Тема от unknown

  • unknown
  • Посетитель
  • Неактивен

Rutoken S. Несколько вопросов.

Добрый день!

1) Импортировал сертификат с закрытым ключом на Rutoken S. Делаю подпись с помощью capicom и... сертификат вместе с закрытым ключом оказывается в хранилище "Личное" даже после извлечения токена из usb-порта. Т.е. фактически происходит копирование сертификата со всеми потрохами в реестр компьютера. Почему так происходит?
2) PIN-код при подписывании данных запрашивается только один раз... При последующих обращениях пин-код не запрашивается. Возможно это связано с первым вопросом...
3) Не нашел где в панели управления сформировать пару RSA-ключей на токене...

Ответ от unknown

  • unknown
  • Посетитель
  • Неактивен

Re: Rutoken S. Несколько вопросов.

Заметил, что если в панели управления я ставлю галку "зарегистрирован", то сертификат с закрытым ключом копируется на машину. Видимо поэтому я смог работать с сертификатом через capicom... Могу ли я работать с токеном напрямую?

Ответ от Ксения Шаврова

  • Ксения Шаврова
  • Администратор
  • Неактивен

Re: Rutoken S. Несколько вопросов.

unknown пишет:

Добрый день!

1) Импортировал сертификат с закрытым ключом на Rutoken S. Делаю подпись с помощью capicom и... сертификат вместе с закрытым ключом оказывается в хранилище "Личное" даже после извлечения токена из usb-порта. Т.е. фактически происходит копирование сертификата со всеми потрохами в реестр компьютера. Почему так происходит?

Автоматические регистрация/удаление сертификатов средствами "Панели управления Рутокен" не предусмотрены.

Если речь идет об RSA сертификатах, то сертификаты регистрируются автоматически при первом подключении носителя.
За автоматическую регистрацию сертификата в хранилище "Личное" отвечает "Certificate Propagation Service" (https://technet.microsoft.com/ru-ru/lib … 10%29.aspx).
При этом необходимо учитывать, что в хранилище "Личное" копируется лишь открытая часть сертификата, которая в процессе подписания и расшифровки должна быть доступна всем участникам документооборота. Открытый ключ сертификата автоматически не удаляется и остается в хранилище "Личное". 
При установке личного сертификата проставляется лишь ссылка на закрытую часть сертификата, находящуюся на электронном идентификаторе Рутокен.

unknown пишет:

2) PIN-код при подписывании данных запрашивается только один раз... При последующих обращениях пин-код не запрашивается. Возможно это связано с первым вопросом...

Особенности кэширования PIN-кода устанавливаются криптопровайдером.

unknown пишет:

3) Не нашел где в панели управления сформировать пару RSA-ключей на токене...

Генерация и запись сертификатов на Рутокен производится только средствами криптопровайдера. Через "Панель управления РУтокен" невозможно сгенерировать сертификат.

unknown пишет:

Заметил, что если в панели управления я ставлю галку "зарегистрирован", то сертификат с закрытым ключом копируется на машину. Видимо поэтому я смог работать с сертификатом через capicom... Могу ли я работать с токеном напрямую?

Галочка в "Панели управления Рутокен" на вкладке "Сертификаты" предназначена для быстрой установки открытой части сертификата в хранилище "Личное".

Ответ от unknown (2015-12-07 11:19:49 отредактировано unknown)

  • unknown
  • Посетитель
  • Неактивен

Re: Rutoken S. Несколько вопросов.

Ксения Климанова пишет:


При установке личного сертификата проставляется лишь ссылка на закрытую часть сертификата, находящуюся на электронном идентификаторе Рутокен.

Почему тогда мне удается сделать подпись через capicom даже при извлеченном рутокене?
Windows говорит мне, что в личном хранилище у меня теперь есть сертификат с закрытым ключом. И это действительно так, так как все подписывается при извлеченном рутокене...

Ответ от Ксения Шаврова

  • Ксения Шаврова
  • Администратор
  • Неактивен

Re: Rutoken S. Несколько вопросов.

unknown пишет:

Почему тогда мне удается сделать подпись через capicom даже при извлеченном рутокене?
Windows говорит мне, что в личном хранилище у меня теперь есть сертификат с закрытым ключом. И это действительно так, так как все подписывается при извлеченном рутокене...

Похожий вопрос уже задавался на нашем форуме: https://forum.rutoken.ru/topic/2222/ возможно, данная информация будет полезна для вас.
Чтобы попробовать воспроизвести данную ситуацию на стенде нам потребуется дополнительная информация:
- С помощью какого криптопровайдера были выписаны сертификаты.
- Правильно ли мы понимаем, что формат сертификатов был .pfx и после генерации сертификаты были импортированы на Рутокен с помощью "Панели управления Рутокен",

Ответ от unknown (2015-12-07 16:05:10 отредактировано unknown)

  • unknown
  • Посетитель
  • Неактивен

Re: Rutoken S. Несколько вопросов.

Ксения Климанова пишет:

Чтобы попробовать воспроизвести данную ситуацию на стенде нам потребуется дополнительная информация:
- С помощью какого криптопровайдера были выписаны сертификаты.
- Правильно ли мы понимаем, что формат сертификатов был .pfx и после генерации сертификаты были импортированы на Рутокен с помощью "Панели управления Рутокен",

1) Active Directory Certificate Services - RSA 1024.
2) Правильно, точно так.

Я правильно понял, что при генерации сертификата в AD CS я должен указать ваш CSP, который ставится с драйверами? В таком случае закрытый ключ не будет копироваться в локальное хранилище?

Ответ от Ксения Шаврова

  • Ксения Шаврова
  • Администратор
  • Неактивен

Re: Rutoken S. Несколько вопросов.

unknown пишет:

1) Active Directory Certificate Services - RSA 1024.
2) Правильно, точно так.

Если сертификат изначально был выписан не на Рутокен, в потом импортирован, то после срабатывания службы "Certificate Propagation Service" мы не сможем каким-либо образом повлиять на автоматическую установку сертификата, так как срабатывает не наш CSP

unknown пишет:

Я правильно понял, что при генерации сертификата в AD CS я должен указать ваш CSP, который ставится с драйверами? В таком случае закрытый ключ не будет копироваться в локальное хранилище?

Да, все верно.
Мы рекомендуем выписывать сертификат сразу на Рутокен с помощью "Aktiv ruToken CSP v1.0", тогда поведение будет корректное.

Ответ от unknown (2015-12-07 16:25:30 отредактировано unknown)

  • unknown
  • Посетитель
  • Неактивен

Re: Rutoken S. Несколько вопросов.

Ксения Климанова пишет:

Если сертификат изначально был выписан не на Рутокен, в потом импортирован, то после срабатывания службы "Certificate Propagation Service" мы не сможем каким-либо образом повлиять на автоматическую установку сертфииката, так как срабатывает не наш CSP

А можно пояснить почему? С технической точки зрения? Например eToken не ведет себя подобным образом...

Получается что рутокен является защищенным хранилищем только лишь того закрытого ключа, который был сгенерирован с помощью вашего криптопровайдера?

Ответ от Ксения Шаврова

  • Ксения Шаврова
  • Администратор
  • Неактивен

Re: Rutoken S. Несколько вопросов.

На почту, указанную при регистрации, была выслана утилита. Результат отработки утилиты поможет нам разобраться в данном вопросе более подробно.

Ответ от unknown

  • unknown
  • Посетитель
  • Неактивен

Re: Rutoken S. Несколько вопросов.

Спасибо техподдержке - проблема решена.
При извлеченном токене ключи находились и происходила подпись по причине того, что pfx-файл был импортирован в реестр перед импортом на рутокен - таким образом в системе находился дубликат пары ключей с рутокена. При отсутствии рутокена Windows почему-то использует дубликат ключей для подписи, хотя не должна бы...