Vladimir Ivanov пишет:Функциональность разделения секретных ключей скорее относится к криптопровайдерам.
Например, в КриптоПро, насколько мне известно, такая функция реализована.
Относительно других провайдеров нужно уточнять.
Уточните пожалуйста, для чего Вы планируете использовать эту функцию?
для подписывания дочерних сертификатов своей структуры PKI (связанное с УЦ)
и для подписывания конечных сертификатов.
Vladimir Ivanov пишет:Возможность импорта ключей и сертификатов на токен имеется. Для этого можно использовать
Панель упраления Рутокен, там предусмотрена функциональность для работы с сертификатами.
В том числе и установка в локальное хранилище.
Сразу вопрос через панель управления рутокена можно записать сертификат ГОСТ (2001), т.к. утилита rtCert поддерживала только RSA сертификаты.
И есть ли в панели управления рутокенами выбор работы с сертификатами (ГОСТ или RSA).
т.е. хотелось бы увидеть до конца законченный цикл продукта.
при выборе того или иного режима работы с сертификатами (ГОСТ или RSA) панель управления рутокенами сама подгружала бы необходимые бибилиотеки для совершения операций с импортом\экспортом сертификатов на токены.
Vladimir Ivanov пишет:sergey-x пишет:каким образом интегрировать использование рутокенов для работы с почтовым клиентом рунтенбёрд от мозилы?
при приёмке и отправке писем
В почтовом клиенте Thunderbird (если это именно он имелся в виду) работа с токенами и смарт-картами
обеспечивается подключением библиотеки PKCS#11 для конкретного токена
(https://support.mozillamessaging.com/en … rtificates). Соответствующие библиотеки
для Рутокен входят в комплект драйверов.
к сожалению при попытке регистрации этих новых библиотек через regsvr32 показывается ошибка не найдена точка входа DLLRegisterServer
драйвера rtDrivers.x64.v.2.87.00.0479 ошибка воспроизводиться
rtDrivers.x86.v.2.86.00.0460 - всё нормально без ошибок работало???!!! вин8 проф х64
------
А работа с сертификатами ГОСТ как понимаю только чрез криптопровайдера пока.
-----
Vladimir Ivanov пишет:Если необходима аутентификация по ГОСТ, встроенная функциональность Windows не поможет.
Необходимо использовать криптопровайдер, поддерживающий ГОСТ (платный или бесплатный - не суть).
Если речь об RSA, то в домене вполне достаточно имеющейся функциональности Windows + Рутокен CSP,
который покупать не надо - он входит в комплект драйверов Рутокен и поставляется бесплатно.
Vladimir Ivanov пишет:Для RSA и в домене вся перечисленная функциональность реализуется средствами Windows и Рутокен CSP.
При удаленном доступе в домен шифрование трафика обеспечивается средствами VPN.
Информацию о настройке домена, центра сертификации и т.п. можно найти на ресурсах Microsoft,
либо в нашем стартовом комплекте "Рутокен для Windows".
Если часть пользователей и машин вообще никаким образом не имеют отношения к имеющемуся домену
и не пользуются его ресурсами даже удаленно, придется использовать дополнительные средства
аутентификации, поддерживающие Рутокен.
Для ГОСТа тоже можно найти решение, если это необходимо.
как я понял Рутокен CSP это и есть "панель управления рутокен?
правильно ли я понимаю?
Если я купил комплект разработчика SDK мне просто даётся возможность использовать ключи рутокен и "панели управления рутокен" в рамках одной организации?
вкладышь лицензии
правильно ли я понимаю?
Возможно ли мне внедрять продукт если я просто работаю в компании, а сама компания не приобретала комплект разработчика и лицензию на использование?
-----
т.е. для реализации RSA сертификации нужно на контролёре домена поднять службу "сертификации", иначе никак как я понял.
Для рабочих станций или подключиться к домену или никак, я вроде правильно понял.
-----
Для ГОСТ авторизации нужны криптопровайдеры:
не могли бы вы подсказать список криптопровайдеров реализующих авторизацию по ГОСТ
бесплатные и платные?
----
не мог ли бы вы предоставить ссылку где я могу получить ссылку для скачки обновлений
комплекта разработчика я его приобрёл около года назад.
Vladimir Ivanov пишет:Рутокен S, в отличие от Рутокен ЭЦП, не имеет аппаратной реализации алгоритмов подписи.
В связи с этим его можно использовать в качестве ключевого носителя и носителя сертификата
для программных криптопровайдеров типа КриптоПро CSP.
Поэтому вопрос лучше рассматривать в ином контексте.
Если Вам необходимо обязательно вычислять подпись "на борту" токена на неизвлекаемом ключе,
нужно использовать Рутокен ЭЦП.
Если это не обязательно, можно использовать программные криптосредства и Рутокен S в качестве носителя.
То же самое относится к RSA.
на рутокен ЭЦП происходит генерация только закрытого ключа или сразу
ключ+сертификат УЦ и\или конечного пользователя?
Возможно ли использовать закрытый ключ 4Кб?
возможно ли генерировать ключ в рутокен ЭЦП, а сам сертификат во внешней системе
и какие параметры использовать для этого если будет использоваться библиотеки openssl.org,
openssl.cfg
какие параметры в них указывать?
и можно ли указывать при генерации ключа и сертификата рутокен ЭЦП, свои доп поля и указывать на их критичность?
