Полезная информация

Список ответов на каверзные вопросы можно получить в FAQ-разделе форума.

№118-08-2005 17:21:25

Вий
Участник
 
Группа: Members
Зарегистрирован: 29-04-2005
Сообщений: 117

Импорт сертификата X.509 для S/MIME

Здравствуйте!
Проблема – в Thunderbird 1.06 не импортируется сертификат.

Исходные данные:
1. Сертификат получен от Thawte Freemail Member, срок действия 1 год
(еще не истек).
2. Сертификат получал несколько месяцев назад, во время использования IE 6.
3.Далее из вкладки «сертификаты» (панель управления – свойства Интернет) сертификат был экспортирован в файл (указываю с путем) A:\papka\name.pfx. При экспортировании была отмечена галочка "включая закрытый ключ".
4. Записан пароль доступа к сертификату.
5. Импортировать сертификат в Outlook Express, ровно как и в MS Outlook получается без особых проблем.

Что и как делаю при импортировании:
1. Открываю менеджер сертификатов Thunderbird 1.06 (кнопка «упорядочить сертификаты»).
2. Жму кнопку «восстановить» во вкладке «Ваши сертификаты» и указываю путь до файла A:\papka\name.pfx, жму кнопку «ОК».
3. Появляется приглашение «Введите мастер пароль для программное устр.».
4. Ввожу пароль к сертификату, жму «ОК», появляется новое окно с приглашением «Введите пароль, использованный для шифрования резервной копии сертификата.

Вот на этом все останавливается, ввожу пароль (он у меня единственный)  и получаю ответ, что пароль не верен.

Я не понимаю. Помогите, в чем причина? Ведь с Аутлуками все получается. Что за пароль для резервного шифрования, где его взять? Или причина какая-то другая?
Может быть сертификат нужно "вставить" как то иначе?
С уважением.

Отредактировано Вий (18-08-2005 17:23:00)


ASP Linux

Отсутствует

 

№227-08-2005 17:35:55

SOb
Участник
 
Группа: Members
Зарегистрирован: 26-03-2005
Сообщений: 93

Re: Импорт сертификата X.509 для S/MIME

Ответ еще актуален? ;)

Отсутствует

 

№328-08-2005 18:37:11

Вий
Участник
 
Группа: Members
Зарегистрирован: 29-04-2005
Сообщений: 117

Re: Импорт сертификата X.509 для S/MIME

Да, если можете помочь, буду благодарен.


ASP Linux

Отсутствует

 

№428-08-2005 19:31:18

SOb
Участник
 
Группа: Members
Зарегистрирован: 26-03-2005
Сообщений: 93

Re: Импорт сертификата X.509 для S/MIME

Вий пишет

Да, если можете помочь, буду благодарен.

Получение сертификата на открытый (он же публичный) ключ выглядит приблизительно так:
1. Генерируется приватный ключ. Он же наш и знать его никому нельзя. Поэтому у нас и генерируем. При этом он помещается в некоторое защищенное хранилище, в данном случае - это реестр. Защита состоит в том, что приватный ключ помечается как неэкпортируемый и штатными средствами (вообще любыми известными мне средствами) выгружен из реестра быть не может.
2. На основе приватного ключа генерируется открытый ключ и с некоторой информацией о владельце приватного ключа отсылается в удостоверяющий центр - Thawte в данном случае.
4. Из удостоверяющего центра приходит подписанный открытый ключ и также помещается в хранилище. Но при этом может быть экспортирован. На то он и открытый (он же публичный).
Все продукты от MS используют единое хранилище сертификатов и, соответственно, видят необходимый им  приватный ключ.

Да в общем то... не работает видимо потому, что на самом деле приватный ключ никуда не экпортировался (сколькобы и где галочек не ставилось) и поэтому не попал (и не попадет) в Thunderbird. Такая грустная история.

Отредактировано SOb (28-08-2005 19:32:34)

Отсутствует

 

№528-08-2005 19:44:16

LattyF
Участник
 
Группа: Members
Откуда: г. Самара
Зарегистрирован: 19-06-2005
Сообщений: 2924

Re: Импорт сертификата X.509 для S/MIME

SOb пишет

на самом деле приватный ключ никуда не экпортировался

Ключ экспортируется, если поставить галку. Так во всех программах. Если бы ключ не экспортировался, вы бы потеряли сертификат после первой же переустановки винды. К тому же, он хранится на жестком диске в зашифрованном виде (ключом на основе мастер-пароля).

Видимо имеет место глюк птицы. Сертификаты не импортировал, но с ключами GPG расширения Enigmail работает стабильно (оно только для GPG/PGP).

А вообще, смотрите тут. Если разберетесь в чем проблема, напишите в форум.

Отредактировано LattyF (28-08-2005 19:46:47)


Black holes were created when the God divided by zero.

Отсутствует

 

№628-08-2005 20:33:54

SOb
Участник
 
Группа: Members
Зарегистрирован: 26-03-2005
Сообщений: 93

Re: Импорт сертификата X.509 для S/MIME

LattyF пишет
SOb пишет

на самом деле приватный ключ никуда не экпортировался

Ключ экспортируется, если поставить галку. Так во всех программах. Если бы ключ не экспортировался, вы бы потеряли сертификат после первой же переустановки винды. К тому же, он хранится на жестком диске в зашифрованном виде (ключом на основе мастер-пароля).

Видимо имеет место глюк птицы. Сертификаты не импортировал, но с ключами GPG расширения Enigmail работает стабильно (оно только для GPG/PGP).

А вообще, смотрите тут. Если разберетесь в чем проблема, напишите в форум.

Сертификаты о которых идет речь - стандарта x.509, что совсем даже не GnuPG и не PGP. Упоминание данных продуктов неуместно.
Сертификат открытого ключа, который был получен от Thawte, был получен в IE и он действительно будет потерян, если переустановить Windows.
Всё, что хранится в реестре, действительно представляет собой файл на диске (делее байты, потом кластеры, сектора и намагниченные участки поверхности жесткого диска). Так уж устроен компьютер. О том, что реестр шифруется ключем на основе какого-либо мастер пароля я не слышал.
Возможно возникло так называемое непонимание и вы говорите о Security Storage от Moziila? Там действительно и файл и мастер пароль. А я про MS. Читаем внимательно!!!
Глюка птицы нет. Всё так, как я написал. Точка.

Отсутствует

 

№728-08-2005 20:47:32

LattyF
Участник
 
Группа: Members
Откуда: г. Самара
Зарегистрирован: 19-06-2005
Сообщений: 2924

Re: Импорт сертификата X.509 для S/MIME

SOb, я вас чем-то обидел? Что вы взъелись. Не надо считать всех кроме себя даунами. Если вы используете MS для таких критических вещей как сертификаты --- флаг вам в руки и электричку навстречу. Причем тут реестр? К тому же это не файл, а файлы. А про EFS что-то слышали? (она тоже на магнитном носителе существует). А про бекапы сертификатов не доводилось читать? Таковы уже реалии, о них в книжках «Микрохирургия для идиотов» не прочитаешь.

Все так как вы написали, только для MS. Птица продукт кросплатформенный и ориентирован в первую очередь не на MS, а на пользователя. Многоточие...

Почитайте статью, там будет много неожиданных открытий для вас.

Отредактировано LattyF (28-08-2005 20:49:59)


Black holes were created when the God divided by zero.

Отсутствует

 

№828-08-2005 21:06:56

SOb
Участник
 
Группа: Members
Зарегистрирован: 26-03-2005
Сообщений: 93

Re: Импорт сертификата X.509 для S/MIME

LattyF пишет

SOb, я вас чем-то обидел? Что вы взъелись.

Просто немого резковат. Так как писал вроде бы понятно, а вы сделали вид, что не поняли.

LattyF пишет

Не надо считать всех кроме себя даунами.

Считать можно. Только не нужно давать понять кого и за кого считаешь на самом деле.

LattyF пишет

Если вы используете MS для таких критических вещей как сертификаты --- флаг вам в руки и электричку навстречу.

...и попутного ветра в горбатую спину. Спасибо.
На чем я разворачивал PKI я расскажу когда это будет к месту.
А вы что используете?

LattyF пишет

Причем тут реестр? К тому же это не файл, а файлы. А про EFS что-то слышали? (она тоже на магнитном носителе существует). А про бекапы сертификатов не доводилось читать? Таковы уже реалии, о них в книжках «Микрохирургия для идиотов» не прочитаешь.

Вот с этого места можно было бы устроить флейм? Книжку то сами читали, что позволяете себе такие утверждения?

В исходной задаче ни про EFS (не понятно, при чем тут шифрующая файловая система) ни про наличие каких либо бекапов (которые кстати всё равно не делают приватные ключи извлекаемыми) речи не шло.

LattyF пишет

Все так как вы написали, только для MS. Птица продукт кросплатформенный и ориентирован в первую очередь не на MS, а на пользователя. Многоточие...

Я отвечаю на вопрос конкретного человека, который писал: «2. Сертификат получал несколько месяцев назад, во время использования IE 6». IE 6, насколько мне хватает моего скудного ума (как вы тонко намекнули чуть выше) - это Internet Explorer 6.x компании Microsoft, она же MS. От этого угла и пляшем.

LattyF пишет

Почитайте статью, там будет много неожиданных открытий для вас.

Да ну! ;)

Ну теперь понятно, почему речь про MS?

Отсутствует

 

№929-08-2005 01:39:18

LattyF
Участник
 
Группа: Members
Откуда: г. Самара
Зарегистрирован: 19-06-2005
Сообщений: 2924

Re: Импорт сертификата X.509 для S/MIME

Так гораздо лучше ;) Не будем развевать флейм. Просто возмутил ваш ответ. Я же отвечал не конкретно на ваш пост, а делился опытом в смежных областях.

Из бекапа действительно ничего извлечь нельзя. Я никогда с сертификатами S/MIME не работал, только с сертификатами EFS. Так что советовать по теме особо не могу. Просто надеялся на здравый смысл разработчиков винды (уже смешно :)). Если там действительно нельзя никак экспортировать закрытый ключ, то я еще удивляюсь интеллекту разработчиков. Неужели даже не предусмотрено никаких средств? Ну как, для сертификатов EFS, где пользователь с правами воостановителя системы может расшифровать данные другого пользователя, при наличии сертификата.

Вот нашел по теме, правда для IE5:

Exporting a Certificate

You can export a certificate using either Internet Explorer 5 or Outlook Express.

Using Internet Explorer 5

Complete the following steps to export a certificate from Internet Explorer 5:
 
1. Open Internet Explorer 5.
2. Select Tools-->Internet Options. The Internet Options dialog box appears.
3. Click the Content tab.
4. Click the Certificates button. The Certificate Manager dialog box appears.
5. Click the Personal tab.

The tab lists your certificates and lets you choose a certificate for export and import.

6. Select the certificate to export.
7. Click the Export button. The Certificate Manager Export Wizard appears.

Follow the instructions to complete the wizard. Select these options in the following screens:

Выделить код

Код:

Screen                                   Action 
Export Private Key with Certificate      Select the "Yes, export the private key" button. 
Certificate Export File                  Select the "Personal Information Exchange" and "Enable strong protection" options. 
Password Protection for the Private Key  In the Password and Confirm password fields, enter a password for your certificate. 
Export File Name                         In the File name field, enter the path and filename to which you want to export the certificate.

After you have completed the wizard, a message appears that says, "The export was completed successfully."
 
8. Click OK. You have completed the export process.

Отредактировано LattyF (29-08-2005 01:40:21)


Black holes were created when the God divided by zero.

Отсутствует

 

№1029-08-2005 18:48:54

Вий
Участник
 
Группа: Members
Зарегистрирован: 29-04-2005
Сообщений: 117

Re: Импорт сертификата X.509 для S/MIME

LattyF,  SOb
Спасибо за участие, но ссорится мне кажется не нужно. А то так кто почитает и участвовать не захочет.

Если разберетесь в чем проблема, напишите в форум.

Частично разобрался все же. В Thunderbird сертификат импортировал. Пришлось сделать следующее:
- Из хранилища Windows сделал повторный экспорт сертификата в другой файл. Указал новый пароль (я предполагаю, что во время предыдущей операции экспортирования я не переключил раскладку клавиатуры и указал пароль кириллицей, хотя когда выносил свой вопрос, то вводить пробовал в обеих раскладках)
- Произвел импорт сертификата из нового файла. Как в пункте 3 так и в пункте 4 своего вопроса ввел один и тот же пароль, который выполнен уже в латинской раскладке клавиатуры.
Однако вопросы остались. Например не получилось сделать импорт того же сертификата в Mozilla Mail. При  первом же вопросе не принимается пароль, не понимаю, повторно появляется то же окно. Что такое все таки этот мастер-пароль для программное устр.? Видимо здесь нужно еще разбираться. Я этот пароль не задавал. Какой он по умолчанию что ли? Не знаю как правильно задать вопрос (видимо это пароль на само хранилище). Этот пароль можно сбросить, но тогда выдается предупреждение о том, что все сертификаты менджера будут уничтожены.
С паролем на резервную копию - видимо это пароль на сам сертификат.


P/S Думаю, что когда получу ответы на все эти вопросы с установкой, в новой теме можно будет пообсуждать настройки и использование S/MIME.

Отредактировано Вий (29-08-2005 19:08:39)


ASP Linux

Отсутствует

 

№1130-08-2005 19:29:40

Вий
Участник
 
Группа: Members
Зарегистрирован: 29-04-2005
Сообщений: 117

Re: Импорт сертификата X.509 для S/MIME

Все сделал.
Сбрасываем мастер-пароль. Созлаем новый мастер пароль и делаем импорт сертификата, где пароль к резервной копии это пароль к сертификату! Мастер пароль - это пароль к хранилищу сертификатов.
Скоро открою новоую тему - использование S/MIME. Настройки, тонкости работы и т.п.

Отредактировано Вий (30-08-2005 19:30:45)


ASP Linux

Отсутствует

 

№1201-09-2005 00:18:43

LattyF
Участник
 
Группа: Members
Откуда: г. Самара
Зарегистрирован: 19-06-2005
Сообщений: 2924

Re: Импорт сертификата X.509 для S/MIME

Так я как понял, галочка (про экспорт секретного ключа) все-таки работает? ;) Зря, получается, на программистов майкрософта наезжал?


Black holes were created when the God divided by zero.

Отсутствует

 

№1301-09-2005 08:58:42

SOb
Участник
 
Группа: Members
Зарегистрирован: 26-03-2005
Сообщений: 93

Re: Импорт сертификата X.509 для S/MIME

LattyF пишет

Так я как понял, галочка (про экспорт секретного ключа) все-таки работает? ;) Зря, получается, на программистов майкрософта наезжал?

Вий, а в окне "Your Certificates" ваш сертификат видно? Или он появился в окне "Other People's"?

P.S.: Как эти закладки называются по-русски я не знаю.

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]