Кто подкажет как в ТВ прописать имеющийся на USB-ключе eToken сертификат с закрытым ключем?

В винде он прописан, Outlook Expr его видит и нормально работает (шифрует и подписывает).
Когда пытаешься в настройках ТВ найти сертификаты он пишит что сертификаты не найдены.
Если из Outlook Expr экспортировать, то экспортируется только без закрытого ключа (тогда нет шифрования). Если экспортировать с закрытым ключем, то Outlook Expr пишит что экспорт успешно завершон , но самого файла экспорта в указанной папке нет и нет вообще на компе.
Кроме того даже полученные Outlook Expr сертификаты от сторонних лиц прописать в ТВ не удается.

Outlook Express работает с хранилищами сертификатов через стандартный виндовый CryptoAPI.
eToken является аппаратным PKCS#11 токеном (PKCS#11 hardware token), библиотеку для взаимодействия его и CryptoAPI (eTpkcs11.dll) писал Aladdin (производитель eToken)  - она ставится при установке RTE. Т.о. для всех программ, использующих CryptoAPI eToken оказывается подключен по умолчанию.
В Mozilla по-умолчанию используется своя собственная библиотека, который также реализует PKCS#11 токен, только программный (PKCS#11 software token), для подключения внешней библиотеки делаем следующее:

открываем Tools\Options\Advanced\Certificates
нажимаем Manage Security Devices
нажимает Load
в поле Module Name вписываем что-то вроде Aladdin New PKCS#11 Module
в поле Module filename вписываем упомянуты выше eTpkcs11.dll с полным путем, обычно c:\windows\system32\eTpkcs11.dll
нажимаем OK
еще раз OK
нажимаем кнопку Manage Certificates, будет запрошен PIN к eToken и вуаля, получите ваши сертификаты.

P.S.: Т.к. на пост был натравлен проверяльщик орфографии, то были исправлены не только мои ошибки.

Подключить eToken к ТВ удалось (спасибо за подсказачку на dll)
Подключились 2 хранилища с состояниями - "Не присутствует" и "Зарегестрирован в системе"
Но все равно при выборе сертификатов в настройке учетной записи ТВ выдает что Менеджер сертификатов не может найти действующий сертификат.
Как быть.

Меню Tools, Account Settings, Security.
Выбрать сертификаты для подписи и для шифрования.

Вот именно тамто и выдает, что Менеджер сертификатов не может обнаружить действительный сертификат, который мог бы использоваться для ... (в зависимости от кнопки)

Выделить сертификат CA в отдельный файл, импортировать его в TB поставив все галочки в окне с выбором допустимых целей использования.
А откуда вообще взялись сами сертификаты на eToken-е?

По регламенту своей работы необходимо подписывать электронную корреспонденцию электронной подписью, да еще и шифровать. Поентому в Крипто-Про был получен этот самый eToken, в котором 2 контейнера хранения. Личный сертификат с закрытым ключом. Письма отправляются не только через почтовики, но еще и через спецпрограммы. При отправке через Outlook выводится окно с выбором контейнера и вводом PIN. Причем контейнеры определены как «AKS ifdh 0» и «AKS ifdh 1» а в Mozilla Thunderbird подключились как «AKS ifdh 0» и «eToken» причем определен в системе только последний а «AKS ifdh 0» запустить не удается (кнопка на вкладочке управления устройствами в ТВ недоступна).
До этого всегда пользовался Operой и встроенным почтовиком был доволен, Пока не пришлось включить этот самый eToken (В Опере нет поддержки сертификатов), а Outlook меня угнетает, не зная чем, но что-то как-то не по душе.

Выделить то выделил, и даже импортировал, но только в Authorities, потому что сертификат с расширением *.cer (тудаже вставил и сертификат Крипто-Про которые всю енту бадягу и выдали)

А для того чтобы поставить сертификат на шифрование необходимо его выделять с закрытым ключем, а это делается через файл обмена личной информацией PKCS#12 files (*.pfx). Так вот выделить его с данным расширением не удается, выходит сообщение что экспорт произведен успешно, но файла НЕТ.
А для того чтоб прописать сертификат в ТВ Your Certificates обязательно нужен файл *.pfx

Резюме, пожалуй.
Если сертфикаты выдавал Крипто-Про, то они выпущены с использованием ГОСТ алгоритмов и использовать их в любых продуктах Mozilla в настоящий момент не представляется возможным.

http://www.cryptopro.ru/CryptoPro/forum/myforum.asp?q=1287

Здравствуйте!

Может ли кто подсказать?

Если импортировать в Thunderbird сертификаты X.509, то где они будут физически располагаться? В профиле?

С уважением.

Видимо да. И видимо в 3-х файлах с расширением DB (если конечно речь идет об импорте не только сертификатов, но и ключей).

Да, в профиле.
См. файлы key3.db, cert7.db/cert8.db и secmod.db.

SOb
Lustermaf

Большое спасибо Вам за ответы.
Это то, что нужно.

Дело в том, что профиль хранится в томе, созданном с помощью TrueCrypt (совет Lustermaf'а).
http://forum.mozilla.ru/viewtopic.php?pid=53164#p53164

С большим к Вам уважением,
Мыколка.

А для чего нужно было знать, где хранятся сертификаты/ключи?

SOb, здравствуйте.

Дело в том, что я не единственный пользователь на компьютере.

Для подтверждения личности в письмах использую в том числе сертификаты X.509.

Но, в отличие в Outlook Express, где, на мой взгляд, более продумана работа с ними, в программе Thunderbird, когда подкрепляю к письму сертификат, с меня не спрашивается даже пароль к закрытому ключу. Программа сама его запоминает.

И далее, если кто-то узнает мой Мастер-пароль, то сможет не только загрузить и читать мою почту, но отправлять письма, заверенные моим сертификатом (!).

Поэтому профиль с сохранёнными сертификатами хранится в зашифрованном томе.

Так сказать, от греха подальше.

---
Теперь знаю, что они хранятся в профиле.
Ещё раз Вам спасибо.

С уважением.

Совершенно верно. Спрашивает единственный раз.

Ну загрузить и читать почту, если я верно понимаю, он может и без МП. MBX файлы на диске можно открыть просто скопировав их в новый профиль.

Купи себе Aladdin eToken и храни все сертификаты и ключи на нем (а также логины и пароли, ПО это позволяет) и не будет тебе проблем. Вынул и порядок. C продуктами Mozilla сей девайс работает отлично.
P.S.: Метод вынимания, как известно, не является 100% защитой.

Не согрешишь - не покаешься. Не покаешься - не спасешься.

Для меня было не ясно, зачем точно знать, где хранятся сертификаты/ключи, если всё равно профиль сохраняется. Теперь понял. Не было уверенности в том, что они храняться именно в профиле.

Не может ли кто подсказать, можно ли перенести уже существующие сертификаты  в Thunderbird на токен? Если да, тот как?

--
С уважением.

Мыколка

какой именно e-token?

Unghost, здравствуйте.

Alladin eToken PRO/64K, несертифицированный.

А в какой момент возникла проблема?
Сертификат и личный ключ из Thunderbird выгружаются (бекап)?

SOb
Дело в том, что в ближайшие пару дней должен получить токен.
Хотел бы заранее узнать, насколько сложно перенести уже существующие сертификаты (2 шт.) формата X.509 на него.
Если Вы хотя бы в общих чертах расскажите об этом, буду чрезвычайно признателен.

Да, Вы правы, благополучно выгружаются.

Ставишь eToken RTE и русификатор к нему, открываешь eToken Properties и импортируешь туда сертификаты, предварительно экспортированные из Thunderbird. В документации все довольно подробно описано.

Unghost
Спасибо!

Снова здравствуйте!

Не мог бы кто подсказать?

Заполучил в пользование eToken Pro, установил к нему драйвера (RTE_3.65), загрузил на него 2 сертификата.

Далее в Thunderbird проделал следующее (как велел SOb):

Захожу "Инструменты" - "Настройки" - "Устройства защиты", появилось "Alladin New PKCS#11 module" и два ответвления от него:
-<имя токена>
-AKS ifdh 1

Потом захожу в "Просмотр сертификатов", ввожу пин-код - показаны оба сертификата.

Но вот незадача:
В "Инструментах" - "Параметры учетной записи" - Любой из ящиков - "Защита" - "Выбрать" - доступен для выбора только 1 сертификат.

Как выбрать второй сертификат (соответственно для "защиты" второго почтового ящика)?

С уважением.

Кстати говоря, когда токен извлечен, в "менеджере устройств" - "Alladin New PKCS#11 module" - <имя токена> изменилось на "AKS ifdh 0".

Может, что-то надо прописать для "AKS ifdh 1", дабы можно было работать со вторым сертификатом?

С уважением.

AKS ifdh 0 и AKS ifdh 1 — это 2 слота для eToken (для 2-х устройств), их количество можно выставить в настройках eToken Properties (virtual readers).
Для того, чтобы сертификаты были видны в настройках профиля они должны иметь флаг Sign (электронная подпись) и быть валидны с точки зрения Thinderbird (не истёкший срок действия и устаноленный сертификат удостоверяющего центра в хранилище).
В приницпе, открытые сертификаты можешь прислать по почте или выложить в форум. Тогда можно будет сделать вывод, что не в них проблема.