Рутокен для подписания релизов

Добрый день, столкнулись с необходимостью перевыпуска ключей для подписания (code sign) выпускаемых оффлайн-приложений. Ранее получали ключ в одном из международных ЦС и формировали pfx по инструкции- аналогу вот такой
https://www.digicert.com/kb/code-signin … ficate.htm

Но в связи с новыми требованиями для секретных ключей
https://support.globalsign.com/code-sig … rtificates
теперь доступен выпуск только на аппаратных ключах, с длиной RSA-ключа 4096 бит, как нам сказали только рутокен ЭЦП 3.0 подходит для этого (если не брать etoken в расчёт).
Вопрос, есть ли возможность из таких rsa ключей на рутокен ЭЦП 3.0, сформировать каким-либо образом pfx, как делали ранее?
Может быть уже приходили с таким вопросом к вам?

Re: Рутокен для подписания релизов

Здравствуйте.
Такой сертификат из Рутокен ЭЦП 3.0 экспортировать нельзя.

Re: Рутокен для подписания релизов

da.bokovoy, добрый день!

Насколько мы знаем, у GlobalSign можно выпускать несколько сертификатов на компанию на разные ключевых носителях.  Про изначальный выпуск в PFX нам не известно.

Re: Рутокен для подписания релизов

Ок, спасибо

Re: Рутокен для подписания релизов

Чтобы не плодить темы, задам тут смежный вопрос. Получили RSA ключ от Global Sign, он действительно на Рутокен ЭЦП 3.0. Подписываем исполняемый файл MS утилитой

signtool.exe sign /f GlobalSign.cer /fd SHA256 /csp "Microsoft Base Smart Card Crypto Provider" /kc "<guid-контенера>" <программа>.EXE

в целом получается, НО приходится вручную вводить PIN. Кеширование паролей не помогает, т.к. signtool при каждом использовании открывается/закрывается.

Не подскажете, можно ли как-нибудь из командной строки в "Microsoft Base Smart Card Crypto Provider" или в ваш "Aktiv ruToken CSP v1.0" (если он умеет с RSA работать) передать PIN-код от токена?

Re: Рутокен для подписания релизов

blanco, добрый день. ответил в почту.

Re: Рутокен для подписания релизов

Аверченко Кирилл пишет:

blanco, добрый день. ответил в почту.

Да, спасибо за ответ. Но до кеширования пока не можем добраться: в принципе через "Aktiv ruToken CSP v1.0" не получается подписать. Команда

signtool.exe sign /f testcert.cer /fd SHA256 /csp "Microsoft Base Smart Card Crypto Provider" /kc "0a56bb01-8f4b-4897-93d9-e1b5136383bc" test.exe

спрашивает пароль от ЭЦП 3.0 и подписывает (причем даже при выбранном по-умолчанию Aktiv криптопровайдере ), а

signtool.exe sign /f testcert.cer /fd SHA256 /csp "Aktiv ruToken CSP v1.0" /kc "0a56bb01-8f4b-4897-93d9-e1b5136383bc" test.exe

говорит
Done Adding Additional Store                                                                                                                                                                                         SignTool Error: The specified private key container was not found.   

галочка "Зарегистрирован" в панели управления стоит (контейнер был из PFX импортирован на Токен)

https://img-host.ru/y2568.jpg

Re: Рутокен для подписания релизов

blanco, попробуйте вот такой вариант вызова команды подписи:
signtool.exe sign  /sha1 {отпечаток сертификата} /v /fd SHA256 test.exe

Re: Рутокен для подписания релизов

Аверченко Кирилл пишет:

signtool.exe sign  /sha1 {отпечаток сертификата} /v /fd SHA256 test.exe

Если токен не вставлен, то спрашивает нужный контейнер
https://img-host.ru/isiHF.jpg

А токен когда вставлен, signtool так же ругается:

signtool.exe sign  /sha1 cf499d993be26e6c5ba2c27c9f444732a416b60f /v /fd SHA256 test.exe
The following certificate was selected:
Issued to: Test Certificate
Issued by: Test Certificate
Expires:   Sun Jan 01 02:59:59 2040
SHA1 hash: CF499D993BE26E6C5BA2C27C9F444732A416B60F
Done Adding Additional Store
SignTool Error: The specified private key container was not found.

Но это с самодельным RSA сертификатом импортированным из PFX, с боевым нет пока возможности проверить. Хотя MS провайдер и с этим как-то подписывает. Версия драйверов 4.13.0.0.

Re: Рутокен для подписания релизов

blanco, на новой версии драйверов так же?
консоль запущена с правами администратора?

Re: Рутокен для подписания релизов

Здравствуйте!

Вопрос собственно тот же:

blanco пишет:

Получили RSA ключ от Global Sign, он действительно на Рутокен ЭЦП 3.0.

Подписываем разными способами, но проблема одна: постоянно спрашивает пароль (PIN-код).
Чекбокса с галочкой "Запомнить PIN-код" при этом нигде не появляется и это прям проблема!
Слишком часто приходится его вводить!

Как бы его запомнить прямо в Windows раз и навсегда, до получения следующего сертификата?!
Подскажите пожалуйста!

Re: Рутокен для подписания релизов

pki11, ответил на почту.

Re: Рутокен для подписания релизов

А можно мне тоже решение прислать? Второй день токеном пользуюсь и уже замучался на каждой сборке пин вводить...

Re: Рутокен для подписания релизов

alex_v99, отправил.

Re: Рутокен для подписания релизов

Еще signtool требует параметр /k, но если там указать код из строки с сертификатом, то вылезает окно "Подключите Рутокен с контейнером" без конца.

Вот картинка из сообщения выше, в /k ввожу то что у меня в панели управления для сертификата указано (на этой картинке "0a56..."):

https://img-host.ru/y2568.jpg


И файл ...\pcache.txt  не появляется, вообще всей папки нет...