Тема от hejire7343

  • hejire7343
  • Посетитель
  • Неактивен

Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

Проблема:

Добрый день. Имеется Рутокен ЭЦП 3.0 с не экспортируемым сертификатом. Необходимо подписать файл через консоль на Windows


Решение которое я пробовал:

На данный момент я использую утилиту signtool для подписи файлов. Я экспортировал сертификат без приватного ключа в хранилище сертификатов Windows.

Дальше если я не ошибаюсь, надо объяснить signtool где взять соответствующий приватный ключ. Для этого надо указать следующий данные

/csp CSPName     Specifies the cryptographic service provider (CSP) that contains the private key container.
/kc PrivKeyContainerName     Specifies the private key container name.

Команда в целом должна выглядеть вот так:

signtool sign /csp “Microsoft Base Smart Card Crypto Provider” /kc “15e353a3-b80b-07c0-4e70-aa07aaff8e05” /fd SHA256 /v calc.exe

Вопросы:

- Как можно узнать имя контейнера в случае Рутокен ЭЦП 3.0
- Какой CSP стоит использовать? Aktiv ruToken CSP v1.0 или Microsoft Base Smart Card Crypto Provider или какой еще?
- Вообще рабочий ли это подход или стоит использовать какой другой способ подписи файлов через консоль на Windows? Я вот нашел решение 9 летней давности на openssl https://forum.rutoken.ru/post/7696/#p7696 но не уверен в его актуальности...

Ответ от Аверченко Кирилл

  • Аверченко Кирилл
  • Техническая поддержка
  • Неактивен

Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

hejire7343, добрый день.
Вам можно взять содержимое поля "отпечаток" в сертификате и выполнить следующую команду:
signtool.exe sign /sha1 "e0a7f4211d3cfec131a2317c768d82a927997cc2" /fd SHA256 /v calc.exe
Необходимо делать это из командной строки, запущенной от имени администратора.
Можно использовать как signtool, так и метод через openssl.

Ответ от kostyruzavin (2023-09-20 08:04:58 отредактировано kostyruzavin)

  • kostyruzavin
  • Посетитель
  • Неактивен

Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

Аверченко Кирилл пишет:

hejire7343, добрый день.
Вам можно взять содержимое поля "отпечаток" в сертификате и выполнить следующую команду:
signtool.exe sign /sha1 "e0a7f4211d3cfec131a2317c768d82a927997cc2" /fd SHA256 /v calc.exe
Необходимо делать это из командной строки, запущенной от имени администратора.
Можно использовать как signtool, так и метод через openssl.

Добрый день, без использования КриптоПРО CSP с дефолтными CSP (Microsoft Aktiv RuToken 1.0) в автоматическом режиме в signtool не находит закрытый ключ. При указании CSP и имени контейнера в случае выбора CSP Aktiv Rutoken - выходит сообщение, что необходимо подключить Рутокен (хотя он точно подключен и в Панели управления Рутокен корректно отображается). В случае использования Microsoft CSP - окно выбора смарт карты говорит о том, что не найден нужный контейнер.

При этом нет кнопки Зарегестрировать сертификат в панели управления Рутокен.

При тестировании с КриптоПРО CSP кнопка есть, также начинает работать авторежим в signtool, но получаем ошибку Access Denided при попытке подписи. Пробовали выбирать все предложенные КриптоПРО провайдеры, также пробовали выбирать усиленную подпись все равно Access Denided.

Приватный ключ точно не просрочен (до 26 года)

Ответ от Аверченко Кирилл

  • Аверченко Кирилл
  • Техническая поддержка
  • Неактивен

Re: Использование signtool c Рутокен ЭЦП 3.0 с не экспортируемым сертифика

kostyruzavin, добрый день.
Попробуйте воспользоваться вот этой инструкцией https://support.globalsign.com/code-sig … rutoken-30