Получение сертификата пользователя

Независимо от используемой криптобиблиотеки, формирование ключей электронной подписи можно выполнить как с применением ПО «КриптоПро УЦ» (централизованно), так и с использованием сертифицированного СКЗИ «КриптоПро CSP», создав свой Удостоверяющий центр при помощи Microsoft Certification Authority.

Внимание

В С-Терра Клиент А используется криптографическая библиотека компании «С-Терра СиЭсПи». При централизованном получении ключевой пары и локального сертификата, полученный контейнер формата КриптоПро необходимо конвертировать в соответствующий формат утилитой cpkey_conv. Утилита cpkey_conv_exp входит в состав Продукта С-Терра КП и расположена в директории C:\Program Files\S-Terra\S-Terra KP\lca\ST\cpkey_conv_exp.exe. Описание данной утилиты можно посмотреть в «Руководстве администратора С-Терра КП».

Команда cpkey_conv_exp предназначена для конвертирования контейнеров, созданных с помощью СКЗИ компании «Крипто-Про», в контейнеры формата криптографической библиотеки компании «С-Терра СиЭсПи». Утилита cpkey_conv_exp конвертирует только те ключи, которые поддерживаются установленной на момент запуска утилиты версией криптопровайдера. Ключ в контейнере должен быть экспортируемым. Для запуска утилиты требуются права Администратора.

Для работы утилиты на сервере управления ПК «С-Терра КП. Версия 4.3» требуется СКЗИ «КриптоПро CSP 5.0». СКЗИ «КриптоПро CSP» должно быть установлено с дополнительными опциями: вид установки – «Выборочная». Во вкладке выбора устанавливаемых компонентов установите все компоненты. Т.е. к предлагаемому стандартному набору компонентов («Основные файлы», «Основные файлы (x64)», «Расширенная совместимость с продуктами Microsoft», «Совместимость с КриптоПро CSP») добавьте компоненты: «Служба хранения ключей», «Revocation Provider», «Криптопровайдер уровня ядра ОС», «Совместимость с КриптоПро CSP», выбрав для них значение «Данный компонент и все подкомпоненты будут установлены на локальный жесткий диск».

Синтаксис команды:

cpkey_conv_exp –cpCont cryptopro-container-name -stCont s-terra-container-name [-key exch|sign|all|exch-to-sign|auto] –[cpPIN CPpassword] –[stPIN STpassword] [-user]

-cpCont cryptopro-container-name – имя исходного контейнера формата СКЗИ «КриптоПро».

-stCont s-terra-container-name  – имя контейнера, создаваемого в формате криптографической библиотеки компании «С-Терра СиЭсПи» (формат имени описан в команде cont_mgr create).

-key exch|sign|all|exch-to-sign|auto – тип ключевой пары, которую необходимо поместить в контейнер формата криптографической библиотеки компании «С-Терра СиЭсПи»:

exch – конвертируется ключ типа exchange, если он присутствует в исходном контейнере,
sign – конвертируется ключ типа signature, если он присутствует в исходном контейнере,
all – конвертируются все имеющиеся в контейнере ключи в ключи соответствующего типа,
exch-to-sign – ключ типа exchange будет копироваться в ключ типа signature (ключ типа signature в исходном контейнере игнорируется),

auto – если в контейнере присутствует только ключ типа exchange, то он будет конвертироваться в ключ типа signature, если в контейнере присутствует только ключ типа signature, то он будет конвертироваться в ключ типа signature, если в контейнере присутствует оба ключа типа exchange и signature то они будут конвертироваться в ключи соответствующего типа.
Если параметр не указан, то извлекаются все имеющиеся ключи. При отсутствии ключей в контейнере выдается ошибка.

-cpPIN CPpassword  – пароль для доступа к контейнеру формата СКЗИ «КриптоПро».
Допускается использование пустого пароля, при этом ключ cpPIN и аргумент CPpassword можно не указывать.

-stPIN STpassword – пароль, который будет использоваться для доступа к создаваемому контейнеру формата криптобиблиотеки компании «С-Терра СиЭсПи». Допускается использование пустого пароля, при этом ключ stPIN и аргумент STpassword можно не указывать.

-user  – тип контейнера: ключ user указывает, что нужно конвертировать контейнер текущего пользователя, от имени которого запускается утилита, в аналогичный контейнер формата криптографической библиотеки компании «С-Терра СиЭсПи». По умолчанию используется контейнер компьютера (machinekeyset).

Пример:

C:\Program Files\S-Terra\S-Terra KP\lca\ST>cpkey_conv_exp -cpCont \\.\REGISTRY\sign12_256 -key auto -stCont file_p15://sign12_256 -cpPIN 12345 -stPIN 32156

 

Возможные сообщения об ошибках

Текст сообщения

Описание проблемы

Container converted successfully

Успешное завершение утилиты.

Internal error

Внутренняя ошибка, вероятно при выполнении крипто-операций.

Invalid program arguments

Неверные аргументы утилиты.

CryptoPro library path is not found in registry

Невозможно получить путь до библиотеки КриптоПро.

CryptoPro library loading error

Ошибка при загрузке библиотеки КриптоПро.

Create S-Terra container error

Невозможно создать контейнер С-Терра.

CryptoPro container not exists

Невозможно открыть контейнер КриптоПро.

Wrong CryptoPro container PIN

Неверный PIN контейнера КриптоПро.

Key of specified type is not presented in container

Указанный в аргументах ключ не присутствует в контейнере КриптоПро.

Key in container not exportable

Ключ в контейнере КриптоПро не является экспортируемым.

Public keys in CryptoPro and S-Terra containers not equals

Публичные ключи контейнеров не сопадают - ошибка конвертирования.

 

Далее в документе будет рассмотрен вариант получения сертификата пользователя с использованием своего Удостоверяющего центра, созданного на базе ОС Windows Server и СКЗИ «КриптоПро CSP 5.0».

Непосредственно процесс создания Удостоверяющего центра в данном документе не описывается. Инструкция "Установка и настройка Удостоверяющего Центра MSCA" приведена в руководстве администратора продукта С-Терра КП.