<![CDATA[Форум Рутокен — Формирование PKCS#7 конверта из сертификата]]> https://forum.rutoken.ru/topic/2156/ Thu, 20 Nov 2014 10:38:16 +0000 PunBB <![CDATA[Re: Формирование PKCS#7 конверта из сертификата]]> https://forum.rutoken.ru/post/7792/#p7792 https://forum.rutoken.ru/topic/2003/
https://forum.rutoken.ru/topic/2125/

]]> Thu, 20 Nov 2014 10:38:16 +0000 https://forum.rutoken.ru/post/7792/#p7792 <![CDATA[Re: Формирование PKCS#7 конверта из сертификата]]> https://forum.rutoken.ru/post/7790/#p7790 Кирилл Мещеряков пишет:

http://dev.rutoken.ru/pages/viewpage.ac … d=12222504

На эту страницу нет доступа.

]]> Thu, 20 Nov 2014 09:46:02 +0000 https://forum.rutoken.ru/post/7790/#p7790 <![CDATA[Re: Формирование PKCS#7 конверта из сертификата]]> https://forum.rutoken.ru/post/7789/#p7789 http://dev.rutoken.ru/pages/viewpage.ac … d=12222504

]]> Thu, 20 Nov 2014 09:41:12 +0000 https://forum.rutoken.ru/post/7789/#p7789 <![CDATA[Re: Формирование PKCS#7 конверта из сертификата]]> https://forum.rutoken.ru/post/7787/#p7787 Кирилл Мещеряков пишет:

библиотека pkcs#11 транслирует запрос на подпись конверта от OpenSSL и engine_pkcs11 непосредственно на токен. и возвращает результат.

Инструкций как завести OpenSSL на смарт-карту или токен полным полно в интернете. Вот даже у нас на форуме встречается: https://forum.rutoken.ru/topic/2037/

Может у вас есть пример создания связки OpenSSL + engine_pkcs11. Не удалось найти ничего подходящего

]]> Wed, 19 Nov 2014 20:59:53 +0000 https://forum.rutoken.ru/post/7787/#p7787 <![CDATA[Re: Формирование PKCS#7 конверта из сертификата]]> https://forum.rutoken.ru/post/7786/#p7786 библиотека pkcs#11 транслирует запрос на подпись конверта от OpenSSL и engine_pkcs11 непосредственно на токен. и возвращает результат.

Инструкций как завести OpenSSL на смарт-карту или токен полным полно в интернете. Вот даже у нас на форуме встречается: https://forum.rutoken.ru/topic/2037/

]]> Wed, 19 Nov 2014 17:17:14 +0000 https://forum.rutoken.ru/post/7786/#p7786 <![CDATA[Re: Формирование PKCS#7 конверта из сертификата]]> https://forum.rutoken.ru/post/7785/#p7785 Кирилл Мещеряков пишет:
abondarenko пишет:
Кирилл Мещеряков пишет:

Ну связка примерно такая получится:
у вас есть ObjectiveC приложение. К нему подключаете собранный для iOS OpenSSL + engine_pkcs11.
Загружаете engine_pkcs11 и нашу pkcs#11 библиотеку в OpenSSL и из ObjectiveC дергаете API OpenSSL.

Я полагал, что запрос на сертификат генерируется на токене. Как предложенный метод решит проблему?

Запрос на сертификат, это всего лишь ASN1 структура к которой прикреплена подпись.
Подпись, да, конечно, генерируется на токене. Но сам запрос создаёт OpenSSL, хеширует его, отправляет хеш на токен для подписи. А получив подпись от токена, тот же OpenSSL прикрепляет её к структуре.

А за что отвечает ваша библиотека librtpkcs11ecp? Как подобную схему работы можно попробовать через USB в терминале без сборок OpenSSL?

]]> Wed, 19 Nov 2014 17:12:46 +0000 https://forum.rutoken.ru/post/7785/#p7785 <![CDATA[Re: Формирование PKCS#7 конверта из сертификата]]> https://forum.rutoken.ru/post/7784/#p7784 abondarenko пишет:
Кирилл Мещеряков пишет:

Ну связка примерно такая получится:
у вас есть ObjectiveC приложение. К нему подключаете собранный для iOS OpenSSL + engine_pkcs11.
Загружаете engine_pkcs11 и нашу pkcs#11 библиотеку в OpenSSL и из ObjectiveC дергаете API OpenSSL.

Я полагал, что запрос на сертификат генерируется на токене. Как предложенный метод решит проблему?

Запрос на сертификат, это всего лишь ASN1 структура к которой прикреплена подпись.
Подпись, да, конечно, генерируется на токене. Но сам запрос создаёт OpenSSL, хеширует его, отправляет хеш на токен для подписи. А получив подпись от токена, тот же OpenSSL прикрепляет её к структуре.

]]> Wed, 19 Nov 2014 17:05:07 +0000 https://forum.rutoken.ru/post/7784/#p7784 <![CDATA[Re: Формирование PKCS#7 конверта из сертификата]]> https://forum.rutoken.ru/post/7783/#p7783 Кирилл Мещеряков пишет:

Ну связка примерно такая получится:
у вас есть ObjectiveC приложение. К нему подключаете собранный для iOS OpenSSL + engine_pkcs11.
Загружаете engine_pkcs11 и нашу pkcs#11 библиотеку в OpenSSL и из ObjectiveC дергаете API OpenSSL.

Я полагал, что запрос на сертификат генерируется на токене. Как предложенный метод решит проблему?

]]> Wed, 19 Nov 2014 16:59:47 +0000 https://forum.rutoken.ru/post/7783/#p7783 <![CDATA[Re: Формирование PKCS#7 конверта из сертификата]]> https://forum.rutoken.ru/post/7782/#p7782 Ну связка примерно такая получится:
у вас есть ObjectiveC приложение. К нему подключаете собранный для iOS OpenSSL + engine_pkcs11.
Загружаете engine_pkcs11 и нашу pkcs#11 библиотеку в OpenSSL и из ObjectiveC дергаете API OpenSSL.

]]> Wed, 19 Nov 2014 16:54:25 +0000 https://forum.rutoken.ru/post/7782/#p7782 <![CDATA[Re: Формирование PKCS#7 конверта из сертификата]]> https://forum.rutoken.ru/post/7781/#p7781 Кирилл Мещеряков пишет:
abondarenko пишет:
Кирилл Мещеряков пишет:

Чтобы найти объект приватного ключа связанного с этим сертификатом надо поискать объекты CKO_PRIVATE_KEY с тем же CKA_ID что и у сертификата. Это не 100% надёжный способ, но обычно работает.

Функции расширения pkcs#11 будут работать с RSA ключами? Конкретно интересуют функции C_EX_CreateCSR, C_EX_GetCertificateInfoText, C_EX_PKCS7Sign.

Нет, они сделаны специально для ГОСТ применений.

Те же самые вещи, но с RSA можно делать через OpenSSL API.

А как это можно делать на iOS через Bluetooth?

]]> Wed, 19 Nov 2014 16:51:09 +0000 https://forum.rutoken.ru/post/7781/#p7781 <![CDATA[Re: Формирование PKCS#7 конверта из сертификата]]> https://forum.rutoken.ru/post/7780/#p7780 abondarenko пишет:
Кирилл Мещеряков пишет:

Чтобы найти объект приватного ключа связанного с этим сертификатом надо поискать объекты CKO_PRIVATE_KEY с тем же CKA_ID что и у сертификата. Это не 100% надёжный способ, но обычно работает.

Функции расширения pkcs#11 будут работать с RSA ключами? Конкретно интересуют функции C_EX_CreateCSR, C_EX_GetCertificateInfoText, C_EX_PKCS7Sign.

Нет, они сделаны специально для ГОСТ применений.

Те же самые вещи, но с RSA можно делать через OpenSSL API.

]]> Wed, 19 Nov 2014 16:23:26 +0000 https://forum.rutoken.ru/post/7780/#p7780 <![CDATA[Re: Формирование PKCS#7 конверта из сертификата]]> https://forum.rutoken.ru/post/7779/#p7779 Кирилл Мещеряков пишет:

Чтобы найти объект приватного ключа связанного с этим сертификатом надо поискать объекты CKO_PRIVATE_KEY с тем же CKA_ID что и у сертификата. Это не 100% надёжный способ, но обычно работает.

Функции расширения pkcs#11 будут работать с RSA ключами? Конкретно интересуют функции C_EX_CreateCSR, C_EX_GetCertificateInfoText, C_EX_PKCS7Sign.

]]> Wed, 19 Nov 2014 16:00:05 +0000 https://forum.rutoken.ru/post/7779/#p7779 <![CDATA[Re: Формирование PKCS#7 конверта из сертификата]]> https://forum.rutoken.ru/post/7741/#p7741 Чтобы найти объект приватного ключа связанного с этим сертификатом надо поискать объекты CKO_PRIVATE_KEY с тем же CKA_ID что и у сертификата. Это не 100% надёжный способ, но обычно работает.

]]> Tue, 11 Nov 2014 14:51:08 +0000 https://forum.rutoken.ru/post/7741/#p7741 <![CDATA[Формирование PKCS#7 конверта из сертификата]]> https://forum.rutoken.ru/post/7740/#p7740 Добрый день!

Как подписать данные на токене в формате PKCS#7.

В пример на С код выглядит следующим образом:

        rv = _extendedFunctions->C_EX_PKCS7Sign(_hSession, -- объект сессии
                                                data, -- ссылка на данные
                                                dataLength, -- длина данных
                                                certHandler, -- объект сертификата
                                                &envelope, -- выходной конверт
                                                &envelopeLen, -- длина вых. конверта
                                                privKeyHandler, -- объект приватного ключа
                                                NULL, 0,
                                                PKCS7_DETACHED_SIGNATURE);

Как из сертификата получить объект приватного ключа?

Заранее спасибо!

]]> Mon, 10 Nov 2014 15:31:00 +0000 https://forum.rutoken.ru/post/7740/#p7740