Тема от unghost

  • unghost
  • Посетитель
  • Неактивен

Импорт в Рутокен ЭЦП 3.0 RSA-ключей pkcs12 созданных в OpenSSL 3.0

Добрый день!
Много лет создавал RSA-ключи в формате pkcs12 посредством OpenSSL 1.1.1 и импортировал их в Рутокен ЭЦП 3.0. Всё было нормально и прекрасно работало.
Теперь OpenSSL 1.1.1 снят с поддержки, и я решил попробовать OpenSSL 3.0. Импорт таких ключей в Рутокен ЭЦП 3.0 более не работает. При импорте такого файла почему-то запрашивается пароль, хотя файл pkcs12 был создан без пароля.
Стал копаться и выяснил, что OpenSSL 3.0 по умолчанию создает файл pkcs12 в формате AES:

c:\OpenSSL-Win64-3.0\bin\openssl.exe pkcs12 -info -in new.pfx
Enter Import Password:
MAC: sha256, Iteration 2048
MAC length: 32, salt length: 8
PKCS7 Encrypted data: PBES2, PBKDF2, AES-256-CBC, Iteration 2048, PRF hmacWithSHA256
Certificate bag
Bag Attributes
........
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, AES-256-CBC, Iteration 2048, PRF hmacWithSHA256
Bag Attributes
    localKeyID: 00 37 4E 49 8C 65 60 46 21 DA 9B E4 0D 24 0E 0B 4C 34 91 DB
Key Attributes: <No Attributes>

А OpenSSL 1.1.1 по умолчанию создает файл pkcs12 в формате 3DES:

c:\OpenSSL-Win64\bin\openssl.exe pkcs12 -info -in new.pfx
Enter Import Password:
MAC: sha1, Iteration 2048
MAC length: 20, salt length: 8
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Certificate bag
Bag Attributes
.....
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048
Bag Attributes
    localKeyID: 00 37 4E 49 8C 65 60 46 21 DA 9B E4 0D 24 0E 0B 4C 34 91 DB
Key Attributes: <No Attributes>

Я правильно понимаю, что в Рутокен ЭЦП 3.0 невозможно импортировать RSA-ключ pkcs12 зашифрованный в формате AES? Это ограничение драйверов или самого токена?
Модель Рутокена -  Рутокен ЭЦП 3.0 (3220).

Ответ от Филиппов Никита

  • Филиппов Никита
  • Техническая поддержка
  • Неактивен

Re: Импорт в Рутокен ЭЦП 3.0 RSA-ключей pkcs12 созданных в OpenSSL 3.0

unghost, Добрый день
Разработчики порекомендавали воспользоваться данной статьей, но появились вопросы относительно конечной целы ваших действий, можете описать подробнее?

Ответ от unghost

  • unghost
  • Посетитель
  • Неактивен

Re: Импорт в Рутокен ЭЦП 3.0 RSA-ключей pkcs12 созданных в OpenSSL 3.0

Филиппов Никита пишет:

unghost, Добрый день
Разработчики порекомендавали воспользоваться данной статьей

У меня Windows, а не Linux.

но появились вопросы относительно конечной целы ваших действий, можете описать подробнее?

Целью является удалённый доступ к сети через межсетевой экран, для чего используется RSA-сертификат и ключ на токене.

Описываю подробнее на примере. На OpenSSL:
1) Генерируем ключ:
c:\OpenSSL-Win64\bin\openssl.exe genrsa -out test.key 2048
2) Выпускаем сертификат:
C:\OpenSSL-Win64\bin\openssl.exe req -x509 -new -key test.key -days 1024 -out test.cer -utf8 -nodes -config test.cnf
Файл test.cnf выглядит так:

[req]
default_bits = 2048
distinguished_name = dn

[dn]
0.domainComponent = "ru"
0.domainComponent_default = "ru"
commonName = "Тест Тестович"
commonName_default = "Тест Тестович"
commonName_max = 256

3) Создаем pfx-файл:
c:\OpenSSL-Win64\bin\openssl.exe pkcs12 -export -inkey test.key -in test.cer -out test.pfx
                   
При попытке импорта pfx-файла, созданного через OpenSSL 1.1.1, в Rutoken через "Панель управления - Сертификаты - Импортировать" всё прекрасно:

https://forum.rutoken.ru/uploads/images/2024/11/41aca8bce2d5afb240284464d249274f.jpg

При попытке импорта pfx-файла в Rutoken, созданного через OpenSSL 3.0, через "Панель управления - Сертификаты - Импортировать" всё нехорошо - почему-то запрашивается пароль:

https://forum.rutoken.ru/uploads/images/2024/11/8fae3227c00d2476584b5794dbca3bcb.jpg

Пустой пароль не проходит:

https://forum.rutoken.ru/uploads/images/2024/11/4e4f8c9b44742a6b7078fa88099e14d5.jpg

pfx-файл, созданный через OpenSSL 1.1.1 можно скачать здесь
pfx-файл, созданный через OpenSSL 3.0 можно скачать здесь

Ответ от Филиппов Никита

  • Филиппов Никита
  • Техническая поддержка
  • Неактивен

Re: Импорт в Рутокен ЭЦП 3.0 RSA-ключей pkcs12 созданных в OpenSSL 3.0

unghost, а если заполнить поле для пароля?unghost,