Voglio usare OpenSSL per generare private / public / (Certificate Signing Request) e firmare alcuni dati in seguito. Ma voglio usare Motore OpenSSL GOST.
Ho scaricato OpenSSL 1.0.0 e modificato openssl.cfg file:
openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
gost = gost_section
[gost_section]
engine_id = gost
dynamic_path = ./gost.dll
default_algorithms = ALL
CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet
Posso generare una chiave privata e una CSR (stringa di comando a riga singola):
openssl req -newkey gost2001 -pkeyopt paramset:A -passout pass:aofvlgzm
-subj "/C=RU/ST=Moscow/L=Moscow/O=foo_bar/OU=foo_bar/CN=developer/
emailAddress=vany.egorov@gmail.com"
-new > certificate_signing_request.csr
Ottengo 2 file:
- certificate_signing_request.csr
- privkey.pem
So che posso fare (stampa una rappresentazione di testo (non crittografata) di chiavi private e pubbliche):
openssl genpkey -algorithm gost2001 -pkeyopt paramset:A -text
Io uso GOST invece RSA è per questo che non posso fare solo:
openssl rsa -in privkey.pem -pubout -out pubkey.pem
Enter pass phrase for privkey.pem:
6132:error:0607907F:digital envelope routines:EVP_PKEY_get1_RSA:expecting an rsa key:.cryptoevpp_lib.c:288:
La mia domanda è: come posso generare / ottenere la chiave pubblica (mabye dalla chiave privata o da csr) usando gost?</ Strong>
Io uso:
- Windows 7 professional x64;
- OpenSSL 1.0.0;
- Motore Gost.
Grazie per qualsiasi aiuto.
risposte:
17 per risposta № 1Ho risolto il mio problema.
Guida passo per passo per tutti coloro che desiderano un'alternativa a КРИПТО-ПРО
Certificate Signing Request (CSR) + chiave privata
./openssl req -newkey gost2001 -pkeyopt paramset:A -passout pass:aofvlgzm -subj "/C=RU/ST=Moscow/L=Moscow/O=foo_bar/OU=foo_bar/CN=developer/emailAddress=vany.egorov@gmail.com" -keyout private.key.pem -out csr.csr
Firma CSR (csr.csr) con private.key.pem (!!! SOLO PER COMANDO ADMIN !!!)
se non amministratore: "impossibile scrivere" stato casuale ""
./openssl x509 -req -days 365 -in csr.csr -signkey private.key.pem -out crt.crt
Ottieni la chiave pubblica
./openssl x509 -inform pem -in crt.crt -pubkey -noout > public.key.pem
Ottieni esagono GOST2001-md_gost94
./openssl.exe dgst -hex -sign private.key.pem message.xml
Ottieni l'applicazione MIME / x-pkcs7-signature
./openssl smime -sign -inkey private.key.pem -signer crt.crt -in message.xml