<![CDATA[Форум Рутокен — Импорт в Рутокен ЭЦП 3.0 RSA-ключей pkcs12 созданных в OpenSSL 3.0]]> https://forum.rutoken.ru/topic/4511/ Mon, 25 Nov 2024 12:45:53 +0000 PunBB <![CDATA[Re: Импорт в Рутокен ЭЦП 3.0 RSA-ключей pkcs12 созданных в OpenSSL 3.0]]> https://forum.rutoken.ru/post/26556/#p26556 unghost, спасибо за ожидание, дополню информацию.
Ознакомьтесь пожалуйста с данной информацией.
Также попробуйте импортировать в консоли командой certutil -csp "Microsoft Base Smart Card Crypto Provider" -importpfx C:\user.pfx
Еще замечу, что pkcs11-tool есть в составе пакета opensc для Windows.

]]> Mon, 25 Nov 2024 12:45:53 +0000 https://forum.rutoken.ru/post/26556/#p26556 <![CDATA[Re: Импорт в Рутокен ЭЦП 3.0 RSA-ключей pkcs12 созданных в OpenSSL 3.0]]> https://forum.rutoken.ru/post/26549/#p26549 Филиппов Никита пишет:

unghost, а если заполнить поле для пароля?unghost,

Не помогает.

]]> Fri, 22 Nov 2024 09:18:47 +0000 https://forum.rutoken.ru/post/26549/#p26549 <![CDATA[Re: Импорт в Рутокен ЭЦП 3.0 RSA-ключей pkcs12 созданных в OpenSSL 3.0]]> https://forum.rutoken.ru/post/26535/#p26535 unghost, а если заполнить поле для пароля?unghost,

]]> Tue, 19 Nov 2024 13:11:09 +0000 https://forum.rutoken.ru/post/26535/#p26535 <![CDATA[Re: Импорт в Рутокен ЭЦП 3.0 RSA-ключей pkcs12 созданных в OpenSSL 3.0]]> https://forum.rutoken.ru/post/26534/#p26534 Филиппов Никита пишет:

unghost, Добрый день
Разработчики порекомендавали воспользоваться данной статьей

У меня Windows, а не Linux.

но появились вопросы относительно конечной целы ваших действий, можете описать подробнее?

Целью является удалённый доступ к сети через межсетевой экран, для чего используется RSA-сертификат и ключ на токене.

Описываю подробнее на примере. На OpenSSL:
1) Генерируем ключ:
c:\OpenSSL-Win64\bin\openssl.exe genrsa -out test.key 2048
2) Выпускаем сертификат:
C:\OpenSSL-Win64\bin\openssl.exe req -x509 -new -key test.key -days 1024 -out test.cer -utf8 -nodes -config test.cnf
Файл test.cnf выглядит так:

[req]
default_bits = 2048
distinguished_name = dn

[dn]
0.domainComponent = "ru"
0.domainComponent_default = "ru"
commonName = "Тест Тестович"
commonName_default = "Тест Тестович"
commonName_max = 256

3) Создаем pfx-файл:
c:\OpenSSL-Win64\bin\openssl.exe pkcs12 -export -inkey test.key -in test.cer -out test.pfx
                   
При попытке импорта pfx-файла, созданного через OpenSSL 1.1.1, в Rutoken через "Панель управления - Сертификаты - Импортировать" всё прекрасно:

При попытке импорта pfx-файла в Rutoken, созданного через OpenSSL 3.0, через "Панель управления - Сертификаты - Импортировать" всё нехорошо - почему-то запрашивается пароль:

Пустой пароль не проходит:

pfx-файл, созданный через OpenSSL 1.1.1 можно скачать здесь
pfx-файл, созданный через OpenSSL 3.0 можно скачать здесь

]]> Mon, 18 Nov 2024 14:07:33 +0000 https://forum.rutoken.ru/post/26534/#p26534 <![CDATA[Re: Импорт в Рутокен ЭЦП 3.0 RSA-ключей pkcs12 созданных в OpenSSL 3.0]]> https://forum.rutoken.ru/post/26533/#p26533 unghost, Добрый день
Разработчики порекомендавали воспользоваться данной статьей, но появились вопросы относительно конечной целы ваших действий, можете описать подробнее?

]]> Fri, 15 Nov 2024 10:13:05 +0000 https://forum.rutoken.ru/post/26533/#p26533 <![CDATA[Импорт в Рутокен ЭЦП 3.0 RSA-ключей pkcs12 созданных в OpenSSL 3.0]]> https://forum.rutoken.ru/post/26530/#p26530 Добрый день!
Много лет создавал RSA-ключи в формате pkcs12 посредством OpenSSL 1.1.1 и импортировал их в Рутокен ЭЦП 3.0. Всё было нормально и прекрасно работало.
Теперь OpenSSL 1.1.1 снят с поддержки, и я решил попробовать OpenSSL 3.0. Импорт таких ключей в Рутокен ЭЦП 3.0 более не работает. При импорте такого файла почему-то запрашивается пароль, хотя файл pkcs12 был создан без пароля.
Стал копаться и выяснил, что OpenSSL 3.0 по умолчанию создает файл pkcs12 в формате AES:

c:\OpenSSL-Win64-3.0\bin\openssl.exe pkcs12 -info -in new.pfx
Enter Import Password:
MAC: sha256, Iteration 2048
MAC length: 32, salt length: 8
PKCS7 Encrypted data: PBES2, PBKDF2, AES-256-CBC, Iteration 2048, PRF hmacWithSHA256
Certificate bag
Bag Attributes
........
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, AES-256-CBC, Iteration 2048, PRF hmacWithSHA256
Bag Attributes
    localKeyID: 00 37 4E 49 8C 65 60 46 21 DA 9B E4 0D 24 0E 0B 4C 34 91 DB
Key Attributes: <No Attributes>

А OpenSSL 1.1.1 по умолчанию создает файл pkcs12 в формате 3DES:

c:\OpenSSL-Win64\bin\openssl.exe pkcs12 -info -in new.pfx
Enter Import Password:
MAC: sha1, Iteration 2048
MAC length: 20, salt length: 8
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Certificate bag
Bag Attributes
.....
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048
Bag Attributes
    localKeyID: 00 37 4E 49 8C 65 60 46 21 DA 9B E4 0D 24 0E 0B 4C 34 91 DB
Key Attributes: <No Attributes>

Я правильно понимаю, что в Рутокен ЭЦП 3.0 невозможно импортировать RSA-ключ pkcs12 зашифрованный в формате AES? Это ограничение драйверов или самого токена?
Модель Рутокена -  Рутокен ЭЦП 3.0 (3220).

]]> Thu, 14 Nov 2024 13:59:48 +0000 https://forum.rutoken.ru/post/26530/#p26530