| ||||
| ||||
| Подскажите, хочу в КриптоПро УЦ сделать так, чтобы crl’и издавались с привязкой к какому-то абсолютному, а не относительному времени, допустим каждый понедельник в 7:30 утра. Как этого добиться? Настроить интервал публикации в 1 неделю и в первый раз самому в понедельник в 7:30 нажать кнопку "Выпустить новый СОС"? Но тогда любой внеочередной выпуск СОС собъет этот ритм. Пытался для этой цели приладить "certutil -CRL" с запуском по шедулеру, но он переиздает СОС с сохранением старой даты следующего обновления. Может какие ключи недописал? Хотелось бы получить обратную ситуацию, когда штатно СОС публикуется в заранее заданное время и от этого времени насчитывается дата следующей публикации, а вот внеплановые публикации переиздают СОС с сохранением старой даты следующей публикации (как "certutil -CRL"). Такое возможно? | ||||
| Ответы: | ||||
| ||||
| В настройках MS CA, в Свойствах списка "Отозванные сертификаты", есть галка "Отключить публикацию по расписанию". Она поможет для первой части вопроса. А вторую ситуацию Вы уже имеете :-) | ||||
| ||||
| Это я понял. Не найду, как через certutil -CRL задать дату следующего обновления... | ||||
| ||||
| Нет, если Вы хотите одновременно и что бы по понедельника публиковался СОС и внеочередные выпускать - так не выйдет. Есть только один обходной путь. В разделе HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CertSvc\Configuration\_имя_службы_СА есть параметр CRLNextPublish. Вот его и устанавливайте в нужное значение, после издания внеочередного СОС. Только не забывайте перезапускать службу СА после изменения значения этого параметра. | ||||
| ||||
| > В настройках MS CA, в Свойствах списка "Отозванные сертификаты", есть галка "Отключить публикацию по расписанию". Обнаружился пробочный эффект такого решения: При снятии этой галочки "Интервал публикации" сановится равным "0". Этот "0" не дает опубликовать CRL через АРМ Администратора - выскакивает ошибка. Может быть есть какой-нибудь патч для 1.2.0212, чтобы это работало? Не переходить же на 1.4 только ради этого... | ||||
| ||||
| Факт имеет место. Разумеется, доделывать УЦ 1.2 не будем. В УЦ 1.4 можно настроить расписание публикаций СОС: в заданное админом рабочее время (например, пн-пт, с 9-00 до 18-00) СОС выпускается как обычно, по расписанию. В начале очередного периода нерабочего времени выпускается СОС со сроком действия до начала следующего рабочего периода. Этот СОС можно опубликовать (задачей переноса) и выключить ЦС (или оставить его работать - новые СОС не будут публиковаться до начала следующего рабочего периода). Принимать решение о необходимости обновления УЦ Вам. | ||||
| ||||
| Чтобы переставлять в реестре значение NextPublish, сбрасывать галку публикации по расписанию не нужно. Нужно только остановить службу, переставить значение NextPublish в реестре, и запустить службу - она будет считать, что следующий CRL надо выпустить в указанное время. Если Вас не затруднит, не могли бы Вы пояснить, откуда возникло требование выпуска CRL строго в определенное время суток (понедельник, 7:30 утра)? | ||||
| ||||
| > Если Вас не затруднит, не могли бы Вы пояснить, откуда возникло требование выпуска CRL строго в определенное время суток (понедельник, 7:30 утра)? Особенность работы корпоративной системы. Сервера системы разнесены по десятку часовых поясов. Связи с интернет не имеют по соображениям безопасности. Пользователи дозваниваются до модемного пула своего сервера. CRL издается УЦ раз в неделю на срок 10 дней, выкладывается на CDP и рассылается на EMail'ы региональных администраторов, а они вручную устанавливают их на сервера. Привязка рассылки к определённову дню и времени позволила упростить регламент работы региональных администраторов. | ||||
Vadim_K