Автоматическая регистрация сертификата из Рутокен ЭЦП

Добрый день!

Возможна ли автоматическая регистрация сертификата из Рутокен ЭЦП в локальном хранилище компьютера? Сертификат сгенерирован в Microsoft CA. Т.е. нужно чтоб при вставке Рутокена ЭЦП в usb-порт сертификат с токена регистрировался в локальном хранилище автоматически, не через Панель управления Рутокен.

(2014-04-22 08:37:25 отредактировано rad)

Re: Автоматическая регистрация сертификата из Рутокен ЭЦП

Вообщем обновил windows 7 x86, переустановил драйвера Рутокен ЭЦП с диска, которые шли в комплекте. Теперь автоматически при подключении рутокена в usb-порт сертификат закрытого ключа появляется в хранилище сертификатов, в Личные. Теперь проблема в том, что сертификат не удаляется из хранилища автоматически при отключении токена. Что не так? КриптоПро и КриптоПро Рутокен неустановлены.
Еще сразу второй вопрос, что нужно для генерации ключей на самом токене(Рутокен ЭЦП)? Какое ПО?

Re: Автоматическая регистрация сертификата из Рутокен ЭЦП

Добрый день.

Сертификат попадает в хранилище автоматически. Этим занимается специальный сервис Certificate Propagation в Windows.
Для того чтобы он сработал с Рутокеном необходимо чтобы в системе был установлен криптопровайдер.
Для RSA сертификатов достаточно драйверов Рутокен, а для Гост-сертификатов нужен Гост-криптопровайдер, например: КриптоПро CSP, ViPNet CSP, Signal-COM CSP.

В личное хранилище попадает только сертификат открытого ключа, закрытый ключ остаётся на токене.
При попытке использования этого сертификата пойдет обращение к токену, и если он не подключен система предложит его подключить.

Именно поэтому нет никакого смысла удалять его при извлечении токена, он содержит только несекретную информацию.

Re: Автоматическая регистрация сертификата из Рутокен ЭЦП

rad пишет:

Еще сразу второй вопрос, что нужно для генерации ключей на самом токене(Рутокен ЭЦП)? Какое ПО?

Каким образом планируется использовать эти сгенерированные ключи в дальнейшем? От этого зависит ответ на ваш вопрос.

Если вы планируете генерировать RSA ключи и использовать MS CA, кроме установленного комплекта драйверов Рутокен, ничего не потребуется. При генерации запросов на сертификат нужно указать, что будет использоваться Aktiv Rutoken CSP v1.0 и ключи будут генерироваться именно этим CSP.

(2014-04-23 12:36:49 отредактировано rad)

Re: Автоматическая регистрация сертификата из Рутокен ЭЦП

Сгенерированные ключи перемещаю на Рутокен ЭЦП с помощью Панели управления Рутокен, они используются для подписания документов в СЭД DIRECTUM. Как я понял СЭД ищет сертификат с закр.ключом в локальном хранилище. Так как если не находит его, то выдает такое сообщение "Сертификат, содержащий закрытый ключ, не найден в личном хранилище" (рис.1). Сейчас, как уже писал, при вставке рутокена в юсб-порт в локальном хранилище появляется сертификат с закрытым ключом (рис.2). Т.е. если я отключаю рутокен, возможность подписывать документы остается.
рис.1:
https://forum.rutoken.ru/uploads/transfer/0/7000/7165/thumb/p18m6qn351pni14qkes8rsr17lk2.jpg
рис.2:
https://forum.rutoken.ru/uploads/transfer/0/7000/7165/thumb/p18m6v3asief96d1j9d12lg15f41.jpg

Re: Автоматическая регистрация сертификата из Рутокен ЭЦП

Я если правильно понимаю, вы сейчас экспериментируете пока. Так?
Вы пробовали генерировать ключи через Aktiv Rutoken CSP, а не импортировать их?
При таком способе на Рутокен ЭЦП сгенерируется неизвлекаемый приватный ключ и возможности подписывать документы без токена не будет никакой.
А с импортом надо поразбираться, так не должно быть, чтобы можно было подписывать имея только сертификат без закрытого ключа. Возможно в локальное хранилище у вас импортируется весь контейнер вместе с закрытым ключом.

Re: Автоматическая регистрация сертификата из Рутокен ЭЦП

Да, экспериментирую. Генерировать ключ через Aktiv Rutoken CSP пробовал, при этом затем на рутокен импортировал сертификат с открытым ключ. В этом случае происходит тоже самое, да возможно весь контейнер импортируется в локальное хранилище.

Re: Автоматическая регистрация сертификата из Рутокен ЭЦП

Попробую еще, сгенерирую через Aktiv Rutoken CSP, но не буду импортировать сертификат с открытым ключом.

(2014-04-23 12:37:45 отредактировано rad)

Re: Автоматическая регистрация сертификата из Рутокен ЭЦП

Сгенерировал через Aktiv Rutoken CSP. Галочку "Пометить ключ как экспортируемый" не ставил(рис.3). Закрытый ключ как я понял записался на рутокен. Теперь выходит такая ошибка (рис.4).
Рис.3:
https://forum.rutoken.ru/uploads/transfer/0/7000/7169/thumb/p18m6u8sbq18jpcehiuv19j315d92.jpg
Рис.4:
https://forum.rutoken.ru/uploads/transfer/0/7000/7169/thumb/p18m6u75mta51roa1p0t1o2ih0d1.jpg

Re: Автоматическая регистрация сертификата из Рутокен ЭЦП

Отключил рутокен и заново его подключил. Возможность подписания документв в СЭД появилась. После отключения рутокена и попытке подписать документ ошибка "Набор ключей не существует", меня это устраивает. Но смущает то, что в локальное хранилище все также автоматически попадает сертификат:
Рис.5:https://forum.rutoken.ru/uploads/transfer/0/7000/7171/thumb/p18m6vnro6h71po6uq01ct9mu61.jpg

Re: Автоматическая регистрация сертификата из Рутокен ЭЦП

Написал письмо на адрес, указанный при регистрации

Re: Автоматическая регистрация сертификата из Рутокен ЭЦП

rad пишет:

Отключил рутокен и заново его подключил. Возможность подписания документв в СЭД появилась. После отключения рутокена и попытке подписать документ ошибка "Набор ключей не существует", меня это устраивает. Но смущает то, что в локальное хранилище все также автоматически попадает сертификат.

Тот факт, что сертификат попадает в локальное хранилище, не означает, что закрытый ключ лежит в локальном хранилище. Сертификат - информация не секретная и без закрытого ключа подписать на нем ничего нельзя. Там всего лишь есть ссылка на контейнер, где его искать. В данном случае - на токене.

Re: Автоматическая регистрация сертификата из Рутокен ЭЦП

Ясно. Спасибо!

(2022-07-13 20:11:16 отредактировано inbank)

Re: Автоматическая регистрация сертификата из Рутокен ЭЦП

Здравствуйте. Решил не создавать аналогичную тему, а продолжить эту.

У меня есть проблема с регистрацией сертификата на ruToken в Windows 10
Вот на картинке видно, что токен содержит сертификат юзеру ovcharov с неизвлекаемым приватным ключом.
Там же видно, что сервис Certificate Propagation запущен и работает.
https://forum.rutoken.ru/uploads/images/2022/07/4781c0dc8eaf168a9aed10f3f2e8de2d.jpg

но в оснастке сертификатов (текущий юзер, личные сертификаты) он не появляется:
https://forum.rutoken.ru/uploads/images/2022/07/5bb484df423e7d0d9e624b34b4f248eb.jpg

Я пробовал экспортировать сертификат с токена в base64 формате и вручную добавлять его в юзерские личные. Это получилось, но тут видно, что этому сертификату не соответствует никакого приватного ключа (нет значка-ключика слева):
https://forum.rutoken.ru/uploads/images/2022/07/fa2fb3b1e34fe27b83892b765e3d6fe5.jpg

Вопрос -- как привязать к сертификату из виндового юзерского хранилища приватный ключ, хранящийся на токене?
Сразу уточню, что никаких отечественных криптопровайдеров у меня не установлено -- ключ ведь RSA, так что они не нужны.

Re: Автоматическая регистрация сертификата из Рутокен ЭЦП

inbank, добрый день.
Сертификаты, созданные через библиотеку PKCS#11 не получится зарегистрировать через Панель управления Рутокен в личное хранилище Windows.
Подскажите, для какой задачи необходима такая регистрация?