п4 - "Должны страдать!" Реально. На полностью серьезных щах.
Ну и реализация - обрубается весь прямой доступ к функционалу платформы, сверху привинчивается хуябора, через которую доступ к части функционала платформы. Чтобы страдали, бля.
>Штатными средствами (через certmgr.msc) экспортируем нужный сертификат в .pfx не забывая установить галочку "да, экспортировать закрытый ключ". Иногда на сертификатах стоит запрет экспорта, тогда просто копируем реестр, и устанавливаем сертификат из реестра машины реципиента.
А я вот помню, как лет пять или десять назад занимался любовью с этим КриптоПро. А всё потому, что он при установке создал ветку реестра для хранения всех этих ключей, но вот права выдал только администратору, и из-под обычного пользователя туда ни записать ни прочитать нельзя было. И вот я искал этот ключ реестра, куда ему, блин, достучаться не удаётся. А всё потому, что программисты под винду, видимо, как начинают под эту винду кодить, у них что-то замыкает в голове, и они, во-первых, начинают требовать деньги за любое говноподелие своё, а во-вторых, вместо членораздельных ошибок выводят какой-то код, который непонятно как расшифровывать, либо тупо "Всё сломалось. Чини".
Слишком много фекалий в сторону программистов из-за распространенной пользовательской ошибки. Скорее всего контейнер был прописан из под редактора реестра или самой СКЗИ, запущенных от администратора, поэтому и ветка была создана для профиля администратора.
Поддерживаю уважаемого оратора. Реестр это самый удобный на мой вкус режим работы с ключами, без возни с токенами и прочим. Особенно удобно воровать бэкапить себе файлик на случай сдохшего харда или проёба токена. Правда если в конторе имеется ИБ, то есть хороший риск огрести от безопасников, т.к. скорее всего при выполнении этой процедуры вы нарушите с пяток нормативных документов в области криптозащиты.
Внесу дополнения:
1. На мой вкус в инструкции некоторое излишество, закрытый сертификат копируется дважды. В случае, если в контейнере уже имеется открытый ключ (обычно да), перенос pfx файла не требуется, сертификат можно установить прямо из контейнера средствами самого Крипто-Про. Сервис-просмотр сертификата-выбрать нужный контейнер-далее-установить. Открытый ключ добавится куда нужно с указателем на закрытый контейнер
( ... )
Comments 11
Реально. На полностью серьезных щах.
Ну и реализация - обрубается весь прямой доступ к функционалу платформы, сверху привинчивается хуябора, через которую доступ к части функционала платформы. Чтобы страдали, бля.
Reply
Я никогда этого не пойму!
Нахера вы напрогали тонну всякого говна, неужели штатные средства винды вам не давали сделать всё ровно то же самое?!
Ведь задача ИМХО довольно проста:
- добавить отечественные криптоалгоритмы
- добавить отечественные хэш-алгортимы
Всё!
Reply
Reply
Всякие толстозадые чиновники напридумыывают БЕЗОПАСНОСТЬ!!!111 а народу с этим ебаться.
Похуй, что алгебра на земном шаре - одна для всех.
Надо СВОЁ!!111
Reply
Иногда на сертификатах стоит запрет экспорта, тогда просто копируем реестр, и устанавливаем сертификат из реестра машины реципиента.
Reply
И вот я искал этот ключ реестра, куда ему, блин, достучаться не удаётся. А всё потому, что программисты под винду, видимо, как начинают под эту винду кодить, у них что-то замыкает в голове, и они, во-первых, начинают требовать деньги за любое говноподелие своё, а во-вторых, вместо членораздельных ошибок выводят какой-то код, который непонятно как расшифровывать, либо тупо "Всё сломалось. Чини".
Reply
Reply
Внесу дополнения:
1. На мой вкус в инструкции некоторое излишество, закрытый сертификат копируется дважды. В случае, если в контейнере уже имеется открытый ключ (обычно да), перенос pfx файла не требуется, сертификат можно установить прямо из контейнера средствами самого Крипто-Про. Сервис-просмотр сертификата-выбрать нужный контейнер-далее-установить. Открытый ключ добавится куда нужно с указателем на закрытый контейнер ( ... )
Reply
Leave a comment