Ответ от Антон Тихиенко

  • Антон Тихиенко
  • Администратор
  • Неактивен

Re: Рутокен ЭЦП 2.0 и XCA

Евгений Рябцев пишет:

Вот как-то так:

Да, вы правы, так действительно "Панель управления Рутокен" будет позволять удалять сертификаты и с PIN пользователя.

PIN администратора будет требоваться если ключи генерировались на токене через наш PKCS#11 — https://dev.rutoken.ru/x/FwAi

Ответ от Евгений Рябцев

  • Евгений Рябцев
  • Посетитель
  • Неактивен

Re: Рутокен ЭЦП 2.0 и XCA

Таак... а вот про это, если можно, поподробнее. Пробую сейчас ваш SDK. Конкретно pkcs11\samples\Standard - это оно? Запускаю пример CreateGOST34.10-2012-256 - генерит две ключевые пары, обе видны в панели управления рутокена, обе неудаляемы пользователем. То есть всё как бы хорошо, но есть минус, что ГОСТ, а он пока не везде. Запускаю пример CreateRSA. На первый взгляд код вроде аналогичен. Создаёт ключевую пару "Sample RSA Public Key (Aktiv Co.)", но она не видна в панели управления рутокена, а видна только в XCA. Такая частично видимая ключевая пара мне не подходит.

Ответ от Антон Тихиенко

  • Антон Тихиенко
  • Администратор
  • Неактивен

Re: Рутокен ЭЦП 2.0 и XCA

Евгений Рябцев пишет:

Такая частично видимая ключевая пара мне не подходит.

Это потому что RSA и через PKCS#11. В этой ветке мы уже обсуждали что такие в панели управления не будут видны.

Евгений Рябцев пишет:

При этом выбираться сертификат будет из списка, предоставляемого чем-то вроде нижеследующего кода C# или браузером при затребовании в соединении TLS клиентского сертификата.

Давайте вернемся к изначальной задаче. Напрашивается два варианта реализации:

  1. Через Microsoft CryptoAPI

  2. Через PKCS#11

В первом варианте RSA-объекты будут отображаться в панели управления рутокен и автоматически попадать в личное хранилище пользователей Windows при помощи службы распространения сертификатов.
Но удалить их через панель управления можно при вводе PIN-кода пользователя.

Во втором варианте через панель управления видны только ГОСТ-объекты и их нельзя удалить при помощи PIN-кода пользователя. Служба распространения сертификатов такие устанавливать автоматически не умеет.
Но получить список сертификатов вы можете прямо из рутокена в коде своего приложения и уже из этого списка выбирать нужный.