База знаний: КриптоПро HSM
Создание запроса на сертификат для ЕБС (Единой Биометрической системы) с ключевым контейнером в КриптоПро HSM
Опубликовано Александр Лавник on 2018-12-21 18:01

Требования к запросу указаны в документе Порядок_ЕБС.pdf в архиве.

Подобный запрос может быть создан с помощью утилиты командной строки cryptcp,

Утилита cryptcp на *nix операционных системах входит в состав дистрибутива КриптоПро CSP.

Ниже приведены примеры команд формирования запроса с помощью cryptcp на Astra Linux с ключевым контейнером в КриптоПро HSM 2.0:

Для алгоритма ГОСТ Р 34.10-2001:

/opt/cprocsp/bin/amd64/cryptcp -creatrqst -provname "Crypto-Pro HSM CSP" -provtype 75 -pin 11111111 -dn "CN=ФГБУ НИИ \"\"\"\"Восход\"\"\"\",C=RU,S=77 Москва,L=г. Москва,STREET=улица Удальцова\, дом 85,O=ФГБУ НИИ \"\"\"\"Восход\"\"\"\",1.2.643.100.1=1234567890123,1.2.643.3.131.1.1=007712345678" -certusage 1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.4 -cont contname2001 -ext certpolicies.ext -ext hsm2.ext ~/2001.req

Для алгоритма ГОСТ Р 34.10-2012 с длиной закрытого ключа 256 бит:

/opt/cprocsp/bin/amd64/cryptcp -creatrqst -provname "Crypto-Pro GOST R 34.10-2012 HSM CSP" -provtype 80 -pin 11111111 -dn "CN=ФГБУ НИИ \"\"\"\"Восход\"\"\"\",C=RU,S=77 Москва,L=г. Москва,STREET=улица Удальцова\, дом 85,O=ФГБУ НИИ \"\"\"\"Восход\"\"\"\",1.2.643.100.1=1234567890123,1.2.643.3.131.1.1=007712345678" -certusage 1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.4 -cont contname2012 -ext certpolicies.ext -ext hsm2.ext ~/2012.req

Для алгоритма ГОСТ Р 34.10-2012 с длиной закрытого ключа 512 бит:

/opt/cprocsp/bin/amd64/cryptcp -creatrqst -provname "Crypto-Pro GOST R 34.10-2012 Strong HSM CSP" -provtype 81 -pin 11111111 -dn "CN=ФГБУ НИИ \"\"\"\"Восход\"\"\"\",C=RU,S=77 Москва,L=г. Москва,STREET=улица Удальцова\, дом 85,O=ФГБУ НИИ \"\"\"\"Восход\"\"\"\",1.2.643.100.1=1234567890123,1.2.643.3.131.1.1=007712345678" -certusage 1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.4 -cont contname2012strong -ext certpolicies.ext -ext hsm2.ext ~/2012strong.req

Для уже созданного ключевого контейнера необходимо добавить параметр -nokeygen

OID 1.2.643.100.1 - ОГРН.

OID 1.2.643.3.131.1.1 - ИНН.

Файлы с закодированными расширениями находятся в архиве:

hsm2.ext - Средство электронной подписи владельца: HSM 2.0,

certpolicies.ext - Политики сертификата.

Проверить состав получившегося запроса можно на компьютере с Windows в командной строке cmd следующим образом:

certutil путь_к_файлу_запроса

Например:

certutil C:\requests\2012.req


Если после получения сертификата по созданному запросу требуется установка в соответствующий ключевой контейнер в КриптоПро HSM, то необходимо выполнить команду вида:

Для алгоритма ГОСТ Р 34.10-2001:

/opt/cprocsp/bin/amd64/certmgr -inst -inst_to_cont -provtype 75 -provname "Crypto-Pro HSM CSP" -cont '\\.\HSMDB\contname2001' -pin 11111111 -file ~/2001.cer

Для алгоритма ГОСТ Р 34.10-2012 с длиной закрытого ключа 256 бит:

/opt/cprocsp/bin/amd64/certmgr -inst -inst_to_cont -provtype 80 -provname "Crypto-Pro GOST R 34.10-2012 HSM CSP" -cont '\\.\HSMDB\contname2012' -pin 11111111 -file ~/2012.cer

Для алгоритма ГОСТ Р 34.10-2012 с длиной закрытого ключа 512 бит:

/opt/cprocsp/bin/amd64/certmgr -inst -inst_to_cont -provtype 81 -provname "Crypto-Pro GOST R 34.10-2012 Strong HSM CSP" -cont '\\.\HSMDB\contname2012strong' -pin 11111111 -file ~/2012strong.cer

(4 плюсик(ов))
Класс!
Не очень :(