Статус: Новичок
Группы: Участники
Зарегистрирован: 17.10.2016(UTC) Сообщений: 2 
|
Добрый день. Возникла проблема выстраивания цепочки доверия сертификатов. В "Доверенные корневые центры сертификации" должен быть сертификат Головного УЦ Микомсвязи России (есть, скачан с сайта Минкомсвязи). В "Промежуточные центры сертификации" должен быть сертификат УЦ1 ИС ГУЦ, выданный Головным УЦ (есть, скачан с сайта Минкомсвязи). В "Промежуточные центры сертификации" должен быть сертификат нашего УЦ, выданный УЦ1 ИС ГУЦ (с сайта Минкомсвязи скачан сертификат ООО КРИПТО-ПРО, выданный УЦ1 ИС ГУЦ) В "Личные" должен быть наш сертификат, выданный нашим УЦ, но наш сертификат выдан УЦ КРИПТО-ПРО, а не ООО КРИПТО-ПРО, т.е. в цепочке доверия сертификатов (наш личный - наш УЦ - УЦ1 ИС ГУЦ - Головной УЦ) возникает разрыв: наш личный - УЦ КРИПТО-ПРО (не сертифицирован Минкомсвязи) и ООО КРИПТ-ПРО (сертифицирован Минкомсвязи) - УЦ1 ИС ГУЦ - Головной УЦ. Запрос на сертификат генерировали на https://cpca.cryptopro.ru:4017/ui/ Что посоветуете в данной ситуации? (Как получить личный сертификат с "правильным" издателем?).
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,151
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 163 раз в 148 постах
|
Вы смешиваете два разных понятия: 1. Корневой УЦ; 2. Аккредитованный УЦ. Все аккредитованные УЦ являются корневыми, но не все корневые являются аккредитованными. Сертификат любого корневого УЦ (аккредитованного или нет) помещается в хранилище доверенных корневых сертификатов. Для проверки аккредитованности УЦ или "квалифицированности" сертификата/ЭП служит отдельный сервис. Насколько я понимаю, штатными средствами проверить квалицированность/аккредитованность не получится, т.к. от варианта кросс-сертификации ГУЦ отказался.Отредактировано пользователем 19 октября 2016 г. 4:46:49(UTC)
| Причина: http://uecard.cryptopro.ru/
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,072  Сказал «Спасибо»: 612 раз
Поблагодарили: 2370 раз в 1865 постах
|
Автор: basid  Вы смешиваете два разных понятия: 1. Корневой УЦ; 2. Аккредитованный УЦ. Все аккредитованные УЦ являются корневыми, но не все корневые являются аккредитованными.
Сертификат любого корневого УЦ (аккредитованного или нет) помещается в хранилище доверенных корневых сертификатов.Для проверки аккредитованности УЦ или "квалифицированности" сертификата/ЭП служит отдельный сервис. Насколько я понимаю, штатными средствами проверить квалицированность/аккредитованность не получится, т.к. от варианта кросс-сертификации ГУЦ отказался. Здравствуйте. Сертификат аккредитованного УЦ должен быть в промежуточных для построения правильной цепочки до ГУЦ. RoyS, Вы должны установить корневой сертификат неакредитованного УЦ КРИПТО-ПРО в доверенные корневые ЦС. >т.е. в цепочке доверия сертификатов (наш личный - наш УЦ - УЦ1 ИС ГУЦ - Головной УЦ) возникает разрыв Разрыва никакого нет, т.к. изначально никакой связи и не было. У Вас неквалифицированный сертификат и, устанавливая квалифицированные сертификаты (УЦ1 ИС ГУЦ\ООО КРИПТО-ПРО), Вы не сделаете из него квалифицированный с цепочкой до ГУЦ. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,151
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 163 раз в 148 постах
|
Автор: Андрей * Сертификат аккредитованного УЦ должен быть в промежуточных для построения правильной цепочки до ГУЦ. Как минимум, аккредитованный Удостоверяющий центр УЭК с вами не согласен: в корневых - ГУЦ и собственные сертификаты, в промежуточных - ГУЦ1 и кроссы.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,336  Откуда: Калининград Сказал «Спасибо»: 40 раз
Поблагодарили: 590 раз в 566 постах
|
Автор: basid Здравствуйте, так речь идет же о УЦ КРИПТО-ПРО, а не УЦ УЭК  Нужно все таки не путать аккредитованный УЦ и не аккредитованный УЦ. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,151
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 163 раз в 148 постах
|
Автор: tikhonov Здравствуйте, так речь идет же о УЦ КРИПТО-ПРО, а не УЦ УЭК Нужно все таки не путать аккредитованный УЦ и не аккредитованный УЦ. Я не путаю - я отвечаю на утверждение, что в корневых должен быть (только) ГУЦ, а аккредитованный УЦ - в промежуточных.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,072 Сказал «Спасибо»: 612 раз
Поблагодарили: 2370 раз в 1865 постах
|
Автор: basid Автор: tikhonov Здравствуйте, так речь идет же о УЦ КРИПТО-ПРО, а не УЦ УЭК Нужно все таки не путать аккредитованный УЦ и не аккредитованный УЦ. Я не путаю - я отвечаю на утверждение, что в корневых должен быть (только) ГУЦ, а аккредитованный УЦ - в промежуточных. И все же путаете. Уделите внимание вопросу чуть больше. Откройте страницу, скачайте хранилища и сверьте ИД ключей. УЦ УЭК - есть самоподписанные (в cauec.p7b) - сертификаты не квалифицированные и до ГУЦ цепочки не будет. Сертификаты необходимо установить в корневые. а есть сертификат для УЦ УЭК (в subcauec.p7b) выданный в УЦ 1 ИС ГУЦ - сертификат квалифицированный и его необходимо установить в промежуточные. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,151
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 163 раз в 148 постах
|
Да, я уже посмотрел, что был неправ - надо ознакомиться с нормативкой :-)
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.10.2016(UTC) Сообщений: 2
|
RoyS,
Вы должны установить корневой сертификат неакредитованного УЦ КРИПТО-ПРО в доверенные корневые ЦС.
Для большинства задач этот вариант подходит, но один из сайтов (Росфинмониторинг) требует обязательной цепочки до ГУЦ, т.е. сертификат УЦ КРИПТО ПРО должен быть в хранилище промежуточных. А существует ли сертификат УЦ КРИПТО ПРО, подписанный каким-либо аккредитованным УЦ?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,072 Сказал «Спасибо»: 612 раз
Поблагодарили: 2370 раз в 1865 постах
|
Автор: RoyS RoyS,
Вы должны установить корневой сертификат неакредитованного УЦ КРИПТО-ПРО в доверенные корневые ЦС.
Для большинства задач этот вариант подходит, но один из сайтов (Росфинмониторинг) требует обязательной цепочки до ГУЦ, т.е. сертификат УЦ КРИПТО ПРО должен быть в хранилище промежуточных. А существует ли сертификат УЦ КРИПТО ПРО, подписанный каким-либо аккредитованным УЦ? Нет. Для проверки\поиска необходимых сертификатов - используйте портал уполномоченного федерального органа в области использования электронной подписи. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
