Здравствуйте!
Проблема такая: возникла необходимость установить сертификат пользователя заново. Дискетка, на которой он предположительно находился, потерялась. Нужно сделать импорт сертификата с токена (бланк сертификата со всеми реквизитами есть). Расскажите, пожалуйста, по шагам, как сделать импорт сертификата с токена? спасибо!

Доброго времени суток.
Не совсем понятно, что Вы имеете в виду.
Вы говорите о ключевой паре КриптоПро CSP?

Вы, вероятно, плохо знакомы с режимными приказами по работе с секретной информацией, а те, кто сертифицировал ваши изделия - просто проворонили этот момент. У меня сейчас текста нет под руками, но общий смысл примерно таков: "степень секретности документа определяет непосредственно исполнитель", а не разработчик сейфов, например. Так же и в данном случае - я, как исполнитель, считаю, что информация о том, _какие_ключи_ хранятся в токене - секретна. Только не надо тут приводить детских доводов, что наличие действующего сертификата не подразумевает наличия там же ключа... Мы с вашими изделиями не в игрушки играем, и из-за вашей "принципиальности" могут пострадать люди.

С приказами по работе с секретной информацией в вашей организации мы действительно не знакомы. Если Вы собираетесь закрывать сертификаты (открытые ключи), то о какой схеме с открытым распределением ключей может идти речь? Это уже другая схема. (не с открытым распределением ключей) Или Вы считаете, что для создания HTTP соединения сертификат передаются в зашифрованном виде?
Если Вы собираетесь на предустановленной в Windows криптографии строите серьезную защиту, приезжайте на РусКрипто 2008 пообщайтесь с людьми, там Вам много чего интересного смогут рассказать.

Форум существует для общения пользователей не только с разработчиком, но и между собой. Служба технической поддержки для решения возникших проблем пользователей при эксплуатации или настройки Rutoken. У нас существует достаточно отлаженный механизм поддержки пользователей, Вы им следовать не хотите - Ваше право. Не хотите писать в hotline, пишите сюда, соблюдая все Ваши правила по работе с секретной информацией. Сбор отладочной информации возможно и не потребуется, если подробно опишите (на чем работаете, что делали и т.д.) и по шагам.

Сертификаты Х.509 не являются секретно информацией

Вы, вероятно, плохо знакомы с режимными приказами по работе с секретной информацией, а те, кто сертифицировал ваши изделия - просто проворонили этот момент. У меня сейчас текста нет под руками, но общий смысл примерно таков: "степень секретности документа определяет непосредственно исполнитель", а не разработчик сейфов, например. Так же и в данном случае - я, как исполнитель, считаю, что информация о том, _какие_ключи_ хранятся в токене - секретна. Только не надо тут приводить детских доводов, что наличие действующего сертификата не подразумевает наличия там же ключа... Мы с вашими изделиями не в игрушки играем, и из-за вашей "принципиальности" могут пострадать люди.

Уважаемые господа, я еще в первом письме предлагал - дайте возможность собрать отладочную информацию, включите в драйвере отладку - и пишите для _себя_ все, что требуется, настолько подробно, насколько позволит скорость винта. Не дали. Мое рабочее время - достаточно дорого, поэтому имеет смысл минимизировать мои затраты для достижения цели, тем более, что для Вас это будет делаться совершенно бесплатно.

На форуме есть раздел "поддержка пользователей"? Вот и поддерживайте. Иначе зачем он создан?

Увы, первые попытки использования rutoken - меня разочаровали.

Заливка ключей и сертификатов из файлов pkcs12 в сам токен работает нормально - к этой части пока претензий нет. На работе залили в 32к токен 4 попавшихся под руку сертификата, никаких паролей по-умолчанию не меняли. Приношу токен на домашнюю машину, где до этого не было ни одного ключа. Ставлю ПО с диска, вставляю токен. Радостное мигание лампочками, после чего все четыре сертификата, безо всякого ввода пин-кода, оказываются экспортированными в хранилище серификатов. Во, думаю, качественная защита! Дальше - больше... Браузеры: что firefox, что IE - позволяют просмотреть содержимое токена не спрашивая пин-кода, при попытке авторизации на https сервере - IE в окошке выбора сертификатов не показывает ничего, гораздо интереснее ведет себя firefox - он по 40 секунд (радостно мигая светодиодом) отрабатывает любое обращение к криптоапи, или к чему-то близкому. Страница https, состоящая из нескольких элементов, запрашивает сертификат для каждого из них (и это нормально), но минута бессмысленного мигания на каждый элемент - это уже слишком! В результате - мне так и не удалось авторизоваться ни одним из браузеров.

Токены других производителей по этой схеме работают. Может быть есть более рабочие версии ПО, по сравнению с тем, что идет на диске "Стартового комплекта"?

Сертификаты Х.509 не являются секретно информацией поэтому доступ к ним открыт, для доступа к секретным ключам требуется вводить Pin-код.  Сертификаты автоматически добавляются в локальное хранилище, так и задумано. По поводу всего остального, еще раз прошу, опиши проблему белее конкретно, какой IE, какая ОС и т.д. Если действительно хотите решить какую-то конкретную проблему, то опишите ее как можно более подробно и отправьте в  hotline@rutoken.ru Если есть предложения по работе Rutoken готовы их осуждать и по возможности учитывать.

Есть некий ресурс в интернете, где представлена, скажем так, дилерская информация. И есть ограниченный круг лиц, которые хотели бы иметь возможность безопасно пользоваться этим ресурсом из любой точки сети таким образом, чтобы не таскать с собой ноутбук, и, в то же время, не оставлять возможности "заинтересованным лицам" подключиться самостоятельно. Схема, при которой сотрудник приезжает в чужой офис с токеном (и драйверами к нему), и с любого компьютера может сразу оформить заказ и запустить его в работу - всех устраивает. Более того - эта схема уже второй год успешно работает. Просто поставщики тех токенов, которыми мы пользуемся сейчас, начали, на мой взгляд, неоправданно поднимать ценники, а тут на глаза попалась Ваша фирма, которая, ко всему прочему, обладает русскоговорящими техническими специалистами.

Задача понятна - для того чтобы это настроить необходимо изучить документацию к Вашему www server'y и разобраться какими именно свойствами должен обладать сертификат и ключавая пара для аутентификации. Реализовать это в настройках сервера и соответсвующей программы клиента. Если браузер позволяет работать с устройствами типа смарт-карт - должно все работать. Если будут более конкретные технические вопросы - обращайтесь в техническую поддержку.

Да это возможно в перспективе, по срокам пока ни чего сказать не могу.

1. Утилита rtCert включена не пакет драйверов, а в продукт "Rutoken для MS Windows".
2. С момента выхода последнего релиза "Rutoken для MS Windows" утилита претепела ряд изменений - для получения более новой версии следует обращаться в техническую поддержку.
3. Если сертификат помещается на Rutoken с помощью rtCert - то он совершенно точно записан правильно - ни какие логи тут не нужны.
4. PKCS12 - транспортный контейнер, использовать сертификаты прямо из файла формата PKCS12 невозможно. Для начала необходимо поместить сертификат, в случае с IE - в локальное хранилище, и ключевую пару записать в хранилище определенного криптопровайдера (куда именно определяется криптопровайдером), в случае с Firefox в хранилище браузера, либо PKSC11 хранилище. При этом свойства некоторые свойства ключевой пары (например имя контейнера) определяются местом ее хранения. Для разных ключевых носителей эти свойства могут различатся. Следует ознакомиться с документацией браузера и понять поддерживается ли работа с ключевыми парами хранящимися на смарт-карте для целей аутентификации на www server'e.
5. Свойства, описанные Вами - это свойства сертификата и ключевой пары, не зависящие от ключевого носителя, они хранятся в подписанной структуре данных (собственно представление X509), сертификате. Таким образом вполне разумно предположить, что либо набора этих свойств недостаточно, либо есть некоторое несоответсвие в настройках сервера.
6. Для того, чтобы IE позволил использовать сертификат для аутентификации на Web сервере, сертификат должен содержать следующее значение в составе Enhanced Key Usage: Client Authentication (1.3.6.1.5.5.7.3.2).
Для Firefox, по моему (могу ошибится - необходима проверка) в составе Netscape Cert Type: SSL Client Authentication.

1. Это делает система, ОС, а точнее ее компонент Smartcard Service. Смысл в том, чтобы сертификаты вообще можно было использовать под данной учетной записью. А планируете или нет - ОС об этом ни как не узнает. Если подключили смарт-карту (а смарт-карта - устройство персональное!) - значит планируете.

Но не со всеми же сразу.:)

Я немножко расскажу - для чего у нас используются токены.

Есть некий ресурс в интернете, где представлена, скажем так, дилерская информация. И есть ограниченный круг лиц, которые хотели бы иметь возможность безопасно пользоваться этим ресурсом из любой точки сети таким образом, чтобы не таскать с собой ноутбук, и, в то же время, не оставлять возможности "заинтересованным лицам" подключиться самостоятельно. Схема, при которой сотрудник приезжает в чужой офис с токеном (и драйверами к нему), и с любого компьютера может сразу оформить заказ и запустить его в работу - всех устраивает. Более того - эта схема уже второй год успешно работает. Просто поставщики тех токенов, которыми мы пользуемся сейчас, начали, на мой взгляд, неоправданно поднимать ценники, а тут на глаза попалась Ваша фирма, которая, ко всему прочему, обладает русскоговорящими техническими специалистами. :)

Тогда встречный вопрос - а можно ли будет доработать эту функциональность драйверов (очистка локального хранилища в момент извлечения токена/на следующем цикле опроса токена драйвером)?

Я думаю, воизбежание путаницы, надо разделить ветки вопросов по двум направлениям IE (CryptoAPI) и мозилла (PKCS11). Сейчас заново установлю систему, свежие драйвера и попробую. При необходимости просто откроем отдельные ветки на форуме.

Заливали с помощью той самой утилиты, которая "высылается по заявке" - на CD она есть и ставится при инсталляции ПО вместе с драйверами. А логи и отладочные средства нужны для того, чтобы ваши специалисты могли проверить - действительно ли "это было сделано неправильно". :) На самом деле, могу рассказать на какие грабли мы встали, когда только начали работать с токенами - оказалось, что ПО одного из токенов смотрит раздел сертификата:

            X509v3 Basic Constraints:
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Certificate Sign, CRL Sign

и не позволяет работать с сертификатами, сгенерированными без этих параметров. Причем делается это молча, визуально - была на иконке сертификата в хранилище лишняя закорючка-ленточка. И Мозилла и IE, при работе просто из pkcs12 файла - не смотрят на эти параметры и нормально работают. Возможно, что и в случае с rutoken мы встали на подобные грабли, но пока не определились - на какие.

Сертификат - несомненно открытая информация, но поведение ключа - не совпадает с тем, что я видел при работе с другими токенами. Да и какой смысл в том, чтобы отдать наружу сертификаты, если я не планирую с ними работать?

Вот, представьте, пришел я на чужую машину, поработал, и там остаются лишние данные о _всех_ сертификатах, имеющихся на моем токене. Информация - не секретная, но и размахивать ей - полная глупость.

Еще раз повторю - смарт-карты, с которыми я работал, ничего не отдают пока пользователь не введет pin-код, и это, на мой взгляд, правильное поведение.

1. Это делает система, ОС, а точнее ее компонент Smartcard Service. Смысл в том, чтобы сертификаты вообще можно было использовать под данной учетной записью. А планируете или нет - ОС об этом ни как не узнает. Если подключили смарт-карту (а смарт-карта - устройство персональное!) - значит планируете.
2. Под какой учетной записью Вы работаете на чужой машине? и что значит на чужой? Еще раз подчеркну смарт-карта (как и токен) - устройство персональное.
3. Это не соответсвует действительности. Все смарт-карты в ОС Windows работают практически одинаково, а именно сертификаты в файловой системе лежат в файлах доступных для чтения без пин-кода - это одно из требований к крипто-провайдеру (перебор сертификатов с подклченной смарт-карты должен отрабатывать без участия пользователя). Некоторые производители смарт-карт или токенов включают в свои драйвера дополнительные сервисы, которые несколько модифицируют поводение ОС, например вычищают локальное хранилище от сертификатов, если смарт-карта не подключена. Но еще раз замечу - это не стандартное поводение.

Локальное хранилище не имеет ни какого отношения к стандарту PKCS11. Локальное хранилище доступно для программных средств работающих с сертификатами через CryptoAPI или Crypto Next Generation интерфейсы (т.е. через криптопровайдер). Mozilla работает через PKCS11 интерфейс. Чтобы Mozilla в принципе увидила сертификаты записанные на Rutoken необходимо сделать дополнительные настройки браузера. Если браузер настроен правильно на работу с конкрентной реализацей PKCS11 (для Rutoken это модуль rtPKCS11.dll), а сертификаты тем не менее не видны - то причина кроется не в ПО токена, а либо в содержимом сертификата, либо в настройках рабоыт с сертификатамы самого браузера.

1. Каким именно образом Вы "заливали" сертификат на Rutoken? Возможно это было сделано не правильно.
2. Каких логов? и каких отладночных средств? и Что Вы собираетесь отлаживать? Пожалуйста, выражайтесь конкретнее.

Да действительно, есть продукт "Rutoken для Windows". В его состав входят Драйверы и Документация по настройке основных сервисов безопасности на основе сертификатов в ОС Windows.
Драйверы в этом случае также необходимо обновлять. Это можно сделать скачав драйверы с сайта rutoken.ru

Andrey Y. Ostanovsky пишет:

Дальше - больше... Браузеры: что firefox, что IE - позволяют просмотреть содержимое токена не спрашивая пин-кода...

И это тоже номально. Сертификат - отрытая информация. Еще раз подчеркну, что так это работает со всеми смарт-картами.

Сертификат - несомненно открытая информация, но поведение ключа - не совпадает с тем, что я видел при работе с другими токенами. Да и какой смысл в том, чтобы отдать наружу сертификаты, если я не планирую с ними работать?

Вот, представьте, пришел я на чужую машину, поработал, и там остаются лишние данные о _всех_ сертификатах, имеющихся на моем токене. Информация - не секретная, но и размахивать ей - полная глупость.

Еще раз повторю - смарт-карты, с которыми я работал, ничего не отдают пока пользователь не введет pin-код, и это, на мой взгляд, правильное поведение.

На других токенах - в окошке выбора IE сертификаты обычно видны независимо от того, подходят они или не подходят. Это в мозилле нужно принудительно выставлять поведение, при котором пользователю будет предложен выбор, и как раз мозилла с установками по-умолчанию начинает долго общаться с сервером - т.е., как Вы выражаетесь, "сертификат подходит для аутентификации". А про регистрацию в локальном хранилище - Вы же сами сказали, что система автоматически РЕГИСТРИРУЕТ.

Ну, сами подумайте - если есть работающая схема аутентификации на апаче, зачем создавать дополнительные сертификаты - проще взять готовый файл с ключами и залить в токен, что и было сделано. :) Нужна возможность записи отладочных логов.

Вероятно, мы с Вами говорим о разных вещах и разных продуктах.:(

Стартовый комплект Rutoken для Windows      1600р.

Радостное мигание лампочками, после чего все четыре сертификата, безо всякого ввода пин-кода, оказываются экспортированными в хранилище серификатов. Во, думаю, качественная защита!

Андрей, сертификат - не секретный объект данных. На Rutoken сертификаты хранятся в открытом виде - это правильно, то есть соответсвует стандартам.
Windows сама перебирает сертификаты с подключенной смарт-карты и РЕГЕСТРИРУЕТ (а не экспортирует, как Вы заметили) их в локальном хранилище. Регистрация сертификата - это процесс сохранения сертификата в локальном хранилище вместе с ссылкой на ключевую пару (т.е. криптопровайдер и имя контейнера).
НИ К КАКОМУ НАРУШЕНИЮ БЕЗОПАСНОСТИ ключевой информации это НЕ приводит. И так это работает со всеми смарт-картами и токенами.

И это тоже номально. Сертификат - отрытая информация. Еще раз подчеркну, что так это работает со всеми смарт-картами.

Если в IE не видно ни чего - значит либо сертификат не подходит для аутенфикации на этом http сервере, либо сертификат не зарегестрирован в локальном хранилище, либо не правильно сконфигурирован http сервер. Для более подробной информации смотрите справку по http серверу или обратитетсь в техническую поддержку компании Актив.

Mozilla работает со смарт-картами по стандарту PKCS11.
В итоге корень проблемы тотже что и в случае с IE - скорее всего сертифитат помещенный на токен не подходит для аутентификации на этом http сервере.

По-поводу минуты моргания: это вопрос к разработчикам Mozilla - насколько оптимально сделано использование смарт-карты. В ПО Rutoken на текущий момент не используется ни какое кэширование (для более высокго уровня безопасности), по этому при доступу к одним и тем же объектам они вновь зачитываются с токена. В ходе наших экспериментов и тестирования таких проблем не возникает.

По какой схеме? Вы, к сожалению, не описали как именно что у Вас настроено. И одни ли и теже сертификаты Вы пробовали? - это вызывает сильное сомнение.

Среди продуктов компании Актив нет продукта под названием "Стартовый комплект". Возможно Вы имели ввиду "Комплект разработчика".
На текущий момент "Комплект разработчика" действительно давно не обновлялся - более свежие версии драйверов можно найти на сайте www.rutoken.ru в разделе Загрузки.

Заливка ключей и сертификатов из файлов pkcs12 в сам токен работает нормально - к этой части пока претензий нет. На работе залили в 32к токен 4 попавшихся под руку сертификата, никаких паролей по-умолчанию не меняли. Приношу токен на домашнюю машину, где до этого не было ни одного ключа. Ставлю ПО с диска, вставляю токен. Радостное мигание лампочками, после чего все четыре сертификата, безо всякого ввода пин-кода, оказываются экспортированными в хранилище серификатов. Во, думаю, качественная защита! Дальше - больше... Браузеры: что firefox, что IE - позволяют просмотреть содержимое токена не спрашивая пин-кода, при попытке авторизации на https сервере - IE в окошке выбора сертификатов не показывает ничего, гораздо интереснее ведет себя firefox - он по 40 секунд (радостно мигая светодиодом) отрабатывает любое обращение к криптоапи, или к чему-то близкому. Страница https, состоящая из нескольких элементов, запрашивает сертификат для каждого из них (и это нормально), но минута бессмысленного мигания на каждый элемент - это уже слишком! В результате - мне так и не удалось авторизоваться ни одним из браузеров.

Токены других производителей по этой схеме работают. Может быть есть более рабочие версии ПО, по сравнению с тем, что идет на диске "Стартового комплекта"?

http://en.wikipedia.org/wiki/PKCS, на мой взгляд, достаточно однозначно определяет - что имеется ввиду под pkcs12: ключ плюс сертификатЫ, зашифрованные "транспортным" паролем.

Если уж Вы заговорили о стандартах, давайте ссылаться на официальные документы, а не статьи из псевдо-научной энциклопедии.
http://www.rsa.com/rsalabs/node.asp?id=2138

Да, действительно, абсолютно все равно. Приложение (почтовые клиенты, браузеры, и т.д.), при использовании криптографических операций, даже неможет определить из какого именно места зачитывается ключевая информация.
А вот человеку, использующему криптографические операции для своих нужд шифрования или ЭЦП данных, не должно быть все равно. И есть выбор хранить ключевую информацию безопасно или в открытом виде, как Вы правильно заметили - на флэшке или дискете.
Применение электронных токенов значительно уменьшает вероятность утечки ключевой информации. Конечно, и Rutoken такими свойствами обладает.
Применять такие устройства или нет - это в любом случае выбор человека.

О какой именно ОС Вы говорите?
Комплект драйверов Rutoken работает пока только на ОС Windows.
Если, Вы именно о Windows - тогда, как я уже упоминал, в состав драйверов входит CSP, обеспечивающий использование Rutoken в качестве ключевого носителя для стандартных средств, входящих в состав ОС. Работа с Rutoken осуществляется точно так же, как с любой другой смарт-картой.
Подбробнее посмотреть о использовании смарт-карт в Windows можно здесь:
http://www.microsoft.com/technet/securi … fault.mspx
http://msdn2.microsoft.com/en-us/library/aa380142.aspx
Кроме того, компанией Актив разработан продукт "Rutoken для MS Windows". Продукт содержит достаточно подробную документацию по настройке базовых сервисов безопасности в ОС Windows.

В скором времени будет новая версия в несколько другом виде. Будет входит в состав драйверов.
На текущий момент, эта утилита требуется достатоно ограниченному кругу лиц - высылаем бесплатно, по требованию. Ни каких лицензионных ограничений на использование утилиты rtCert нет.

Andrey Y. Ostanovsky пишет:

Не совсем понятно - чем я могу записать в токен содержимое  транспортного контейнера pkcs12, так, чтобы оно там оказалось в виде нормальных ключей и сертификатов?

Андрей, все зависит от такого о каком именно pkcs12 Вы говорите.

PKCS12 (для Windows такие контейнеры - файлы PFX) представляет собой зашифрованный файл. Содержимое контейнера: ключевая пара, сертификат X509, и некоторая дополнительная информация.
Любая ключевая пара создана по какому либо алгоритму (наиболее распрастранненными являются RSA и ГОСТ 34.10 - 2001, DSA).

http://en.wikipedia.org/wiki/PKCS, на мой взгляд, достаточно однозначно определяет - что имеется ввиду под pkcs12: ключ плюс сертификатЫ, зашифрованные "транспортным" паролем.

Если бы это действительно было "все равно" - то ключи можно было бы хранить на гораздо более дешевой и емкой флэшке.:) Преимущества токена, как хранилища ключей, в том, что ключ нормальным способом нельзя извлечь из токена, тем самым предотвращается кража персональной информации. Ну, по крайней мере, производителями других токенов такое свойство их продукции анонсировано.

Отдельные продукты, кроме необходимости установки и обучения персонала, вероятно, стоят отдельных денег? :) А хочется обойтись штатными стредствами, встроенными в "лучшую в мире операционную систему". Судя по документации - там достаточно много встроено для работы со смарт-картами.

А, если не секрет, что не так с этой утилитой? На этом форуме и на сайте я несколько раз натыкался на упоминание утилиты и на то, что она распространяется только по письменной заявке? Какие-то лицензионные ограничения?

Вот, именно эта возможность мне и требуется. Надеюсь, на этой неделе нам питерские представители поставят базовый комплект rutoken-а и я смогу это заявление проверить.