Вы не авторизованы. Пожалуйста, войдите или зарегистрируйтесь.
Форум Рутокен → Техническая поддержка разработчиков → Аутентификация на www
Чтобы отправить ответ, нужно авторизоваться или зарегистрироваться
Хочется получить готовое решение для аутентификации пользователя на www сервере (apache/nginx) с произвольной машины по заранее загруженному в токен x509 сертификату. Ну и уж совсем несбыточная мечта - с помощью не только IE, но и Firefox.
Если возможно аутентифицироваться на www сервере (apache/nginx) при помощи IE или мозила по сертификату, хранящемуся в реестре или на дискете, то возможна аутентификация на этом же сервере по сертификату хранящемуся на ЛЮБОЙ смарт-карте. Для этого нужны только драйвера смарт-карты или токена, и должна быть реализация стандарта PKCS11.
В случае с Rutoken - драйверы лежат здесь http://rutoken.ru/ библиотека PKCS11 реализована в модуле rtPKCS11.dll - после установки распологается в папке %Windir%\System32.
Установил драйвер rtDrivers.x86.v.2.15.01.148.msi
Вставил токен, он опознался. Но хранящиеся на нём сертификаты не появились в MSIE в списке личных сертификатов.
Что я сделал не так?
И что можно сделать, чтобы сертификат и ключ достать из токена, например в формате PKCS#12
Заранее спасибо.
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Но хранящиеся на нём сертификаты не появились в MSIE в списке личных сертификатов.
Что я сделал не так?
Нормальный ключ не должен ничего из себя отдавать до ввода PIN-кода. Может и тут, наконец, поправили? :) Тогда через утилиты надо делать "экспорт сертификата в системное хранилище". После этого с сертификатом смогут работать IE и другие прикладные программы, умеющие успользовать системные хранилища сертификатов. У FF - хранилище свое.
И что можно сделать, чтобы сертификат и ключ достать из токена, например в формате PKCS#12
Смысл аппаратного токена как раз в невозможности извлечения _ключей_ из него. Т.е., только ломать, или использовать "штатные" уязвимости, если они есть в конструкции.
Установил драйвер rtDrivers.x86.v.2.15.01.148.msi
Вставил токен, он опознался. Но хранящиеся на нём сертификаты не появились в MSIE в списке личных сертификатов.
1. Какой у Вас токен?
2. Какие на нем хранятся сертификаты?
3. Кем выписаны сертификаты и как они попали на токен?
4. Является искомый сертификат - сертификатом по умолчанию
что можно сделать, чтобы сертификат и ключ достать из токена, например в формате PKCS#12
Импорт сертификатов и ключей возможен, но необходимо знать, что это за сертификат и ключ.
vas пишет:Но хранящиеся на нём сертификаты не появились в MSIE в списке личных сертификатов.
Что я сделал не так?Нормальный ключ не должен ничего из себя отдавать до ввода PIN-кода. Может и тут, наконец, поправили? :) Тогда через утилиты надо делать "экспорт сертификата в системное хранилище". После этого с сертификатом смогут работать IE и другие прикладные программы, умеющие успользовать системные хранилища сертификатов. У FF - хранилище свое.
PIN и не запрашивался. Я даже не знаю, что нужно сделать, чтобы у меня запросили PIN. А что за утилиты, через которые можно сделать экспорт в системное хранилище? Если они могут сделать экспорт в файл в PEM или DER формате, мне больше ничего и не надо. Собственно, задача - воспользоваться сертификатом, который лежит в этом токене, для ввода информации на сайте службы гос. статистики.
vas пишет:И что можно сделать, чтобы сертификат и ключ достать из токена, например в формате PKCS#12
Смысл аппаратного токена как раз в невозможности извлечения _ключей_ из него. Т.е., только ломать, или использовать "штатные" уязвимости, если они есть в конструкции.
Ладно, тогда устроит достать только открытый сертификат, а ключ пусть всякий раз берёт с токена. Главное понять, как обратиться к содержимому токена средствами винды.
vas пишет:Установил драйвер rtDrivers.x86.v.2.15.01.148.msi
Вставил токен, он опознался. Но хранящиеся на нём сертификаты не появились в MSIE в списке личных сертификатов.1. Какой у Вас токен?
2. Какие на нем хранятся сертификаты?
3. Кем выписаны сертификаты и как они попали на токен?
4. Является искомый сертификат - сертификатом по умолчаниюvas пишет:что можно сделать, чтобы сертификат и ключ достать из токена, например в формате PKCS#12
Импорт сертификатов и ключей возможен, но необходимо знать, что это за сертификат и ключ.
1. ruToken
2,3. ЭЦП нашей организации, выдавалась одним из московских УЦ для отправки документов в налоговую. Теперь хочется воспользоваться этой же ЭЦП для отправки документов в Федеральную службу гос. статистики.
4. Вопрос не понял, sorry.
Импорт сертификатов и ключей возможен, но необходимо знать, что это за сертификат и ключ.
Вы хорошо понимаете то, о чем пишете? Т.е., rutoken не является надежным хранилищем и его содержимое может быть легко размножено?
vas пишет:что можно сделать, чтобы сертификат и ключ достать из токена, например в формате PKCS#12
Импорт сертификатов и ключей возможен, но необходимо знать, что это за сертификат и ключ.
Собственно это я и хотел посмотреть (что за сертификат лежит на данном токене, какие у него Subject, Issuer, срок действия и т.д.)
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Алексей Несененко пишет:4. Является искомый сертификат - сертификатом по умолчанию
4. Вопрос не понял, sorry.
Когда в токене несколько пар сертификат+ключ - один из них можно обозвать "сертификат по-умолчанию".
PIN и не запрашивался. Я даже не знаю, что нужно сделать, чтобы у меня запросили PIN. А что за утилиты, через которые можно сделать экспорт в системное хранилище? Если они могут сделать экспорт в файл в PEM или DER формате, мне больше ничего и не надо. Собственно, задача - воспользоваться сертификатом, который лежит в этом токене, для ввода информации на сайте службы гос. статистики.
Наряду с драйверами, у rutoken-а есть так называемые утилиты, с помощью которых производится администрирование и другие манипуляции с токенами. Поскольку мы с этими токенами не продвинулись дальше тестовых установок - я прямо сейчас не готов пошагово объяснить куда нажать и т.д. Экспортируется в системное хранилище _только_ сертификат, поэтому воспользоваться им в отсутствие токена - нельзя. Иначе смысл и отличие токена от обычной флэшки - теряется.
Алексей Несененко пишет:Импорт сертификатов и ключей возможен, но необходимо знать, что это за сертификат и ключ.
Вы хорошо понимаете то, о чем пишете? Т.е., rutoken не является надежным хранилищем и его содержимое может быть легко размножено?
Хорошо понимаем.
1. Сертификат, как и открытый ключ, не являются секретными, поэтому их можно экспортировать сколько угодно
2. Секретный ключ также может быть экспортирован, по предъявлении PIN, в том случае, если он не помечен на токене как неэкспортируемый.
Владелец ключей и сертификатов имеет полное право и возможность делать с ними все, что заблагорассудится. При знании PIN, естественно.
2,3. ЭЦП нашей организации, выдавалась одним из московских УЦ для отправки документов в налоговую. Теперь хочется воспользоваться этой же ЭЦП для отправки документов в Федеральную службу гос. статистики.
Для того, чтобы посмотреть сертификат, надо бы знать на каком криптопровайдере он выписывался. Если удостоверяющий центр использует КриптоПро - соответственно необходима установка данного криптопровайдера. Если не секрет, в каком УЦ Вы получали сертификат?
2. Секретный ключ также может быть экспортирован, по предъявлении PIN, в том случае, если он не помечен на токене как неэкспортируемый.
Вы можете прямо ответить на поставленный вопрос?
rutoken не является надежным хранилищем и его содержимое может быть легко размножено?Под "легко" я подразумеваю: с ведома владельца токена, зная пин-код и используя штатное программное обеспечение.
Владелец ключей и сертификатов имеет полное право и возможность делать с ними все, что заблагорассудится. При знании PIN, естественно.
"Владелец ключей и сертификатов" (организация, выпустившая их) как раз желает, чтобы _пользователь_токена_ не мог достать ключи из токена и у него не было такой возможности ни в каком случае. Иначе ваш токен практически ничем (кроме объема) от современной флэшки не отличается.
Нормальный ключ не должен ничего из себя отдавать до ввода PIN-кода. Может и тут, наконец, поправили? :)
Нормальный ключ не должен выдавать из себя до ввода PIN ничего, кроме public-информации, которая по определению PIN не защищается (например, сертификат). PIN нужен только для доступа к закрытым данным, которые имеют специальные атрибуты безопасности, отличные от public.
Смысл аппаратного токена как раз в невозможности извлечения _ключей_ из него.
Если изначально не предусмотрено обратное - возможность извлечения ключа по предъявлении PIN.
Andrey Y. Ostanovsky пишет:Нормальный ключ не должен ничего из себя отдавать до ввода PIN-кода. Может и тут, наконец, поправили? :)
Нормальный ключ не должен выдавать из себя до ввода PIN ничего, кроме public-информации, которая по определению PIN не защищается (например, сертификат). PIN нужен только для доступа к закрытым данным, которые имеют специальные атрибуты безопасности, отличные от public.
Andrey Y. Ostanovsky пишет:Смысл аппаратного токена как раз в невозможности извлечения _ключей_ из него.
Если изначально не предусмотрено обратное - возможность извлечения ключа по предъявлении PIN.
Вобщем, как был "сейф со стеклянной дверцей", в которую можно посмотреть и оценить - нужно ли нам содержимое, а если нужно - так и достать, так и остался. Печально, что Ваши понятия о безопасности данных расходятся с общепринятыми.:(
Чтобы отправить ответ, нужно авторизоваться или зарегистрироваться
Форум Рутокен → Техническая поддержка разработчиков → Аутентификация на www