Полезная информация

Будьте в курсе последних изменений в мире Mozilla, следя за нашим микроблогом в Twitter.

№122-06-2005 12:32:39

Hippis
Участник
 
Группа: Members
Откуда: Томск
Зарегистрирован: 22-06-2005
Сообщений: 7

ТВ, шифрование и ЭЦП

Кто подкажет как в ТВ прописать имеющийся на USB-ключе eToken сертификат с закрытым ключем?

В винде он прописан, Outlook Expr его видит и нормально работает (шифрует и подписывает).
Когда пытаешься в настройках ТВ найти сертификаты он пишит что сертификаты не найдены.
Если из Outlook Expr экспортировать, то экспортируется только без закрытого ключа (тогда нет шифрования). Если экспортировать с закрытым ключем, то Outlook Expr пишит что экспорт успешно завершон , но самого файла экспорта в указанной папке нет и нет вообще на компе.
Кроме того даже полученные Outlook Expr сертификаты от сторонних лиц прописать в ТВ не удается.:(

Отсутствует

 

№222-06-2005 13:45:47

SOb
Участник
 
Группа: Members
Зарегистрирован: 26-03-2005
Сообщений: 93

Re: ТВ, шифрование и ЭЦП

Hippis пишет

Кто подскажет как в ТВ прописать имеющийся на USB-ключе eToken сертификат с закрытым ключом?

В винде он прописан, Outlook Expr его видит и нормально работает (шифрует и подписывает).
Когда пытаешься в настройках ТВ найти сертификаты он пишет что сертификаты не найдены.
Если из Outlook Expr экспортировать, то экспортируется только без закрытого ключа (тогда нет шифрования). Если экспортировать с закрытым ключом, то Outlook Expr пришет что экспорт успешно завершен , но самого файла экспорта в указанной папке нет и нет вообще на компе.
Кроме того даже полученные Outlook Expr сертификаты от сторонних лиц прописать в ТВ не удается.:(

Outlook Express работает с хранилищами сертификатов через стандартный виндовый CryptoAPI.
eToken является аппаратным PKCS#11 токеном (PKCS#11 hardware token), библиотеку для взаимодействия его и CryptoAPI (eTpkcs11.dll) писал Aladdin (производитель eToken)  - она ставится при установке RTE. Т.о. для всех программ, использующих CryptoAPI eToken оказывается подключен по умолчанию.
В Mozilla по-умолчанию используется своя собственная библиотека, который также реализует PKCS#11 токен, только программный (PKCS#11 software token), для подключения внешней библиотеки делаем следующее:

открываем Tools\Options\Advanced\Certificates
нажимаем Manage Security Devices
нажимает Load
в поле Module Name вписываем что-то вроде Aladdin New PKCS#11 Module
в поле Module filename вписываем упомянуты выше eTpkcs11.dll с полным путем, обычно c:\windows\system32\eTpkcs11.dll
нажимаем OK
еще раз OK
нажимаем кнопку Manage Certificates, будет запрошен PIN к eToken и вуаля, получите ваши сертификаты. ;)

P.S.: Т.к. на пост был натравлен проверяльщик орфографии, то были исправлены не только мои ошибки.

Отредактировано SOb (22-06-2005 13:50:55)

Отсутствует

 

№322-06-2005 14:06:40

Hippis
Участник
 
Группа: Members
Откуда: Томск
Зарегистрирован: 22-06-2005
Сообщений: 7

Re: ТВ, шифрование и ЭЦП

Подключить eToken к ТВ удалось (спасибо за подсказачку на dll)
Подключились 2 хранилища с состояниями - "Не присутствует" и "Зарегестрирован в системе"
Но все равно при выборе сертификатов в настройке учетной записи ТВ выдает что Менеджер сертификатов не может найти действующий сертификат.
Как быть.

Отсутствует

 

№422-06-2005 14:33:35

SOb
Участник
 
Группа: Members
Зарегистрирован: 26-03-2005
Сообщений: 93

Re: ТВ, шифрование и ЭЦП

Hippis пишет

Подключить eToken к ТВ удалось (спасибо за подсказачку на dll)
Подключились 2 хранилища с состояниями - "Не присутствует" и "Зарегестрирован в системе"
Но все равно при выборе сертификатов в настройке учетной записи ТВ выдает что Менеджер сертификатов не может найти действующий сертификат.
Как быть.

Меню Tools, Account Settings, Security.
Выбрать сертификаты для подписи и для шифрования.

Отсутствует

 

№522-06-2005 14:42:38

Hippis
Участник
 
Группа: Members
Откуда: Томск
Зарегистрирован: 22-06-2005
Сообщений: 7

Re: ТВ, шифрование и ЭЦП

Вот именно тамто и выдает, что Менеджер сертификатов не может обнаружить действительный сертификат, который мог бы использоваться для ... (в зависимости от кнопки)

Отсутствует

 

№622-06-2005 14:58:10

SOb
Участник
 
Группа: Members
Зарегистрирован: 26-03-2005
Сообщений: 93

Re: ТВ, шифрование и ЭЦП

Hippis пишет

Вот именно тамто и выдает, что Менеджер сертификатов не может обнаружить действительный сертификат, который мог бы использоваться для ... (в зависимости от кнопки)

Выделить сертификат CA в отдельный файл, импортировать его в TB поставив все галочки в окне с выбором допустимых целей использования.
А откуда вообще взялись сами сертификаты на eToken-е?

Отсутствует

 

№723-06-2005 05:10:31

Hippis
Участник
 
Группа: Members
Откуда: Томск
Зарегистрирован: 22-06-2005
Сообщений: 7

Re: ТВ, шифрование и ЭЦП

По регламенту своей работы необходимо подписывать электронную корреспонденцию электронной подписью, да еще и шифровать. Поентому в Крипто-Про был получен этот самый eToken, в котором 2 контейнера хранения. Личный сертификат с закрытым ключом. Письма отправляются не только через почтовики, но еще и через спецпрограммы. При отправке через Outlook выводится окно с выбором контейнера и вводом PIN. Причем контейнеры определены как «AKS ifdh 0» и «AKS ifdh 1» а в Mozilla Thunderbird подключились как «AKS ifdh 0» и «eToken» причем определен в системе только последний а «AKS ifdh 0» запустить не удается (кнопка на вкладочке управления устройствами в ТВ недоступна).
До этого всегда пользовался Operой и встроенным почтовиком был доволен, Пока не пришлось включить этот самый eToken (В Опере нет поддержки сертификатов), а Outlook меня угнетает, не зная чем, но что-то как-то не по душе.

Отсутствует

 

№823-06-2005 08:28:53

Hippis
Участник
 
Группа: Members
Откуда: Томск
Зарегистрирован: 22-06-2005
Сообщений: 7

Re: ТВ, шифрование и ЭЦП

Выделить сертификат CA в отдельный файл, импортировать его в TB поставив все галочки в окне с выбором допустимых целей использования.

Выделить то выделил, и даже импортировал, но только в Authorities, потому что сертификат с расширением *.cer (тудаже вставил и сертификат Крипто-Про которые всю енту бадягу и выдали)

А для того чтобы поставить сертификат на шифрование необходимо его выделять с закрытым ключем, а это делается через файл обмена личной информацией PKCS#12 files (*.pfx). Так вот выделить его с данным расширением не удается, выходит сообщение что экспорт произведен успешно, но файла НЕТ.
А для того чтоб прописать сертификат в ТВ Your Certificates обязательно нужен файл *.pfx

Отсутствует

 

№923-06-2005 09:35:06

SOb
Участник
 
Группа: Members
Зарегистрирован: 26-03-2005
Сообщений: 93

Re: ТВ, шифрование и ЭЦП

Резюме, пожалуй.
Если сертфикаты выдавал Крипто-Про, то они выпущены с использованием ГОСТ алгоритмов и использовать их в любых продуктах Mozilla в настоящий момент не представляется возможным.

http://www.cryptopro.ru/CryptoPro/forum/myforum.asp?q=1287

Отредактировано SOb (23-06-2005 13:52:19)

Отсутствует

 

№1003-01-2006 17:49:03

Мыколка
Участник
 
Группа: Members
Зарегистрирован: 19-12-2005
Сообщений: 14

Re: ТВ, шифрование и ЭЦП

Здравствуйте!

Может ли кто подсказать?

Если импортировать в Thunderbird сертификаты X.509, то где они будут физически располагаться? В профиле?


С уважением.

Отсутствует

 

№1103-01-2006 23:33:11

SOb
Участник
 
Группа: Members
Зарегистрирован: 26-03-2005
Сообщений: 93

Re: ТВ, шифрование и ЭЦП

Мыколка пишет

Здравствуйте!

Может ли кто подсказать?

Если импортировать в Thunderbird сертификаты X.509, то где они будут физически располагаться? В профиле?

Видимо да. И видимо в 3-х файлах с расширением DB (если конечно речь идет об импорте не только сертификатов, но и ключей).

Отсутствует

 

№1204-01-2006 00:14:29

Lustermaf
Участник
 
Группа: Members
Зарегистрирован: 26-03-2005
Сообщений: 814

Re: ТВ, шифрование и ЭЦП

Мыколка пишет

Если импортировать в Thunderbird сертификаты X.509, то где они будут физически располагаться? В профиле?

Да, в профиле.
См. файлы key3.db, cert7.db/cert8.db и secmod.db.

Отсутствует

 

№1304-01-2006 02:11:43

Мыколка
Участник
 
Группа: Members
Зарегистрирован: 19-12-2005
Сообщений: 14

Re: ТВ, шифрование и ЭЦП

SOb
Lustermaf

Большое спасибо Вам за ответы.
Это то, что нужно.

Дело в том, что профиль хранится в томе, созданном с помощью TrueCrypt (совет Lustermaf'а).
http://forum.mozilla.ru/viewtopic.php?pid=53164#p53164


С большим к Вам уважением,
Мыколка.

Отредактировано Мыколка (04-01-2006 02:17:43)

Отсутствует

 

№1405-01-2006 11:48:36

SOb
Участник
 
Группа: Members
Зарегистрирован: 26-03-2005
Сообщений: 93

Re: ТВ, шифрование и ЭЦП

Мыколка пишет

SOb
Lustermaf

Большое спасибо Вам за ответы.
Это то, что нужно.

Дело в том, что профиль хранится в томе, созданном с помощью TrueCrypt (совет Lustermaf'а).
http://forum.mozilla.ru/viewtopic.php?pid=53164#p53164

А для чего нужно было знать, где хранятся сертификаты/ключи?

Отсутствует

 

№1505-01-2006 18:22:22

Мыколка
Участник
 
Группа: Members
Зарегистрирован: 19-12-2005
Сообщений: 14

Re: ТВ, шифрование и ЭЦП

SOb, здравствуйте.

Дело в том, что я не единственный пользователь на компьютере.

Для подтверждения личности в письмах использую в том числе сертификаты X.509.

Но, в отличие в Outlook Express, где, на мой взгляд, более продумана работа с ними, в программе Thunderbird, когда подкрепляю к письму сертификат, с меня не спрашивается даже пароль к закрытому ключу. Программа сама его запоминает.

И далее, если кто-то узнает мой Мастер-пароль, то сможет не только загрузить и читать мою почту, но отправлять письма, заверенные моим сертификатом (!).

Поэтому профиль с сохранёнными сертификатами хранится в зашифрованном томе.

Так сказать, от греха подальше.


---
Теперь знаю, что они хранятся в профиле.
Ещё раз Вам спасибо.

С уважением.

Отсутствует

 

№1606-01-2006 10:33:46

SOb
Участник
 
Группа: Members
Зарегистрирован: 26-03-2005
Сообщений: 93

Re: ТВ, шифрование и ЭЦП

Мыколка пишет

...
Но, в отличие в Outlook Express, где, на мой взгляд, более продумана работа с ними, в программе Thunderbird, когда подкрепляю к письму сертификат, с меня не спрашивается даже пароль к закрытому ключу. Программа сама его запоминает.

Совершенно верно. Спрашивает единственный раз.

Мыколка пишет

И далее, если кто-то узнает мой Мастер-пароль, то сможет не только загрузить и читать мою почту, но отправлять письма, заверенные моим сертификатом (!).

Ну загрузить и читать почту, если я верно понимаю, он может и без МП. MBX файлы на диске можно открыть просто скопировав их в новый профиль.

Мыколка пишет

Поэтому профиль с сохранёнными сертификатами хранится в зашифрованном томе.

Купи себе Aladdin eToken и храни все сертификаты и ключи на нем (а также логины и пароли, ПО это позволяет) и не будет тебе проблем. Вынул и порядок. :) C продуктами Mozilla сей девайс работает отлично.
P.S.: Метод вынимания, как известно, не является 100% защитой.

Мыколка пишет

Так сказать, от греха подальше.

Не согрешишь - не покаешься. Не покаешься - не спасешься.

Для меня было не ясно, зачем точно знать, где хранятся сертификаты/ключи, если всё равно профиль сохраняется. Теперь понял. Не было уверенности в том, что они храняться именно в профиле.

Отсутствует

 

№1727-06-2006 11:00:16

Мыколка
Участник
 
Группа: Members
Зарегистрирован: 19-12-2005
Сообщений: 14

Re: ТВ, шифрование и ЭЦП

Не может ли кто подсказать, можно ли перенести уже существующие сертификаты  в Thunderbird на токен? Если да, тот как?

--
С уважением.

Отредактировано Мыколка (27-06-2006 11:01:37)

Отсутствует

 

№1828-06-2006 22:52:20

Unghost
Призрак-админ
 
Группа: Administrators
Откуда: Moscow, Russia
Зарегистрирован: 08-10-2004
Сообщений: 11771

Re: ТВ, шифрование и ЭЦП

Мыколка

Не может ли кто подсказать, можно ли перенести уже существующие сертификаты  в Thunderbird на токен?

какой именно e-token?


Do not meddle in the affairs of Wizards, for they are subtle and quick to anger.

Отсутствует

 

№1929-06-2006 16:57:26

Мыколка
Участник
 
Группа: Members
Зарегистрирован: 19-12-2005
Сообщений: 14

Re: ТВ, шифрование и ЭЦП

Unghost, здравствуйте.

Alladin eToken PRO/64K, несертифицированный.

Отсутствует

 

№2029-06-2006 23:00:11

SOb
Участник
 
Группа: Members
Зарегистрирован: 26-03-2005
Сообщений: 93

Re: ТВ, шифрование и ЭЦП

Мыколка пишет

Unghost, здравствуйте.

Alladin eToken PRO/64K, несертифицированный.

А в какой момент возникла проблема?
Сертификат и личный ключ из Thunderbird выгружаются (бекап)?

Отсутствует

 

№2101-07-2006 15:42:58

Мыколка
Участник
 
Группа: Members
Зарегистрирован: 19-12-2005
Сообщений: 14

Re: ТВ, шифрование и ЭЦП

SOb
Дело в том, что в ближайшие пару дней должен получить токен.
Хотел бы заранее узнать, насколько сложно перенести уже существующие сертификаты (2 шт.) формата X.509 на него.
Если Вы хотя бы в общих чертах расскажите об этом, буду чрезвычайно признателен.

Сертификат и личный ключ из Thunderbird выгружаются (бекап)?

Да, Вы правы, благополучно выгружаются.

Отсутствует

 

№2201-07-2006 15:51:33

Unghost
Призрак-админ
 
Группа: Administrators
Откуда: Moscow, Russia
Зарегистрирован: 08-10-2004
Сообщений: 11771

Re: ТВ, шифрование и ЭЦП

Мыколка
Хотел бы заранее узнать, насколько сложно перенести уже существующие сертификаты (2 шт.) формата X.509 на него.

Ставишь eToken RTE и русификатор к нему, открываешь eToken Properties и импортируешь туда сертификаты, предварительно экспортированные из Thunderbird. В документации все довольно подробно описано.


Do not meddle in the affairs of Wizards, for they are subtle and quick to anger.

Отсутствует

 

№2301-07-2006 16:06:14

Мыколка
Участник
 
Группа: Members
Зарегистрирован: 19-12-2005
Сообщений: 14

Re: ТВ, шифрование и ЭЦП

Unghost
Спасибо!

Отсутствует

 

№2412-07-2006 21:15:49

Мыколка
Участник
 
Группа: Members
Зарегистрирован: 19-12-2005
Сообщений: 14

Re: ТВ, шифрование и ЭЦП

Снова здравствуйте!

Не мог бы кто подсказать?

Заполучил в пользование eToken Pro, установил к нему драйвера (RTE_3.65), загрузил на него 2 сертификата.

Далее в Thunderbird проделал следующее (как велел SOb):

открываем Tools\Options\Advanced\Certificates
нажимаем Manage Security Devices
нажимает Load
в поле Module Name вписываем что-то вроде Aladdin New PKCS#11 Module
в поле Module filename вписываем упомянуты выше eTpkcs11.dll с полным путем, обычно c:\windows\system32\eTpkcs11.dll
нажимаем OK
еще раз OK
нажимаем кнопку Manage Certificates, будет запрошен PIN к eToken и вуаля, получите ваши сертификаты. wink

Захожу "Инструменты" - "Настройки" - "Устройства защиты", появилось "Alladin New PKCS#11 module" и два ответвления от него:
-<имя токена>
-AKS ifdh 1

Потом захожу в "Просмотр сертификатов", ввожу пин-код - показаны оба сертификата.

Но вот незадача:
В "Инструментах" - "Параметры учетной записи" - Любой из ящиков - "Защита" - "Выбрать" - доступен для выбора только 1 сертификат.

Как выбрать второй сертификат (соответственно для "защиты" второго почтового ящика)?


С уважением.

Отсутствует

 

№2512-07-2006 21:22:19

Мыколка
Участник
 
Группа: Members
Зарегистрирован: 19-12-2005
Сообщений: 14

Re: ТВ, шифрование и ЭЦП

Кстати говоря, когда токен извлечен, в "менеджере устройств" - "Alladin New PKCS#11 module" - <имя токена> изменилось на "AKS ifdh 0".

Может, что-то надо прописать для "AKS ifdh 1", дабы можно было работать со вторым сертификатом?


С уважением.

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]