Пожалуйста, посоветуйте УЦ для сертификата с неизвлекаемым ключом (Страница 2 из 3)

Поправьте, если не прав, но Криптопро 5 умеет работать и с подписью егаиса и таким образом решается задача универсальности аппаратной подписи на Рутокен ЭЦП 2.0, верно же?

А чем Вас не устраивает сценарий, обсуждаемый в ветке?

Создаете запрос в активном апплете Рутокен-а, с использованием того же cryptcp из состава КриптоПро CSP 5.0. Затем передаете запрос в УЦ. Полученный сертификат устанавливаете с привязкой к ключу.

Все, Вы получаете неизвлекаемый ключ. Плюс - получаете возможность использовать данный ключ в связке с КриптоПро CSP 5.0 на всех ресурсах, где возможна работа и с извлекаемыми ключами пассивного апплета. Что, на мой взгляд, намного лучше создания ключа на ra.rutoken.ru и отсутствии возможности использовать такой ключ на ресурсах, где нет поддержки протокола pkcs#11.

Если человек хочет использовать PKCS#11 и наш CSP: например для того, чтобы можно было работать через тот самый единый PKCS#11-интерфейс с ключами на всех считывателях, поддерживаемых CSP: реестр, таблетки, пассивные носители, ФКН, то можно взять нашу реализацию PKCS#11 - cppkcs11.dll:

софт -> [PKCS#11-интерфейс] -> cppkcs11.dll -> [CryptoAPI] -> КриптоПро CSP -> модули поддержки

Теперь к вашему вопросу про работу с ключами на Рутокен ЭЦП 2.0.
Как видите из моих пояснений, в итоге при работе с токеном всё равно всё сводится к APDU. Если бы CSP знал команды, которые используются pkcs#11-библиотекой Рутокен, он мог бы использовать ключи, которые через неё созданы. Для CSP 5.0 мы как раз этому и научили провайдер. Если кто-то создал через любой софт, использующий pkcs11-библиотеку, ключ на Рутокен ЭЦП 2.0, CSP этот ключ увидит и сможет использовать. Речь только об этом конкретном токене! Для других производителей формата APDU, используемых pkcs11-библиотеками, у нас нет

sanyo, вам уже ответили не раз

возьмите себе КЭП по тарифным планам ЕГАИС, там всё настроено на работу с Рутокен ЭЦП 2.0 и не мучайте больше не кого :-)

А ещё лучше подождите ещё 10-15 лет и должны квантовые ключи появится, вроде Инфотекс уже тел такой сделали))) Китайцы тоже что то и до вас дойдёт квантовое шифрование - вот тогда может будет для вас самое то ;-)

sanyo, день добрый.
А чем Вас не устраивает сценарий, обсуждаемый в ветке?

Создаете запрос в активном апплете Рутокен-а, с использованием того же cryptcp из состава КриптоПро CSP 5.0. Затем передаете запрос в УЦ. Полученный сертификат устанавливаете с привязкой к ключу.

Все, Вы получаете неизвлекаемый ключ. Плюс - получаете возможность использовать данный ключ в связке с КриптоПро CSP 5.0 на всех ресурсах, где возможна работа и с извлекаемыми ключами пассивного апплета. Что, на мой взгляд, намного лучше создания ключа на ra.rutoken.ru и отсутствии возможности использовать такой ключ на ресурсах, где нет поддержки протокола pkcs#11.

На сегодняшний день есть два пути генерации ключа:
1.  Выдача ключа в авторизованном сервисном центре. Выдача производится на автоматизированном рабочем месте, аттестованном на соответствие требованиям по технической защите конфиденциальной информации, размещенном в аттестованном помещении Центра выдачи, доступ в которое ограничен.
2.  Генерация в личном кабинете удостоверяющего центра: https://i.kontur-ca.ru/ .

Схемы, с генерацией ключа через различные утилиты с передачей запроса - не поддерживаются.