Такая частично видимая ключевая пара мне не подходит.
Это потому что RSA и через PKCS#11. В этой ветке мы уже обсуждали что такие в панели управления не будут видны.
При этом выбираться сертификат будет из списка, предоставляемого чем-то вроде нижеследующего кода C# или браузером при затребовании в соединении TLS клиентского сертификата.
Давайте вернемся к изначальной задаче. Напрашивается два варианта реализации:
Через Microsoft CryptoAPI
Через PKCS#11
В первом варианте RSA-объекты будут отображаться в панели управления рутокен и автоматически попадать в личное хранилище пользователей Windows при помощи службы распространения сертификатов.
Но удалить их через панель управления можно при вводе PIN-кода пользователя.
Во втором варианте через панель управления видны только ГОСТ-объекты и их нельзя удалить при помощи PIN-кода пользователя. Служба распространения сертификатов такие устанавливать автоматически не умеет.
Но получить список сертификатов вы можете прямо из рутокена в коде своего приложения и уже из этого списка выбирать нужный.
Вот как-то так:
Да, вы правы, так действительно "Панель управления Рутокен" будет позволять удалять сертификаты и с PIN пользователя.
PIN администратора будет требоваться если ключи генерировались на токене через наш PKCS#11 — https://dev.rutoken.ru/x/FwAi
]]> [DllImport("advapi32.dll", CharSet = CharSet.Unicode, SetLastError = true)]
public static extern bool CryptAcquireContext(out IntPtr hProv, string pszContainer, string pszProvider, uint dwProvType, uint dwFlags);
[DllImport("advapi32.dll", CharSet = CharSet.Unicode, SetLastError = true)]
static extern bool CryptReleaseContext(IntPtr hProv, Int32 dwFlags);
[DllImport("advapi32.dll", SetLastError = true)]
public static extern bool CryptGetProvParam(IntPtr hProv, uint dwParam, [MarshalAs(UnmanagedType.LPStr)] StringBuilder pbData, ref uint dwDataLen, uint dwFlags);
[DllImport("advapi32.dll", CharSet = CharSet.Unicode, SetLastError = true)]
public static extern bool CryptGenKey(IntPtr hProv, uint Algid, uint dwFlags, out IntPtr phKey);
const uint AT_SIGNATURE = 2;
const uint CRYPT_FIRST = 1;
const uint CRYPT_NEXT = 2;
const uint CRYPT_NEWKEYSET = 8;
const uint CRYPT_SILENT = 64;
const uint PP_ENUMCONTAINERS = 2;
const uint PROV_RSA_FULL = 1;
const uint KEY_SIZE_1024 = 1024 << 16;
const uint KEY_SIZE_2048 = 2048 << 16;
const string ProviderName = "Microsoft Base Smart Card Crypto Provider";
private void btnCreatePrivateKey_Click(object sender, EventArgs e)
{
if (lstCerts.Items.Contains(txtContainer.Text)) {
MessageBox.Show(String.Format("Контейнер ключей с именем '{0}' уже существует. Повторное использование контейнера для создания нового ключа не допускается. Выберите другое имя для контейнера.", txtContainer.Text), "Контейнер уже существует", MessageBoxButtons.OK, MessageBoxIcon.Exclamation);
return;
}
IntPtr provider;
if (!CryptAcquireContext(out provider, txtContainer.Text, ProviderName, PROV_RSA_FULL, CRYPT_NEWKEYSET)) {
MessageBox.Show(String.Format("Не удалось создать контейнер ключей '{0}', код ошибки {1}. Убедитесь, что токен доступен.", txtContainer.Text, Marshal.GetLastWin32Error()), "Операция неуспешна", MessageBoxButtons.OK, MessageBoxIcon.Exclamation);
return;
}
IntPtr key;
if (CryptGenKey(provider, AT_SIGNATURE, KEY_SIZE_2048, out key)) {
RefreshContainers();
MessageBox.Show("Новый ключ успешно создан. Используйте центр сертификации для создания сертификата к этому ключу. Используйте панель управления токенами для импорта сертификата на токен.", "Ключ создан", MessageBoxButtons.OK, MessageBoxIcon.Information);
} else {
MessageBox.Show(String.Format("Не удалось создать новый ключ. Код ошибки {0}.", Marshal.GetLastWin32Error()), "Операция неуспешна", MessageBoxButtons.OK, MessageBoxIcon.Exclamation);
}
CryptReleaseContext(provider, 0);
}Хм. Проверил. Создаю ключевую пару на токене средствами Windows Crypto API (токен какое-то время мигает, генерирует). Пробую удалить через панель управления рутокен - запрашивает пин пользователя, удаляет. Создаю ещё одну ключевую пару. Создаю к ней в XCA сертификат, через панель управления рутокен назначаю сертификат ключевой паре, сертификат назначается. Выхожу из панели управления, перевтыкаю токен, пробую удалить - запрашивает пин пользователя, удаляет. Что я делаю не так?
Тогда опишите подробнее этот процесс генерации.
]]>
Для сравнения, как это выглядит в XCA. Видно различие между созданными и импортированными сертификатами (_S или _E на конце названия контейнера). XCA ведёт себя одинаково с импортированными и созданными ключами, отказываясь удалять что те, что другие (ну и бог бы с ней).
Ещё такой вопрос: можно ли как-нибудь перераспределить полномочия между пользователем и администратором токена? Например, чтобы пользователь не мог удалить ключ/сертификат?
Именно через утилиту "Панель управления Рутокен" удалить сертификат можно только зная PIN-код администратора, поэтому, например, для системного администратора компании заказчика есть смысл менять стандартный PIN перед тем как отдать рутокен на руки пользователю. ВАЖНО — не потерять и не забыть новый PIN администратора, т.е. нужно вести учет токенов.
]]>Попробовал создавать ключи через Windows Crypto API (CryptAcquireContext/CryptGenKey), ключи видны нормально. Благодарю за поддержку, по этому пункту больше помощь не требуется.
Ещё такой вопрос: можно ли как-нибудь перераспределить полномочия между пользователем и администратором токена? Например, чтобы пользователь не мог удалить ключ/сертификат?
]]>Есть задумка использовать токены для аутентификации пользователей КИИ, вместо паролей.
А как в рабочем варианте планировали выпускать сертификаты пользователей? Например, развернуть Microsoft CA или как?
XCA через PKCS#11 делает RSA ключи и именно они не отображаются в панели управления.
Как вариант можно выпускать через наш минидрайвер и тогда сертификаты будут видны ( вот статья для примера — https://habr.com/ru/company/aktiv-company/blog/327232/ ).
Если же даже на https://ra.rutoken.ru сгенерировать ГОСТ-ключи и сертификат к ним, то в панели управления они появятся.
По импорту - странно. У меня воспроизводится на обоих токенах. Может быть гляну поподробнее, ну да и бог бы с ним.
]]>Такие, которые отображаются в панели управления рутокен, как раз подходят. Есть задумка использовать токены для аутентификации пользователей КИИ, вместо паролей. Не обязательно самоподписанные, это не принципиально. При этом выбираться сертификат будет из списка, предоставляемого чем-то вроде нижеследующего кода C# или браузером при затребовании в соединении TLS клиентского сертификата. И туда и туда попадают сертификаты, доступные Windows. Пока у меня наблюдается однозначное соответствие между сертификатами, доступными Windows и сертификатами, видимыми в панели управления рутокен.
Честно говоря не совсем понял можно ли считать этот вопрос для вас решенным? Или нужно что-то большее, чем сертификаты, отображаемые в панели управления рутокен?
К сожалению не помню как именно я создал не импортирующийся в токен сертификат. Сам сертификат прилагаю, пароль к нему 1. Для проверки импортировал его в XCA (всё норм) и экспортировал заново - ситуация та же.
https://www.dropbox.com/s/uy0od26sp28c4 … 4.p12?dl=0
Проверил импорт этого файла у себя и проблем не обнаружил, файл импортировался без ошибок — скриншот
]]>X509Store store = new X509Store(StoreLocation.CurrentUser);
store.Open(OpenFlags.ReadOnly);
var certs = store.Certificates;К сожалению не помню как именно я создал не импортирующийся в токен сертификат. Сам сертификат прилагаю, пароль к нему 1. Для проверки импортировал его в XCA (всё норм) и экспортировал заново - ситуация та же.
]]>Хотелось бы использовать сертификаты с размещёнными на Рутокен ключами как будто они установлены в Windows (без плагинов браузера и т.п.). Пока у меня это получается только с сертификатами, видимыми через Панель управления Рутокен (т.е. устанавливаемыми через .p12).
Расскажите, пожалуйста, для чего планируете использовать такие самоподписные-сертификаты?
Почему не подходят такие, которые отображаются в панели управления рутокен?
Ещё, пока я всё это тестировал, создал сертификат (.p12), который Панель управления Рутокен отказывается импортировать. Сначала говорит "Вставьте смарт-карту", потом, после отмены (Рутокен-то вставлен и видится, но кнопка ОК недоступна), "Ошибка импорта. Подробности: : 0x8010006e".
Тут поподробнее опишите как именно создаете такой сертификат?
]]>