовал и другие) и  импортировал в windows в личное хранилище (пробовал и автоматическое размещение)
В итоге keepass сертификат видит, но работать с ним не может.

Есть ли где-то более подробное описание как правильно связывать rutoken и keepass?

Re: rutoken и менеджер паролей keepass

Вадим пишет:

Генерацию сертификата пробовал делать при помощи XCA под Windows.
В XCA указывал библиотеку rtPKCS11ECP.dll
Далее генерировал закрытый ключ RSA 2048 bit прямо на токене и сертификат там же.
При генерации сертификата указывал внутреннее имя, country, state, organisation name, период действия.
Далее при помощи того же XCA экспортировал сертификат в pem файл (пробовал и другие) и  импортировал в windows в личное хранилище (пробовал и автоматическое размещение)
В итоге keepass сертификат видит, но работать с ним не может.

Есть ли где-то более подробное описание как правильно связывать rutoken и keepass?

Лично я, когда проверял работу токена с keepass, работал через Aktiv Rutoken CSP, использовал обычный сертификат для доменного логона (smart card user), выданный нашим доменным УЦ.

На сайте разработчиков плагина есть вот такая заметка:

Notes and Hints

Error Message "Key not valid for use in specified state.”

Check, if your key was marked as "Exportable" during import.
Simply try to export the key (certmgr.msc) and check, if the private can be selected for export.

В таком случае при генерации ключа и выписке сертификата нужно поставить флажок,
разрешающий экспорт.

Как быть с XCA надо разбираться.

Re: rutoken и менеджер паролей keepass

Непонятно какой смысл экспортировать закрытый ключ, а потом импортировать его на ПК, где используется keepass.
Ведь это компрометирует всю идею использования токена в данной ситуации.
Или я не прав?

Re: rutoken и менеджер паролей keepass

Вадим пишет:

Непонятно какой смысл экспортировать закрытый ключ, а потом импортировать его на ПК, где используется keepass.
Ведь это компрометирует всю идею использования токена в данной ситуации.
Или я не прав?

Вадим, скорее всего Вы правы. Но разработчики плагина (это не наша компания, как Вы понимаете) почему-то считают иначе.
Для чего это сделано, я могу предположить - для возможности бэкапа ключевой пары. При утрате токена или карты с неэкспортируемым ключом доступ к базе паролей теряется безвозвратно.

Re: rutoken и менеджер паролей keepass

Здравствуйте! Увидел, что у вас обновилась документация касательно интеграции с keepass, появился еще один способ. https://developer.rutoken.ru/pages/view … d=13795543 "Вариант 2: Шифрование локального ключевого контейнера сертификатом с ключевого носителя."
Захотел попробовать...
Но ссылка на скачивание плагина "CertKeyProvider" битая.
Проверьте пожалуйста и обновите ссылку.

Re: rutoken и менеджер паролей keepass

Вадим пишет:

Захотел попробовать...
Но ссылка на скачивание плагина "CertKeyProvider" битая.
Проверьте пожалуйста и обновите ссылку.

Здравствуйте, Вадим!

Спасибо большое за замечание и в правду ссылка уже не рабочая, исправим обязательно.
Если вам сейчас всё ещё нужен плагин, то можете попробовать скачать его здесь.