Бложег: Генерация запроса на сертификат и загрузка сертификата в JKS

Что такое сертификат и почему на него следует ссылаться

Подписание (шифрование) данных – наша самая распространенная операция по обеспечению безопасности в сети. Подпись выполняет двойную функцию. Первая функция – обеспечить целостность данных, доказать, что данные не были подделаны и не были подделаны во время передачи, а вторая функция – предотвратить отказ издателя данных что он опубликовал данные.

В подписи используется как алгоритм асимметричного шифрования, так и алгоритм дайджеста сообщения. При подписании фрагмента данных он сначала выполняет операцию дайджеста сообщения для этого фрагмента данных, чтобы сгенерировать дайджест, а затем шифрует дайджест с помощью закрытого ключа издателя.

Например, наиболее распространенный метод вызова интерфейса API при разработке общедоступной платформы WeChat – это отсортировать параметры в лексикографическом порядке, а затем соединить имя параметра и значение параметра в строку. Комбинированная строка эквивалентна абстрактному, которое мы о чём тут говорите, а тут тезисы Зашифрованы платформенным ключом.

После того, как получатель (клиент) получает данные, он сначала расшифровывает их с помощью открытого ключа издателя, чтобы получить дайджест исходных данных, а затем вычисляет дайджест полученных данных. Если два дайджеста совпадают, данные не были подделаны.

В то же время, поскольку закрытый ключ издателя не является публичным, пока получатель может успешно расшифровать данные с помощью открытого ключа издателя, это означает, что данные должны поступать от издателя. Итак, как определить, что определенный открытый ключ должен принадлежать определенному издателю?

Для этого требуется сертификат. Сертификат выдается авторитетным органом сертификации, и его содержимое содержит идентификационные данные владельца сертификата и его открытый ключ и подписывается авторитетным органом сертификации с использованием его закрытого ключа.

Издатель информации публикует свой открытый ключ, публикуя сертификат в сети. Сертификат подписывается уполномоченным органом по сертификации. Орган по сертификации также раскрывает открытый ключ организации, выпуская свой сертификат. Сертификат органа по сертификации является выдается более авторитетным сертификатом.

Центр сертификации подписывает, образуя цепочку сертификатов. Сертификат в верхней части цепочки сертификатов называется корневым сертификатом, а корневой сертификат является только самозаверяющим. Короче говоря, для подписи и аутентификации контента, распространяемого в сети, необходимо использовать сертификат. Что касается стандартов, за которыми следуют сертификаты, наиболее популярным является X.509.

Где в windows удалить сертификат, чтобы он не отображался на сайтах

Где в Windows хранятся сертификаты

Существует множество сайтов, авторизация на которых происходит по сертификату электронной подписи. Это различные государственные порталы (например, сайт налоговой, госуслуги), торговые площадки и многие другие. Иногда возникает необходимость удалить сертификаты из браузера: например, список сертификатов становится настолько большим, что в нем уже сложно ориентироваться и выбирать нужный.

Удалить сертификат из браузера можно следующим способом: зайти в “Пуск” – “Панель управления” – “Свойства браузера”:

Перейти на вкладку “Содержание” – нажать кнопку “Сертификаты”:

Затем перейти сверху на нужную вкладку (обычно нужна вкладка “Личные”) – выделить нужный сертификат и нажать внизу кнопку “Удалить”:

НО: проблема в том, что описанным выше способом не всегда получается удалить нужный сертификат. Я рекомендую для полного доступа к хранилищу сертификатов Windows воспользоваться оснасткой управления сертификатами:

Нажмите на клавиатуре сочетание клавиш WIN R:

В открывшемся окошке “Выполнить” введите mmc и нажмите “ОК”:

В открывшемся окне идем в “Файл” – “Добавить или удалить оснастку”:Сертификаты – жмем кнопку “Добавить”:для пользователя:

Потом снова жмем “Добавить” и выбираем для компьютера:

В итоге получается вот так — жмем здесь “ОК”:Сертификаты – текущий пользователь” и “Сертификаты (локальный компьютер)”:

Пройдя по пути “Сертификаты – текущий пользователь” – “Личное” – “Сертификаты”, в правой части мы увидим установленные на компьютере сертификаты.

Мы можем щелкнуть правой клавишей мыши по любому из сертификатов и при необходимости удалить его через контекстное меню:

Генерация сертификатов и управление ими (на основе keytool)

Keytool – это инструмент управления сертификатами данных Java. Keytool хранит ключи и сертификаты в файле под названием keystore. В хранилище ключей он содержит два типа данных: Key entity-Key (секретный ключ) или закрытый ключ и парный открытый ключ (с использованием асимметричного шифрования. ) доверенные объекты сертификатов (доверенные записи сертификатов) – только открытый ключ

Описание часто используемого параметра JDK keytool (разные версии имеют различия, подробности см. по ссылке на официальный документ в [Приложении]):

Google chrome / chromium

Как уже было сказано, при работе на Linux, Google Chrome использует библиотеку Mozilla Network Security Services (NSS) для выполнения верификации сертификатов.

Корневые CA сертификаты, которые добавил пользователь, хранятся в файле ~/.pki/nssdb/cert9.db, их можно просмотреть командой:

certutil -L -d ~/.pki/nssdb

Поскольку Chrome не может удалить сертификаты из хранилища NSS, то если вы отключите некоторые из них в настройках веб браузера (Privacy and security → Manage certificates → Authorities), то в том же файле, где хранятся добавленные пользователем корневые CA сертификаты, будут сохранены изменения о полномочиях отключённого сертификата:

Используемые в Google Chrome / Chromium корневые CA сертификаты в Linux можно посмотреть следующим причудливым способом:

1. Найдите расположение файла libnssckbi.so (как было сказано в предыдущем разделе, в нём NSS хранит доверенные корневые сертификаты):

locate libnssckbi.so

Примеры расположений этого файла:

• /usr/lib/libnssckbi.so
• /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so

2. Теперь выполните команду вида:

ln -s /ПУТЬ/ДО/libnssckbi.so ~/.pki/nssdb

Например:

ln -s /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so ~/.pki/nssdb

2. Затем запустите команду:

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

Вы увидите доверенные корневые сертификаты, которые использует Google Chrome в Linux.

Также вы можете просмотреть корневые CA сертификаты в настройках браузера:

Конфиденциальность и безопасность (выбрать «Ещё») → Настроить сертификаты → Центры сертификации, на английском это Privacy and security → Manage certificates → Authorities.

Аппаратные криптографические модули (hsm)

HSM — ещё одно аппаратное решение для хранения ключей, особенно если вы не хотите полагаться на отдельные токены либо это кажется слишком обременительным. В то время как токены больше ориентированы на ручной ввод или отдельные приложения (например, подписание небольшого количества документов или кода, аутентификация в VPN или других сетях)

Традиционно HSM — это локальные физические устройства, требующие квалифицированных ресурсов для управления и обеспечения базовых требований и SLA. Обслуживание HSM может оказаться дорогим и ресурсоёмким процессом, что в прошлом препятствовало распространению этой технологии.

Примером может служить знакомый многим сервис Key Vault в облаке Microsoft Azure, которое хранит криптографические ключи в облачном HSM от Microsoft. Если у вас небольшая организация, которая не позволит себе покупку и управление собственным HSM, то это отличное решение, которое интегрируется с публичными центрами сертификации, включая GlobalSign.

Если вы рассматриваете вариант с подписью документов, то недавно мы запустили новую службу Digital Signing Service, где тоже используется облачное хранилище HSM для закрытых ключей. Стоит отметить, что новая служба поддерживает индивидуальные подписи всех сотрудников.

В прошлом в большинстве HSM-решений для подписи поддерживались только идентификаторы на уровне отделов или организаций (например, бухгалтерия, маркетинг, финансы), а не отдельных людей (например, Джон Доу). Следовательно, для работы на уровне отдельных сотрудников организациям приходилось разворачивать инфруструктуру токенов, которая, как мы отметили выше, может оказаться обременительной.

В-третьих, используйте инструмент keytool для создания сертификата.

а. Создайте файл сертификата yunbo.keystore.

b, соответствующее объяснение команды

D. Значение по умолчанию по умолчанию

Файл сертификатов cacerts

Файл сертификата находится в каталоге java.home jre lib security, который является репозиторием сертификатов CA системы Java.

Доверенный платформенный модуль (tpm)

Модули TPM сами по себе не новы, но всё чаще их используют для защиты закрытых ключей. Доверенный платформенный модуль можно использовать для хранения (или переноса) корневого ключа и защиты дополнительных ключей, созданных приложением. Ключи приложений нельзя использовать без TPM, что делает его очень полезным методом аутентификации для оконечных точек, таких как ноутбуки, серверы и производители устройств Интернета вещей.

IoT создал проблему, когда много анонимно взаимодействующих устройств облегчают хакерам перехват сообщений или имперсонификацию устройств. Модуль TPM внедряется ещё на этапе производства для защиты криптографического ключа и, следовательно, для надёжной идентификации устройства.

При производстве генерируется пара из закрытого и открытого ключей. Открытый ключ отправляется в центр сертификации для подписания и выдачи цифрового сертификата. Закрытый ключ никогда не покидает устройство. Он хранится на чипе и не может быть экспортирован/скопирован/уничтожен. Теперь сертификат — это паспорт устройства, а защищённый закрытый ключ формирует аппаратный корень доверия.

Мы тесно сотрудничаем с Infineon для разработки решений Интернета вещей, сочетающих идентификацию устройств на основе PKI с корнями доверия на основе TPM. Для получения дополнительной информации ознакомьтесь с подтверждением концепции: «Безопасная аутентификация и управление оборудованием с помощью облачных служб сертификатов GlobalSign и OPTIGA TPM от Infineon.»

Как удалить установленный сертификат windows 10

Иногда возникает необходимость удаления сертификатов из хранилища Windows, устаревших, поврежденных или сертификатов в которых больше нет необходимости.

Например неиспользуемых сертификатов для Кабинета Налогоплательщика РК, портала Статистики РК или других порталах использующих для входа сертификаты из хранилища Windows.

Есть два способа доступа к хранилищу сертификатов Windows, через свойства браузера Internet Explorer или через оснастку управления Windows.

Рассмотрим первый способ, позволяющий удалить сертификаты (ЭЦП) пользователя.

Для этого открываем Панель управления (в Windows 10 для этого щелкнет правой клавишей мыши по кнопке Пуск). В открывшейся Панели управления выбираем пункт Сеть и Интернет.

Скриншот: Открываем Панель управления

В открывшемся окне щелкнем по пункту Управление настройками браузера, появляется окно Свойства: Интернет.

Перейдем на вкладку Содержание, в ней нажмем на кнопку Сертификаты.

В окне Сертификаты мы можем удалить сертификат в котором больше нет необходимости.

Скриншот: Доступ к к окну управления сертификатами в хранилище Windows

Но используя данный способ мы видим не все установленные сертификаты и не ко всем сертификатам имеем доступ.

Для полного доступа в хранилищу сертификатов Windows используем доступ через оснастку управления.

Для этого либо в Командной строке, либо в окне Выполнить (вызывается комбинацией клавиш Windows R) вводим название оснастки — certmgr.msc

Оснастка позволяет получить полный доступ к хранилищу сертификатов Windows, как к сертификатам пользователя, так и корневым центрам сертификации.

Например список сертификатов отображаемый при входе в Кабинет налогоплательщика РК, отображается в папке Личное — Сертификаты.

По традиции, видео урок, если какие-то моменты остались непонятными:

Конфигурация клиента: импортируйте ключ для jvm клиента (импортируйте сертификат, выданный сервером, в jvm)

Сгенерированный сертификат может быть доставлен клиентским пользователям для связи SSL, или пакет jar, сопровождаемый электронной подписью, может использоваться для аутентификации издателя. Частое исключение: «Не найден доверенный сертификат» – основная причина в том, что клиент не импортировал сертификат, выданный сервером, в JVM, который можно использовать.

  1 keytool -import -trustcacerts -alias yunBo -keystore “%JAVA_HOME%/jre/lib/security/cacerts ” -file d:/jkstest/yunbo.cer -storepass “changeit” 

Сгенерированный сертификат может быть доставлен клиентским пользователям для связи SSL, или пакет jar, сопровождаемый электронной подписью, может использоваться для аутентификации издателя.

Частые исключения: «Не найден доверенный сертификат» – основная причина в том, что клиент не импортировал сертификат, выданный сервером, в JVM.

Вы можете использовать keytool -list -alias yunbo -keystore “% JAVA_HOME% / jre / lib / security / cacerts” -storepass changeit, чтобы проверить, действительно ли сертификат импортирован в JVM.

Описание примера:

Чтобы просмотреть информацию о сертификате в библиотеке сертификатов, вы можете использовать следующую команду

keytool -list -v -alias tomcat -keystore cacerts -storepass 666666

keytool -list -rfc -keystore e:/yushan.keystore -storepass 123456

keytool -list -v -keystore privateKey.store 

По умолчанию команда -list печатает отпечаток MD5 сертификата. Если указана опция -v, сертификат будет напечатан в читаемом формате, а если указана опция -rfc, сертификат будет выведен в пригодном для печати формате кодировки.

Чтобы удалить сертификат в библиотеке сертификатов, вы можете использовать следующую команду:

 keytool -delete -alias tomcat -keystore cacerts -storepass 666666  

Чтобы экспортировать сертификат в библиотеку сертификатов, вы можете использовать следующую команду

 keytool -export -keystore cacerts -storepass 666666 -alias yunbo -file d:/jkstest/yunbo.cer 

 keytool -export -alias yunbo -keystore e:/server.jks -file d:/jkstest/yunbo.crt -rfc -storepass changeit 

* Примечание: keystore.jks также может быть в формате .keystore; server.crt также может быть в формате .cer «-rfc» означает выходные файлы в base64, в противном случае – в двоичном формате.

Чтобы изменить пароль определенного сертификата (обратите внимание: некоторые цифровые сертификаты не имеют личного пароля, только открытый ключ, в этом случае эта команда недействительна)

Это интерактивно, после ввода команды вам будет предложено ввести пароль

keytool -keypasswd -alias yunbo -keystore cacerts 

Это не интерактивно, вы можете изменить его сразу после ввода команды

Keytool -keypasswd -alias yunbo -keypass 888888 -new 123456 -storepass 666666 -keystore cacerts

Изменить псевдоним:keytool -changealias -keystore mykeystore.keystore -alias текущий псевдоним -destalias новый псевдоним

Криптографические токены и смарт-карты

Как вскользь упомянуто выше, можно повысить безопасность, если хранить секретный ключ на отдельном оборудовании. Но есть большая разница между использованием криптографических токенов или смарт-карт и стандартных флэш-накопителей. С криптографическим оборудованием ключ генерируется на самом оборудовании и не экспортируется. Закрытый ключ никогда не покидает устройство, что сильно затрудняет постороннему получение доступа и компрометацию.

Примечание: если вы хотите дополнительно обезопасить закрытый ключ, который уже сгенерирован ранее (т. е. не на самом токене), то можно импортировать .pfx-файл на токен, а затем удалить оригинальный .pfx.

С токеном каждый раз при использовании сертификата нужно вводить пароль. Это значит, что даже если кто-то получит ваш токен, ему всё равно понадобится пароль. Хранение ключа в токене означает, что вы можете безопасно использовать один и тот же сертификат на нескольких компьютерах без необходимости создания нескольких копий и прохождения процесса экспорта/импорта.

Конечно, есть некоторые другие соображения, которые следует иметь в виду, если вы решите выбрать такой вариант. Кроме дополнительных сложностей управления токенами, такой вариант может не работать с автоматическими сборками из-за требования ввести пароль при каждом использовании сертификата.

Также нет никакого способа создать резервную копию сертификата, поскольку закрытый ключ не экспортируется (недостаток дополнительной безопасности). Наконец, в некоторых сценариях такой вариант хранения просто невозможен. Например, если специализированные устройства не поддерживают токены или смарт-карты. Или в ситуациях, когда сотрудники не имеют физического доступа к компьютеру, а работают с удалённых терминалов.

Преобразование формата сертификата

Преобразование формата сертификата происходит следующим образом:

Примечание. Служба сертификатов Alibaba Cloud Shield равномерно использует файлы цифровых сертификатов в формате PEM.

1. волиJKSФорматировать сертификат вPFXФормат (jks->pfx)

Вы можете использовать встроенный JDKKeytoolИнструмент для преобразования файла сертификата формата JKS в формат PFX.Например, вы можете выполнить следующую команду, чтобы преобразовать файл сертификата server.jks в файл сертификата server.pfx:

keytool -importkeystore -srckeystore D:server.jks -destkeystore D:server.pfx -srcstoretype JKS -deststoretype PKCS12

2. волиPFXФормат сертификата дляJKSформат

Вы можете использовать встроенный JDKKeytoolИнструмент,PFXФормат файла сертификата вJKSФормат.Например, вы можете выполнить следующую команду дляserver.pfxПреобразовать файл сертификата в server.jksФайл сертификата:

keytool -importkeystore -srckeystore D:server.pfx -destkeystore D:server.jks  -srcstoretype PKCS12 -deststoretype JKS

3. волиPEM/KEY/CRTФормат сертификата дляPFXформат

Вы можете использовать инструменты OpenSSL дляKEYФормат файла ключа иCRTОтформатировать файл открытого ключа вPFXФормат файла сертификата.Например, скопируйте файл ключа формата KEY (server.key) и файл открытого ключа формата CRT (server.crt) в каталог установки инструмента OpenSSL и используйте инструмент OpenSSL, чтобы выполнить следующую команду для Преобразуйте сертификат в файл сертификата server.pfx:

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

4. волиPFXПеревести наPEM/KEY/CRT

Можно использоватьOpenSSLИнструмент,PFXФормат файла сертификата вKEYФормат файла ключа иCRTФормат файла открытого ключа.Например, скопируйтеPFXСкопируйте файл сертификата формата вOpenSSLУстановочный каталог, используйте инструмент OpenSSL, чтобы выполнить следующую команду для преобразования сертификата вserver.

openssl pkcs12 -in server.pfx -nodes -out server.pem
openssl rsa -in server.pem -out server.key
 // Этот шаг преобразования предназначен для генерации закрытого ключа и файла сертификата приложения CSR с помощью инструмента Keytool, и с помощью этого метода вы можете отделить закрытый ключ при получении открытого ключа сертификата формата PEM.
openssl x509 -in server.pem -out server.crt

Создание и проверка эцп в gost-crypto-gui[править]

gost-crypto-gui — средство для создания электронной подписи и шифрования файлов.

Установить пакет gost-crypto-gui из репозитория можно, выполнив команду:

Запустить программу можно:

С её помощью можно подписывать и проверять подписи файлов:

Для создания электронной подписи файла необходимо:

1. Нажать кнопку «Подписать файл(ы)».
2. Выбрать файл, который необходимо подписать.
3. Выбрать сертификат и нажать кнопку «Далее»:

   

4. Ввести пароль на контейнер (если он был установлен):

   

5. Появится сообщение о подписанном файле:

   

Опции ЭП настраиваются в меню «Опции» (параметр «Отсоединенная подпись» не работает???):

Для проверки электронной подписи следует:

1. Нажать кнопку «Проверить подпись».
2. Выбрать подписанный файл.
3. Появится информация о сертификате подписи:

   

Создание и проверка эцп с использованием cptools[править]

Примечание: cptools доступна версии КриптоПро 5.

Запустить программу можно из консоли (должен быть установлен cprocsp-cptools-gtk из скачанного архива КриптоПро):

С помощью cptools можно подписывать и проверять подписи файлов.

Для создания электронной подписи файла необходимо:

1. В левом меню выбрать пункт «Создание подписи».
2. Выбрать файл, который необходимо подписать, нажав кнопку «Выбрать файл для подписи» (или ввести адрес файла в текстовое поле под кнопкой «Выбрать файл для подписи»).
3. Изменить имя файла подписи, если оно вас не устраивает:

   

4. Нажать кнопку «Подписать».
5. Ввести пароль на контейнер (если он был установлен).
6. Появится сообщение о подписанном файле: «Создание подписи завершилось успехом».

Для проверки электронной подписи следует:

1. В левом меню выбрать пункт «Проверка подписи».
2. Выбрать файл с подписью, нажав кнопку «Выбрать файл с подписью для проверки» (или ввести адрес файла в текстовое поле под этой кнопкой).
3. Нажать кнопку «Проверить подпись».
4. Появится информация о результате проверки:

   

Информацию о создании и проверки ЭЦП на веб-сайтах с помощью плагина КриптоПро можно найти в
руководстве разработчика КриптоПро ЭЦП Browser plug-in:

Создание контейнера[править]

Примечание: Для того, чтобы сертификат из контейнера можно было использовать через модуль pkcs11 (из пакета lsb-cprocsp-pkcs11) в браузере firefox-gost, необходимо создать его с -provtype 75 (поддержка ГОСТ-2001).

Внимание! C 1 января 2021 г. по указанию ФСБ РФ и Минкомсвязи всем аккредитованным УЦ запрещен выпуск сертификатов ЭП по ГОСТ 2001.
Ключи и запрос на сертификат необходимо формировать ГОСТ 2021.

Создадим контейнер с именем «test» в локальном считывателе HDIMAGE.

При установленном пакете cprocsp-rdr-gui-gtk будет показано графическое окно, где будет предложено перемещать указатель мыши или нажимать клавиши:

Примечание: Если такой пакет не установлен, будет предложено ввести любые символы с клавиатуры.

После этого будет предложено указать пароль на контейнер (можно указать пустой, тогда пароль запрашиваться не будет):

После указания пароля снова будет предложено перемещать указатель мыши.

Вывод команды:

CSP (Type:75) v4.0.9006 KC1 Release Ver:4.0.9708 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 6679219
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KC1 CSP
Container name: "test"
Signature key is not available.
Attempting to create a signature key...
a signature key created.
Exchange key is not available.
Attempting to create an exchange key...
an exchange key created.
Keys in container:
  signature key
  exchange key
Extensions:
  OID: 1.2.643.2.2.37.3.9

  OID: 1.2.643.2.2.37.3.10
Total: SYS: 0,030 sec USR: 0,160 sec UTC: 22,910 sec
[ErrorCode: 0x00000000]

Локальный контейнер создан.

В КриптоПро 5 появилась возможность интерактивно выбирать носитель и тип создаваемого контейнера. Теперь можно создавать неизвлекаемые контейнеры. Для этого необходимо выполнить команду, где testinside_2021 — имя контейнера:

Откроется окно выбора носителя и способа создания контейнера. Для некоторых носителей нет возможности выбрать способ создания контейнера (Рутокен S, JaCarta PKI):

Для некоторых носителей можно выбрать способ создания контейнера (Рутокен ЭЦП, JaCarta-2 PKI/ГОСТ).
Создание неизвлекаемого контейнера:

Создание обычного контейнера:

Установка криптопро csp[править]

Архив с программным обеспечением (КриптоПро CSP 4.0 R4 — сертифицированная версия, КриптоПро CSP 5.0 — несертифицированная) можно загрузить после предварительной регистрации:

• linux-ia32.tgz (19,3 МБ, для i586) — для 32-разрядных систем (x86, rpm);
• linux-amd64.tgz (20,1 МБ, для x86_64) — для 64-разрядных систем (x64, rpm).

Внимание! По умолчанию при скачивании с сайта КриптоПро выдаётся лицензия на три месяца

1. Установите пакет cryptopro-preinstall:

Этот пакет установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП).

Примечание: Пакет cryptopro-preinstall вытягивает зависимости libpangox-compat, opensc, pcsc-lite, pcsc-lite-rutokens, pcsc-lite-ccid, newt52.

2. Распакуйте архив, скачанный с официального сайта КриптоПро:

Таблица 1. Описание необходимых пакетов КриптоПро.

3. Установите пакеты КриптоПро:

Примечание: Для 32-битной версии вместо последнего пакета — lsb-cprocsp-rdr-4*

Примечание: Если возникнут проблемы с отображением контейнеров на Рутокен S — удалите pcsc-lite-openct

Примечание: Для установки cprocsp-rdr-jacarta может понадобиться предварительно удалить openct.

Также можно выполнить установку КриптоПро, запустив ./install_gui.sh в распакованном каталоге и выбрав необходимые модули:

Примечания:

Внимание! Пакеты КриптоПро после обновления утрачивают работоспособность, так что рекомендуется удалить все пакеты и установить их заново.

Для обновления КриптоПро необходимо:

1. Запомнить текущую конфигурацию:
2. Удалить штатными средствами ОС все пакеты КриптоПро:

3. Установить аналогичные новые пакеты КриптоПро.
4. При необходимости внести изменения в настройки (можно просмотреть diff старого и нового /etc/opt/cprocsp/config[64].ini).
5. Ключи и сертификаты сохраняются автоматически.

Формат сертификата

Вы можете просто отличить файл сертификата с расширением суффикса, используя следующие методы:

1. *.DERили*.CERФайл: такой файл сертификата находится в двоичном формате и содержит только информацию о сертификате, а не закрытый ключ.
2. *.CRTФайл: такой файл сертификата может быть в двоичном формате или в текстовом формате, как правило, в текстовом формате.*.DERи*.CERФайл сертификата такой же.
3. *.PEMФайлы. Такие файлы сертификатов обычно имеют текстовый формат и могут содержать сертификаты, закрытые ключи или оба.*.PEM Если файл содержит только закрытый ключ, он обычно заменяется файлом * .KEY.
4. *.PFXили*.P12Файл: такой файл сертификата находится в двоичном формате и содержит как сертификат, так и закрытый ключ, и обычно защищен паролем.
   Вы также можете использовать Блокнот для непосредственного открытия файла сертификата. Если отображаются обычные буквенно-цифровые символы, например:

—–BEGIN CERTIFICATE—–
MIIE5zCCA8 gAwIBAgIQN whYc2BgzAogau0dc3PtzANBgkqh......
—–END CERTIFICATE—–

Затем файл сертификата в текстовом формате.

Если это существует——BEGIN CERTIFICATE——Тогда это файл сертификата., если он существует—–BEGIN RSA PRIVATE KEY—–, То это файл с закрытым ключом.

（Java、.Net、Php）Неправильный формат сертификата, требуемый языком. Например, мы используем Javajks, .Net используют pfx и cer, Php использует pem и cer；

Он в основном делится на две категории: одна – это формат файла хранилища ключей, а другая – формат файла сертификата;

Формат файла хранилища ключейKeystore】

Формат файла сертификата [Certificate】

jks – это формат закрытого ключа сертификата, поддерживаемый инструментом сертификатов keytools JAVA.pfx – это формат закрытого ключа, поддерживаемый Microsoft.cer – это открытый ключ сертификата.Если вы хотите сделать резервную копию сертификата лично, не забудьте создать резервную копию в формате jks или pfx, иначе вы не сможете восстановить его.

Проще говоря, cer – это адрес вашего домашнего адреса электронной почты. Вы можете дать этот адрес многим людям и разрешить им отправлять почту на него.pfx или jks – это ключ к вашему почтовому ящику. У других это есть и они могут притвориться, что идут в ваш почтовый ящик, чтобы прочитать письмо. Вы не сможете открыть почтовый ящик, если потеряете его.