cert_mgr create

Команда cert_mgr create предназначена для генерации ключевой пары и создания запроса на локальный сертификат для конечного устройства. На основании этого запроса Certificate Authority создаст соответствующий сертификат.

Для работы с утилитой требуются права Администратора. Пользователь также должен иметь право изменять настройки Продукта.

Синтаксис 

cert_mgr [-T timeout] create -subj CERT_SUBJ [-RSA|-DSA|-GOST_R3410EL|
-GOST_R341012_256|-GOST_R341012_512] [-512|-1024] [-mail MAIL]
[-ip IP_ADDR] [-ku_bits KU_BITS] [-eku_oids EKU_OIDS] [-dns DNS] [-kc K_CONTAINER_NAME] [-kcp K_CONTAINER_PWD] [-f OUT_DER_FILE_NAME]
[-fb64 OUT_BASE64_FILE_NAME]

-T  timeout                     время ожидания ответа от vpnsvc сервиса. Допустимые значения – 10..36000 секунд, 0 – бесконечное время ожидания. Значение по умолчанию – 600 секунд

-subj  CERT_SUBJ     значение поля Subject  Name сертификата

-RSA                идентификатор алгоритма RSA, который будет использован для генерации ключевой пары. Затем секретный ключ будет применен для формирования ЭЦП для создаваемого запроса

-DSA                идентификатор алгоритма DSA, который будет использован для генерации ключевой пары. Затем секретный ключ будет применен для формирования ЭЦП для создаваемого запроса

-GOST_R3410EL       идентификатор алгоритма ГОСТ Р 34.10-2001, который будет использован для генерации ключевой пары. Затем секретный ключ будет применен для формирования ЭЦП для создаваемого запроса

-GOST_R341012_256       идентификатор алгоритма ГОСТ Р 34.10-2012, который будет использован для генерации ключевой пары, с длиной секретного ключа 256 бит. Затем секретный ключ будет применен для формирования ЭЦП создаваемого запроса. Применяется только при использовании криптобиблиотеки, разработанной компанией «С-Терра СиЭсПи» и «КриптоПро CSP 4.0»

-GOST_R341012_512       идентификатор алгоритма ГОСТ Р 34.10-2012, который будет использован для генерации ключевой пары, с длиной секретного ключа 512 бит. Затем секретный ключ будет применен для формирования ЭЦП создаваемого запроса. Применяется только при использовании криптобиблиотеки, разработанной компанией «С-Терра СиЭсПи» и «КриптоПро CSP 4.0»

-512                длина открытого ключа – 512 бит (только для алгоритмов RSA и DSA)

-1024               длина открытого ключа – 1024 бита (только для алгоритмов RSA и DSA)

-mail  MAIL          значение поля Mail для альтернативного имени (Alternative Subject Name) владельца сертификата, которое может использоваться в качестве идентификатора владельца

-ip  IP_ADDR         значение поля IP Address для альтернативного имени (Alternative Subject Name) владельца сертификата, которое может использоваться в качестве идентификатора владельца

-dns  DNS            значение поля DNS для альтернативного имени (Alternative Subject Name) владельца сертификата, которое может использоваться в качестве идентификатора владельца

-ku_bits KU_BITS          "" или список с элементами из: digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment, keyAgreement, keyCertSign, cRLSign, encipherOnly, decipherOnly. Указывать имена элементов можно с использованием любого регистра (верхний/нижний)

-eku_oids  EKU_OIDS        "" или список из OID из набора OID “KeyPurposeId”

-kc  K_CONTAINER_NAME      имя контейнера с секретным ключом. Формат контейнеров PKCS#15. Если используется криптобиблиотека, разработанная компанией «С-Терра СиЭсПи», то имя контейнера должно иметь вид – file_p15://cont_name или etoken_p15://cont_name

-kcp  K_CONTAINER_PWD      пароль к контейнеру с секретным ключом

-f  OUT_DER_FILE_NAME             имя файла, в который будет помещен запрос на сертификат в формате PKCS#10 в бинарной кодировке DER

-fb64 OUT_BASE64_FILE_NAME             имя файла, в который будет помещен запрос на сертификат в формате PKCS#10 в текстовой кодировке BASE64.

 

Значение по умолчанию

По умолчанию используется алгоритм RSA и открытый ключ длиной 512 бит.

 

Рекомендации по использованию

Используйте данную команду для создания ключевой пары и запроса на сертификат.

Созданный запрос на сертификат защищается от подмены при помощи ЭЦП, которая формируется с использованием созданного секретного ключа и выбранного алгоритма ЭЦП.

В режиме КС1, в момент генерации ключевой пары (по алгоритму ГОСТ Р 34.10-2001 или ГОСТ Р 34.10-2012), запускается генератор случайных чисел и на консоли появляется просьба понажимать любые клавиши.

Команда cert_mgr create позволяет сохранить контейнер с секретным ключом на конечном устройстве в локальном хранилище, избежав ситуации переноса контейнера с одного носителя на другой.

Если при запуске команды не указать опцию –f с именем файла для размещения запроса, то сформированный запрос будет выведен на экран в формате PEM.

Если при запуске команды не указать имя контейнера, то он будет создан с именем file_p15://vpnXXXXXXXX, где vpnXXXXXXXX – автоматически сформированное уникальное имя контейнера

Одновременно хранится только один сертификатный запрос. При создании следующего запроса и незаконченном первом (по которому не создан сертификат), старый запрос удаляется. При таком удалении неиспользованного запроса будет так же удаляться и контейнер с ним связанный.

В режиме КС2 при генерации ключевой пары будет использоваться датчик случайных чисел сертифицированного средства доверенной загрузки. Необходимо уточнение поддержки использования аппаратных ДСЧ для разных операционных систем. Особенности генерации ключевой пары для режима защиты КС2, если для ССДЗ не поддерживается функциональность ДСЧ описаны в соответствующем разделе в «Приложении».

 

Работа с eToken 

Если создание контейнера и запроса на локальный сертификат выполняется на токене, то использование опции kcp обязательно. В качестве пароля к контейнеру должен использоваться PIN-код к токену.

 

Пример

Ниже приведен пример создания запроса на сертификат с использованием алгоритма ГОСТ Р 34.10-2001:

cert_mgr create -subj "O=S-Terra,CN=LocalCert" -GOST_R3410EL -dns local.s-terra.com -f c:\certs\local_cert