cert_mgr import

Команда cert_mgr  import предназначена для регистрации СА, локальных сертификатов, сертификатов партнеров и CRL в базе Продукта.

 

Синтаксис 

cert_mgr [-T timeout] import -f C_FILE [-p C_FILE_PWD] [-i OBJ_INDEXN]
[-t | -l | -kc K_CONTAINER_NAME [-kcp K_CONTAUNER_PWD]
[-kf K_FILE [-kfp K_FILE_PWD]]]

-T  timeout                     время ожидания ответа от vpnsvc сервиса. Допустимые значения – 10..36000 секунд, 0 – бесконечное время ожидания. Значение по умолчанию – 600 секунд

-f  C_FILE                       путь к файлу с сертификатами и/или CRL

-p  C_FILE_PWD               пароль к файлу с сертификатами или CRL. Необязательный параметр. Используется только для доступа к файлам, защищенным паролем

-i  OBJ_INDEXN               индекс объекта (сертификата или CRL) в файле, который задает номер искомого сертификата (CRL) в файле. При импорте одного сертификата (CRL) из файла, содержащего один сертификат, данный параметр можно не указывать, он будет равен 1. Индекс задается в виде целого десятичного числа. В качестве индекса нельзя указывать 0

-t                  используется при регистрации СА сертификата, регистрируемому сертификату присваивается статус trusted. При использовании этой опции запрещается использование опций kc,-kcp. Запрещается использовать эту опцию при импорте CRL

-l                                     признак, что сертификат должен быть импортирован как локальный (допустимо только для случая, когда сертификат является ответом на запрос, созданный с помощью cert_mgr create; несовместимо с опцией -kc).

-kс K_CONTAINER_NAME      уникальное имя контейнера с секретным ключом локального сертификата. Не может использоваться, если ранее введена опция t или -l.

                                                     См. Примечание для получения уникального имени контейнера с секретным ключом, а также копирования контейнера с одного ключевого носителя на другой.

-kcp  K_CONTAINER_PWD             пароль к контейнеру с секретным ключом локального сертификата. Необязательный параметр. Используется тогда, когда контейнер с секретным ключом защищен паролем

-kf  K_FILE          путь к файлу с секретным ключом регистрируемого сертификата. Необязательный параметр. Не может использоваться, если ранее введена опция t или -l. (Устаревший параметр, в данной версии Продукта применять не рекомендуется.)

-kfp  K_FILE_PWD           пароль к файлу с секретным ключом регистрируемого сертификата. Необязательный параметр. Используется, если файл с секретным ключом защищен паролем. (Устаревший параметр, в данной версии Продукта применять не рекомендуется.)

Значение по умолчанию    значение по умолчанию отсутствует.

 

Рекомендации по использованию 

Используйте данную команду для импорта сертификатов и/или CRL в базу Продукта. При импорте нескольких объектов из одного файла используйте последовательное описание параметров импортируемых объектов.

Для успешной регистрации СА сертификата в Продукте, в сертификате в поле Basic  Constraints (Основные ограничения) СА обязательно должен иметь значение TRUE. В противном случае, такой СА сертификат зарегистрирован не будет с выдачей сообщения об ошибке. 

 

Примечание 

Получение уникального имени контейнера

При использовании СКЗИ «КриптоПро CSP»

Воспользуйтесь утилитой csptest, размещенной в каталоге /opt/cprocsp/bin/ia32 или /opt/cprocsp/bin/amd64:

csptest -keyset -machinekeyset -verifycontext -enum_containers -unique

Примеры вывода уникальных имен контейнеров:

'FAT12\\TEST1.000' для контейнера на дискете, 

'HDIMAGE\\test1' для контейнера на жестком диске. 

 

При использовании криптобиблиотеки, разработанной компанией «С-Терра СиЭсПи»

Получить имя контейнера можно при помощи утилиты cont_mgr show  или  excont_mgr show_cont.

 

Копирование контейнера

При использовании СКЗИ «КриптоПро CSP»

Для копирования контейнера с секретным ключом с одного ключевого носителя на другой выполните команду (тип секретного ключа в контейнере указывать не нужно):

csptest -keycopy -machinekeyset -src '\\.\media\src_cont' -dest '\\.\media\dst_cont'

При использовании криптобиблиотеки, разработанной компанией «С-Терра СиЭсПи»

Для копирования контейнера воспользуйтесь утилитой cont_mgr copy.

 

Работа с eToken 

Если контейнер находится на eToken, то в качестве пароля к контейнеру должен использоваться PIN-код к токену.

При использовании СКЗИ «КриптоПро CSP»

Если в «КриптоПро CSP» зарегистрирован более, чем один считыватель, то имя контейнера должно содержать имя считывателя, в который вставлен токен.

cert_mgr import -f har_cp_test21.crt -kc '\\.\AKS ifdh 1\SCARD\ETOKEN_PRO16_42e6050c\CC00\D88F' -kcp 1234567890

 

При использовании криптобиблиотеки, разработанной компанией «С-Терра СиЭсПи»

Имя контейнера должно содержать префикс “etoken_p15://. Токен может быть вставлен только в один из считывателей токенов.

cert_mgr import -f har_st_test21.cer -kc etoken_p15://contname -kcp 1234567890

Пример

Регистрация локального сертификата, размещенного в файле gate02.cer:

сert_mgr import -f /opt/certs/gate02.cer -l

Регистрация в базе Продукта с присвоением статуса "trusted" CA сертификата, размещенного в файле ca.cer:

сert_mgr import -f /opt/ca.cer –t