Создание запроса на сертификат для ЕБС (Единой Биометрической системы) на компьютере с Windows
Опубликовано Александр Лавник on 2022-02-02 16:00

При необходимости есть возможность создать запрос на сертификат для ЕБС на компьютере с Windows.

Для создания корректного запроса необходимо:

  1. Использовать КриптоПро CSP 5.0 R2 и новее, чтобы компонент имени с OID 1.2.643.100.4 (ИНН ЮЛ) имел нужный тип NumericString.

  2. Настроить подлючение к HSM с помощью HSM Client.

  3. Добавить в реестре параметр с именем CPEnroll_ClientID в ветке:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters

    типа DWORD со значением 0, чтобы в запрос не добавлялись лишние атрибуты.

  4. Использовать команду вида:

    cryptcp -creatrqst ^
    -provname "Crypto-Pro GOST R 34.10-2012 HSM CSP" -provtype 80 ^
    -pin 11111111 ^
    -dn ^
    "CN=""ФГБУ НИИ """"Восход"""""",^
    C=RU,S=77 Москва,^
    L=г. Москва,^
    STREET=""улица Удальцова, дом 85"",^
    O=""ФГБУ НИИ """"Восход"""""",^
    1.2.643.100.1=1234567890123,^
    1.2.643.100.4=1234567890^" ^
    -certusage 1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.4 ^
    -cont contname ^
    -ext certpolicies.ext -ext hsm2.ext ^
    request.req

    В примере предполагается, что файлы расширений certpolicies.ext и hsm2.ext, а также созданный файл запроса request.req находятся в текущей директории. 

    Символ "^" использован для разбиения команды на строки для большей наглядности, без него команду необходимо записать в одну строку.

    Кавычки подкрашены для понимания того как работает вложенное экранирование.
    Для уже созданного ключевого контейнера необходимо добавить параметр -nokeygen

Другие подробности создания запроса на сертификат для ЕБС см. в основной статье.

(1 плюсик(ов))
Класс!
Не очень :(