Статус: Новичок
Группы: Участники
Зарегистрирован: 11.10.2013(UTC) Сообщений: 9  Откуда: Москва
|
Доброго времени суток!
Коллеги кто уже сталкивался с вопросом смены корневого сертификата ЦС. В «Руководстве по эксплуатации ЦС» всего несколько пунктов из которых не ясно потребуется ли перевыпуск сертификатов ЦР(клиентский WEB-сервера), а также сертификаты служб OCSP и TSP, ключевой носитель использовать можно старый или нужен новый носитель.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287  Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
перевыпуск служебных сер-тов не потребуется, если Вы не будете выводить из работы "старый" корневой.
Есть простое правило (для всех, кстати): новый ключ - новый носитель. Уж где - где, а для корневого УЦ уж точно должно выполняться. Хотя технически проблем, конечно, нет.. Можно и на "старый" носитель
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.10.2013(UTC) Сообщений: 9 Откуда: Москва
|
Тогда еще вопросик если следовать "Руководству по эксплуатации ЦС" раздел 13 смена ключей ЦС, для обновления коневого сертификата требуется остановить службу ЦС и запустить задачу "Обновить сертификат ЦС" в процессе возникает сообщение "Службы сертификации Active Directory" что "Закрытый ключ УЦ уже существует. Хотите перезаписать его, заменив новым ключом?". Как сформировать новый закрытый ключ сохранив при этом старый(и должен ли он вообще быть сохранен или перезаписан)?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 21.03.2014(UTC) Сообщений: 10 Откуда: Москва
|
Товарищи! Помогите!
Провел плановую смену сертификата ЦС согласно "Руководству по эксплуатации ЦС"
Все работало.
Недавно произошел коллапс с электроснабжением, и сервер ЦС перегрузили.
Служба сертификации Active Directory не запустилась. При Запуске вручную происходит запрос ПРЕДЫДУЩЕГО сертификата. Ключевой носитель, на котором содержалась информация, согласно регламенту УНИЧТОЖИЛИ. Служба не запускается.
Что делать?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287 Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
Анатолий, странная ситуация. Вот Вы говорите, что предыдущий ключ уничтожили. А как же Вы будете выпускать весь следующий год списки отзыва?
Ладно.. может не в свое дело лезу.
По делу: есть в документации инструкция по выводу из эксплуатации сертификатов ЦС. поможет Вам, думаю
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.10.2013(UTC) Сообщений: 9 Откуда: Москва
|
Доброго времени суток!
Анатолий также посмотрите "ЖТЯИ.00067 02 90 13 КриптоПро УЦ Руководство по восстановлению работоспособности компонент" раздел 2.4. "Установка сертификата Центра Сертификации".
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287 Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
Да какое там восстановление без ключа?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 21.03.2014(UTC) Сообщений: 10 Откуда: Москва
|
Автор: Laroux  Анатолий, странная ситуация. Вот Вы говорите, что предыдущий ключ уничтожили. А как же Вы будете выпускать весь следующий год списки отзыва?
Ладно.. может не в свое дело лезу.
По делу: есть в документации инструкция по выводу из эксплуатации сертификатов ЦС. поможет Вам, думаю Сейчас пойду попробую. Так получается не надо было старый ключ грохать? Ну у меня количество USB портов на сервере не резиновое, получается я должен все старый ключи держать воткнутыми в сервер? :)
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287 Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
вот смотрите пример: выпускаете вы клиенту сер-т 30.04.14. Действовать он будет до 30.04.15. Все это время (год) Вам нужно выпускать актуальные списки отзыва сертификатов (СОС), чтобы клиентский сер-т можно было как-то проверять. СОС выпускается на том же корневом, что и клиентский сер-т. А Вы взяли и 1.05.2014 удалили этот корневой. Как только закончится СОС, клиентский сер-т можно смело "выбросить" По поводу портов: есть такая клевая штука в CSP - служба хранения ключей. Вообще говоря токены и не должны бы торчать в сервере постоянно. Запустили ЦС (хоть с 20-ти токенов), убрали токены в сейф и все Отредактировано пользователем 5 мая 2014 г. 16:55:04(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 21.03.2014(UTC) Сообщений: 10 Откуда: Москва
|
Ну понятно что сам виноват.
ЖТЯИ.00067 02 90 13 КриптоПро УЦ Руководство по восстановлению работоспособности компонент" раздел 2.4. "Установка сертификата Центра Сертификации" не помог.
Короче другого выхода нет как заново развернуть ЦС... ну или можно попробывать снести и заново установить Службу сертификации?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
