| ||||
| ||||
| Есть ли возможность штатными средствами опубликовать сертификат центра сертификации на внешний ресурс? | ||||
| Ответы: | ||||
| ||||
| В ПАК "КриптоПро УЦ" сертификат ЦС или цепочка сертификатов ЦС м.б. получена с внешнего ресурса программным способом только через Интерфейс Внешних Приложений Центра Регистрации. Хотя сама идея публикации сертификата ЦС несколько не корректная. Сертификат ЦС до пользователей УЦ должен доставляться по доверенным каналам связи. А здесть уже комплекс организационных и технических мер обеспечения доверенности канала. В ПАК "КриптоПро УЦ" средств экспорта сертификата ЦС на внешний ресурс нет. | ||||
| ||||
| Как это не корректный? С CRL всё в порядке. Он висит, подписанный СА. А как пользователи узнают, что он (сертификат СА) - действующий или отозванный? Например в случае компрометации? | ||||
| ||||
| Тогда каким образом подписчики УЦ узнают о выходе нового сертификата ЦС при плановой замене ключей. | ||||
| ||||
| Как пользователям будет осуществлено официальное уведомление о плановой смене ключей уполномоченного лица УЦ - это определяется регламентом. Мы, как УЦ, это делаем следующим образом: Рассылаем всем владельцам письмо с уведомлением, и в нем предлагаем зайти на защищенный раздел сайта (например, http://ats.cryptopro.ru) и скачать новый сертификат по TLS Т.о. обеспечивается доверенный канал связи. | ||||
| ||||
| В описанной процедуре есть один нерешенный вопрос: отсутствует "электронная" связь между старым и новым сертификатом. Т.е. при плановой смене пользователь должен быть уверен в том, что предложенный ему новый сертификат принадлежит старому УЦ и нет подлога. Как решается такой вопрос? | ||||
| ||||
| Никакого нерешенного вопроса нет. Зачем нужна это связь? Старый сертификат ЦС действует и он доверенный. Поэтому информация, передаваемая по каналу связи, установленному с применением доверенного старого сертификата ЦС является доверенной. Так? Следовательно и новый сертификат ЦС переданный по этому каналу является доверенным. Так? Это очевидно! О каком подлоге может идти речь? Или я не правильно понял Ваш вопрос? | ||||
| ||||
| Всё, правильно, имено этот ответ я и хотел получить. Т.е. если я правильно всё понял, то выпустив новый набор ключей - ЦС, Web-ЦС, ЦР, Web-ЦР - я меняю все, только не заменяю последний на Web-сервере ЦР, а даю клиентам УЦ время на прийти и забрать новый сертификат ЦС и спустя оговоренное время заменяю сертификат на Web-сервере ЦР. | ||||
| ||||
| Нет, Вы не правильно думаете, что не надо менять сертификат веб-сервера. Меняйте на здоровье! Причем тут он?! Если хотите новый сертификат ЦС опубликовать на сервере ЦР, то сделайте новый веб-узел на веб-сервере ЦР и в нем опубликуйте новый сертификат. Только сертификат серверной аутентификации для этого веб-узла сделайте заранее, на старом сертификате ЦС непосредственно перед плановой сменой ключей ЦС. Давайте прекратим такие обсуждения. Это называется "разработка проектного решения" :-) | ||||
| ||||
| Нет, не называется. Сама технология замены в явном виде не отражна в документации, а описана только технологические действия производимые над компонентами УЦ. Как разработчик "готового" ПО, Вы не могли не понимать, что такой вопрос должен когда-нибудь всплыть, и должны были предложить, пусть даже в качетве примера, хотя-бы один из вариантов реализации технологии плановой замены "в целом". | ||||
| ||||
| Полностью согласен с Александром. Ребята, не обижайтесь на нас но нам надо развернуть УЦ, а документация "сыровата", в ней имеются ошибки, как и в самом продукте. Например, в руководстве по эксплуатации на ЦР в обязательных компонентах на MS IIS отсутствует SMTP. А без него на ЦР, при "запертом" ЦС, как ни бейся сообщения с ЦС отправляться не будут, и т.п. | ||||
| ||||
| Как организовывать доверенный канал передачи сертификата ЦС - это личное дело каждого потребителя нашего ПАК. Некоторые используют фельдегерскую связь, некоторые DHL, есть кто использует электронную почту с S/MIME. А мы используем он-лайн режим с транспортным протоколом TLS. Т.е. это не задача самого ПАК, а решение при его внедрении. Мы внедрением у вас не занимаемся, поэтому и проектное решение разрабатывать вам. Предположим, вы купили SAP R/3. Этот продукт обеспечивает интеграцию всех производственных сфер в единый комплекс. Попробуйте обратиться в mySAP с вопросом как это сделать с помощью этого продукта :-) Их реакция предсказуема. Скорее всего пошлют куда-нибудь, типа в Sterling Group, которая предложит получить ответ на такой вопрос за кругленькую сумму. Тем не менее, как видите, мы стараемся консультировать по мере сил и возможностей на безвозмездной основе. Но они у нас ограничены. | ||||
| ||||
| Как организовывать доверенный канал передачи сертификата ЦС - это личное дело каждого потребителя нашего ПАК. Некоторые используют фельдегерскую связь, некоторые DHL, есть кто использует электронную почту с S/MIME. А мы используем он-лайн режим с транспортным протоколом TLS. Т.е. это не задача самого ПАК, а решение при его внедрении. Мы внедрением у вас не занимаемся, поэтому и проектное решение разрабатывать вам. Предположим, вы купили SAP R/3. Этот продукт обеспечивает интеграцию всех производственных сфер в единый комплекс. Попробуйте обратиться в mySAP с вопросом как это сделать с помощью этого продукта :-) Их реакция предсказуема. Скорее всего пошлют куда-нибудь, типа в Sterling Group, которая предложит получить ответ на такой вопрос за кругленькую сумму. Тем не менее, как видите, мы стараемся консультировать по мере сил и возможностей на безвозмездной основе. Но они у нас ограничены. | ||||
| ||||
| Сергей, Вы правы в том, что без SMTP на ЦР сообщения с ЦС отправляться не смогут, но, настройкой почты должен заниматься сисадмин, а для него эта вещь должна быть очевидна :) Нельзя же в документации на УЦ предусмотреть всё, что связано с общесистемными компонентами. В любом случае, если у Вас есть пожелания что-либо добавить в документацию, сообщите нам об этом, а то Ваше "и т.п." выглядит необоснованно. | ||||
| ||||
| Совершенно обоснованно. При инсталляции SMTP указаны четыре обязательных компонента и не указан пятый (тоже обязательный), намеренно или случайно. А по поводу пожеланий дополнения документации совершенно ясно выразился Александр в п. с датой 17.11.2004 12:42:12 "...Сама технология замены в явном виде не отражна в документации, а описана только технологические действия производимые над компонентами УЦ...." | ||||
| ||||
| Прошу прощения, не "...При инстлалляции SMTP...", а "...При инстлалляции IIS..." | ||||
Сергей