Статус: Участник
Группы: Участники
Зарегистрирован: 17.02.2009(UTC) Сообщений: 24  Откуда: ГВЦ
|
Добрый день! Интересут вопрос: Как сделать так, чтобы во ВСЕ сертификаты добавлялись адреса CDP и служб OCSP, просто удалить все условия из правила формирования в свойствах ЦС??? Просто так уже делали и работало криво - через раз. Отредактировано пользователем 4 мая 2010 г. 20:42:47(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Администратор
Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 350
Откуда: ООО "КРИПТО-ПРО"
Поблагодарили: 6 раз в 5 постах
|
В свойствах службы сертификации на вкладке Расширения должны быть настроены нужные URL (с префиксом http или ftp) и поставлены правильные галки:
для CDP - "Включать в CDP расширения выданных сертификатов"
для AIA - "Включать в расширения протокола OCSP"
Далее удаляете правила формирования cdp и aia и перезапускаете службу сертификации.
Тогда они будут добавляться всегда.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.02.2009(UTC) Сообщений: 24 Откуда: ГВЦ
|
Извиняюсь, вопрос был не полный... А если учесть, что у нас 18 ЦР и нужно, чтобы в сертификате пользователя, зарегистрированном например в читинском ЦР, прописывались свои точки доступа и AIA? У меня 18 правил для соответствующих ЦР, в каждом правиле прописаны свои CDP и AIA, если я удаляю условия в каждом правиле, то в любой сертификат (любого ЦР) прописываются точки доступа из всех правил. Если в первом правиле ставлю галку "остановить дальнейшую обработку правил", то во все сертификаты (всех ЦР) ставиться CDP и AIA только из первого правила, соответственно если в 10-ом, то из 1-10. Я так понял, что такой функционал жесткой привязки правил к ЦР не реализован и все ограничивается вариацией наборов условий для правила к определенному ЦР??? Отредактировано пользователем 6 мая 2010 г. 18:37:31(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Администратор
Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 350
Откуда: ООО "КРИПТО-ПРО"
Поблагодарили: 6 раз в 5 постах
|
Совершенно верно, правила добавления CDP и AIA работают на ЦС и про ЦР(ы) ничего не знают.
Поэтому для каждого региона должно быть своё условие (например, в поле S обязательно заносить "Читинская область"), тогда можно настроить правило по этому признаку.
Если условие выполнится - правило сработает и будут добавлены настроенные для него точки.
Тогда можно поставить галку Остановить дальнейшую обработку для каждого правила.
Вопрос - у вас будет документооборот между владельцами сертификатов из разных регионов? Если да - то обратите внимание, что при проверке в одном регионе документа с эцп из другого региона будет попытка обратиться по cdp из сертификата подписавшего, т.е. к "чужому" серверу, который, возможно, будет недоступен.
В этом случае выгоднее иметь один символический адрес cdp, который будет в локальных DNS соответствовать разным ip-адресам.
И аналогично для адреса ocsp
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.02.2009(UTC) Сообщений: 24 Откуда: ГВЦ
|
Во многих случаях данные в сертификате не попадают ни под одно условие в правиле, т.к. в той же Чите сертификаты могут выдавать пользователям и других областей, или просто не заполнят поле область, название предприятий - так же проблема (слишком много филиалов и дочерних обществ), или где-то кавычки не поставили, почтовый домен в адресе эл. почты (например "@mail") тоже у всех разный и т.д. и т.п.
Но я уже так и сделал, как вы написали: во ВСЕ сертификаты прописывается 2 адреса сервера публикации СОС (CDP) и 2 адреса серверов OCSP, которые находяться "под боком", для облегчения администрирования.
Спасибо!
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.02.2009(UTC) Сообщений: 24 Откуда: ГВЦ
|
Еще небольшой вопрос: Опрос точек доступа из сертификата осуществляется по-порядку (если указано несколько) и опрашиваются ли ВСЕ точки CDP? Поясню: на первом месте указана точка CDP (OCSP, Root-овый сертификат) в корпоративной сети (внутренней), на втором во внешней (интернет), если пользователь из вне (интернет) например получит подписанное сообщение, первая точка - внутренняя, соответственно будет недоступна, произойдет ли опрос следующей точки (внешней)? Отредактировано пользователем 6 мая 2010 г. 21:14:03(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Администратор
Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 350
Откуда: ООО "КРИПТО-ПРО"
Поблагодарили: 6 раз в 5 постах
|
По cdp - да, адреса просматриваются по порядку, если первый недоступен, то будет обращение ко второму. Правда, задержка на ожидание ответа от первой точки может быть достаточно большой - секунд 30 и более. А если от первой точки ответ получен - ко второй обращения не будет. Т.е. на первое место всегда надо ставить точку, которая доступна большинству пользователей. По адресам ocsp в aia - опять же, они берутся по порядку. А вот будет ли переход ко второй точке, если первая недоступна - зависит от ПО, которое используется для обращения к ocsp. Отредактировано пользователем 7 мая 2010 г. 21:24:26(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
