Приложение №3. Особенности работы при использовании СКЗИ КриптоПро CSP 3.0

Установка внешне созданного ключевого контейнера в DS.

Процедура установки внешне созданного контейнера схожа с процедурой установки PKCS#12 контейнера. Следует придерживаться следующей методики:

  1. Удостовериться что считыватель конкретного ключевого носителя установлен, данная процедура выполняется в соответствии с документацией производителя СКЗИ).

  2. В меню DS «Сертификаты» вызвать функцию «Загрузить сертификаты», далее «Подключить контейнер КриптоПро» и «Обзор».

  3. В отдельном окне будет выведен список доступных контейнеров по всем установленным считывателям.

  4. Далее следует указать требуемый контейнер и ввести код доступа.

  5. Информация о сертификате из контейнера попадает в базу сертификатов (закладка «Персональные»), а также создается ссылка на контейнер с закрытым ключом.

  6. После выполнения этих процедур возможно в последствии использовать закрытый ключ из данного контейнера.

Создание PKCS#10 запроса на сертификат.

Создание запроса (включая и режим переиздания собственного сертификата) выполняется по ранее описанной методике (см. соответствующий раздел настоящего документа), за исключением некоторых особенностей. Результатом успешно отработанного запроса является контейнер размещаемый на первом доступном считывателе (зависит от настроек CSP, как правило это реестр) с кодом доступа в виде случайного числа, прямой доступ к коду доступа отсутствует. Такого рода контейнер и приватный ключ будут доступны к использованию всегда при правильном указании кода доступа на хранилище самого DS. Если возникнет необходимость использовать данный контейнер в других приложениях, необходимо выполнить процедуру «Отключения контейнера», в ходе которой на данный контейнер будет установлен заданный пользователем код доступа.

Отключение контейнера.

Для отключения контейнера необходимо выбрать в разделе «Сертификаты» требуемый персональный сертификат и запустить мастер экспорта сертификатов в режиме «Отключить Контейнер КриптоПро».

Единственным действием мастера экспорта сертификатов в этом режиме будет запрос нового кода доступа к контейнеру. После того как заданный пользователем код доступа будет установлен, информация о данном контейнере удаляется из хранилища DS.

В последствии такой контейнер можно будет заново подключить к хранилищу DS по схеме установки внешне созданного контейнера, которая описана выше.

Создание запроса на изготовление сертификата с генерацией ключевого материала средствами УЦ.

При использовании в качестве СКЗИ КриптоПро CSP 3.0 такого рода запросы не поддерживаются и могут привести к программной ошибке DS. Связано это с тем, что программное обеспечение УЦ создает ключевые контейнеры в стандарте PKCS#12, который не поддерживается CSP КриптоПро 3.0.


© 2005-2008 LLC Top Cross
All Rights Reserved
info@top-cross.ru