Приложение "PKCS#12 менеджер" создано по технологии Java Web Start и предназначено для создания и выполнения операций с PKCS#12 хранилищем крипто ключей (для опытных пользователей! ). Поддерживаемые операционные системы: Windows, Linux, Unix и др. с установленой виртуальной машиной Java 1.6 и выше.

Java Web Start включен в Java Runtime Environment (JRE) виртуальной машины Java. JRE - минимальная реализация виртуальной машины и может быть загружена с сайта Oracle.

Приложение загружается по протоколу JNLP (Java Network Launching Protocol). После загрузки приложения, созданного по технологии Java Web Start, его следует запустить на выполнение вне браузера. При первом запуске, на рабочем столе создается иконка приложения. Технология Java Web Start обеспечивает поддержку автоматического обновления приложения.

Примечание. Приложение хранится во временных Интернет файлах Java (кэшированные приложения, cached Applications). Удалить можно через консоль Java очисткой временных Интернет файлов (Temporary Internet Files). Для повторной инсталляции следует загрузить JNLP файл и запустить его на выполнение.

Условие лицензирования: для использования физическими лицами - свободное; для использования юридическими лицами - коммерческое.

Краткое описание

Поддерживаемые языки интерфейса : украинский, русский, английский.

Основное окно программы:

Для создания хранилища необходимо выбрать команду "Создать...", ввести пароль доступа к хранилищу и выбрать путь его хранения ("Сохранить как..."):

Если хранилище уже существует, то в основном окне надо выбрать кнопку «Загрузить…», и после выбора файла хранилища ввести пароль доступа к нему. При наличии в хранилище ключей и сертификатов, они будут отображены в таблице:

В этом примере в хранилище есть две записи - это две ключевые пары с цепочками сертификатов.

После выбора записи, допустимы такие операции: "Удалить", "Экспортировать в *.pfx" (только для ключей с сертификатами, не для PKCS#10 запроса), "Импорт из *.pfx" (импорт ключа и сертификатов из внешнего *.pfx файла в хранилище);

Еще один пример:

В этом примере в хранилище есть две записи: первая - это сгенерированный запрос на получение сертификата (PKCS#10); как видно ключ еще не имеет сертификата. Вторая запись - это ключ с его сертификатом (без цечки).

Генерация ключа/ Запрос сертификата PKCS#10

Для генерации ключа и одновременно запроса на сертификацию (или само-подписанного сертификата), надо выбрать меню «Генерация ключа/ Запрос сертификата PKCS#10…»:

В окне генерации выбрать алгоритм ключа из доступных в списке алгоритмов

где DSTU4145PB – стандарт ДСТУ 4145-202, полиномиальный базис; DSTU4145ONB – стандарт ДСТУ 4145-202, оптимальный нормальный базис; RSA – стандарт RFC 3447:2003, FIPS 186-3:2009, PKCS #1 v2.1; DSA – стандарт FIPS 186-3:2009, ДСТУ ISO/IEC 14888-3:2002; ECDSA Fp – стандарт FIPS 186-3:2009, ДСТУ ISO/IEC 14888-2:2002; ECDSA F2m – стандарт FIPS 186-3:2009, ДСТУ ISO/IEC 14888-2:2002; GOST34310 – стандарт ГОСТ 34.310-95; ECGost34310 – стандарт ГОСТ 34.310-2004.

Для стандарта ECDSA поддерживаются эллиптические кривые, определенные такими стандартами:

• SEC2 - Standards for Efficient Cryptography (SEC), SEC 2: Recommended Elliptic Curve Domain Parameters - September 20, 2000, Version 1.0, Certicom Corp.
• NIST - FIPS 186-3: Digital Signature Standard (DSS); Annex D.1 NIST Recommended Elliptic Curves - June, 2009
• X9.62 - X9.62-2005: Public Key Cryptography For The Financial Services Industry: The Elliptic Curve Digital Signature Algorithm (ECDSA).
• Brainpool - ECC Brainpool:
  1) BSI TR-03111: Technical Guideline TR-03111. Elliptic Curve Cryptography, Version 1.11” – BSI (Bundesamt fur Sicherheit in der Informationstechnik), 2009;
  2) RFC 5649 - Elliptic Curve Cryptography (ECC) Brainpool Standard Curves and Curve Generation, March 2010.

Выбрать длину ключа или эллиптическую кривую (по названию или идентификатору). Для ДСТУ ключей дополнительно выбрать ДКЕ (длительный ключовой элемент):

Выбрать типовое использование ключа:

Или расширенное использование ключа:

Создать сертификат

Меню «Генерация ключа/ Создать сертифікат...» предназначено для создания/ генерации сертификата из запроса PKCS#10:

1. Выбрать сертификат/ ключ, которым необходимо подписать новый (создаваемый) сертификат;
2. Выбрать запрос:
• если сертификат создается из запроса для ключевой пары, которая есть в хранилище, то надо выбрать эту пару;
• если сертификат создается из внешнего запроса (файла), то надо выбрать флаг внешнего файла и соответсвующий файл:



3. Задать серийный номер сертификата, который создается, его срок жизни/ действия в годах.
4. Задать точки распространения списков отзванных сертификатов (основного, и частичного/ дельта CRL), как URL, например:
• http:://example.com.ua/crllisl.crl – основной CRL;
• http:://example.com.ua/crllisl+.crl – частичный CRL.
5. На завершение, нажать кнопку «Генерация».
6. Сгенерированный сертификат сохранить как файл (кнопка «Сохранить как…», и дополнительно его можно посмотреть (кнопка «Показать сертификат»).

Инсталляция сертификата

Инсталляция сертификата выполняется командой меню «Генерировать ключ/ Инсталировать сертификат…».

Требуется выбрать файл сертификата, после чего программа выполнит поиск соответствующей ключевой пары в хранилище, и в случае ее отсутствия завершится ошибкой.

В случае наличия соответствующей ключевой пары будет выполнена операция инсталляции сертификати к найденной ключовой паре. Если пара уже имеет сертификат, то программа выдаст предупреждение и выполнит замену сертификата только при подтвердждении.

Разработчик: ООО "Базис"; 03049, Украина, г.Киев, ул. Платоновская 18; Тел.: +38 044 244-06-38; tech@itsway.kiev.ua