Статус: Участник
Группы: Участники
Зарегистрирован: 02.02.2010(UTC)
Сообщений: 10
Откуда: Saratov
|
Добрый день, возник вопрос по пункту 15 "Требования к сертификату ключа подписи.. " по приказу ФНС
15. Расширение Certificate Policies (OID.2.5.29.32) – политики сертификата – в котором указываются только OID’ы, описывающие юридическую сферу применения СКП, и ссылку на ресурс, содержание которого поясняет используемые OID.
Формат заполнения этого расширения должен соответствовать рекомендациям RFC.
Указываемые OID информируют о следующем: квалификация подписи (директор, бухгалтер и т.д.), роль владельца СКП в информационных системах ФНС (НП, инспектор НО, уполномоченный представитель НП и т.д.), возможность пользоваться сервисами ИОН.
Идентификаторы политик назначаются по схеме, где каждая арка описывает признак применимости СКП (Приложение 11).
Количество политик в СКП не должно превышать 100 штук.
Остальные расширения могут содержать любые данные в соответствии с рекомендациями IETF RFC и ITU-T.
Размер файла СКП в формате base64 с тегами не должен превышать 8000 байт.
Я так понимаю при изготовлении СКП для абонента надо в свойствах ЦР (ЦР на Веб узел...) - политики - "обработка неподписанных запросов" и "обработка подписанных запросов" добавить OID 2.5.29.32 (политики сертификата) а также в Свойствах ЦС - модуль политики - расширения X.509 тоже добать этот OID и Все? и Как можно на изготовленном СКП посмотреть есть ли это расширение? Вроде 14 пунктов по требованию подходят (вкладка "состав" при просмотре сертификата) а вот с этим завис :)
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.02.2010(UTC)
Сообщений: 10
Откуда: Saratov
|
нашел похожую темку, там предлагается вручную добавлять OID ... где цифры для каждой организации будут разные... если действующих абонентов более 500 - это выходит что для каждого абонента (организации) надо делать это вручную? просмотрел разные сертификаты от разных УЦ в том числе и доверенных - нигде этого параметра нет, интересно как же они работают если это условие необходимое для того чтобы пройти аккредитацию?)) Отредактировано пользователем 24 марта 2010 г. 20:04:11(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.02.2010(UTC)
Сообщений: 10
Откуда: Saratov
|
Какая небывалая высокая оперативность техподдержки...
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.02.2010(UTC)
Сообщений: 10
Откуда: Saratov
|
ап еще раз за оперативность, итого на повестке +1 вопрос:
1. Как в сертификат добавить расширение политики сертификата, чтобы они там отображались
2. Потребовалось создать запрос на кросс-сертификат в электронной форме и на бумажном носителе. Первое все понятно, сделали, а как его распечатать на бумагу? я так понимаю есть определенный шаблон
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 85
Поблагодарили: 9 раз в 6 постах
|
Цитата:1. Как в сертификат добавить расширение политики сертификата, чтобы они там отображались
на ЦС в свойствах модуля политики: 1. в закладке Расширения x.509 поставить галочку на 2.5.29.32 2. в закладке Использование ключа добавить все варианты OID для вашего УЦ, которые будете выдавать, например Руководитель и главный бухгалтер с ИОН, Руководитель и главный бухгалтер без ИОН...и т.д. какие oid'ы соответствуют этим политикам смотрите в документах, направленных вам гнивц. когда добавляете новый oid в список, то ставите галочку Включить в расширение "Политика выдачи" Цитата:2. Потребовалось создать запрос на кросс-сертификат в электронной форме и на бумажном носителе. Первое все понятно, сделали, а как его распечатать на бумагу? я так понимаю есть определенный шаблон certutil cross.req > cross.txt, копируете содержимое в word и рисуете шапку и подписи Отредактировано пользователем 29 марта 2010 г. 21:16:50(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.02.2010(UTC)
Сообщений: 10
Откуда: Saratov
|
chomper написал:Цитата:1. Как в сертификат добавить расширение политики сертификата, чтобы они там отображались
на ЦС в свойствах модуля политики: 1. в закладке Расширения x.509 поставить галочку на 2.5.29.32 2. в закладке Использование ключа добавить все варианты OID для вашего УЦ, которые будете выдавать, например Руководитель и главный бухгалтер с ИОН, Руководитель и главный бухгалтер без ИОН...и т.д. какие oid'ы соответствуют этим политикам смотрите в документах, направленных вам гнивц. когда добавляете новый oid в список, то ставите галочку Включить в расширение "Политика выдачи" Цитата:2. Потребовалось создать запрос на кросс-сертификат в электронной форме и на бумажном носителе. Первое все понятно, сделали, а как его распечатать на бумагу? я так понимаю есть определенный шаблон certutil cross.req > cross.txt, копируете содержимое в word и рисуете шапку и подписи "рисуете шапку и подписи" - какую шапку? где можно посмотреть образец (шаблон) правильного оформления? все таки требования фнс для аккредитации - не думаю что правильно будет от балды придумать свое оформление...
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.02.2010(UTC)
Сообщений: 10
Откуда: Saratov
|
С запросом вопрос отпал все сделал, нарисовался следующий: «Основные ограничения 2.5.29.19» Как теперь это расширение добавить? в ЦС расширения x.509 поставил галочку, в ЦР на обработках подпис. и неподпис. запросов тоже добавил, но при формировании сертификата этой надписи там нету... прочитал в старых темах, чтобы его добавить он должен присутствовать в запросе, но сам запрос создает АРМ. Для пояснения требует создать сертификат на некого "тестового" абонента, по требованию гнивц, дабы сверить наш наш сертификат на соответствие с ихними требованиями. Отсюда нарисовался и тот вопрос про политики сертификата и нынешний вопрос про Основные ограничения (цитата из методики: "1.2.4. В СКП УЛ УЦ расширение «Основные ограничения» (OID 2.5.29.19) должно содержать поле «Тип субъекта» со значением «ЦС». Расширение должно быть указано как не критичное.") Отредактировано пользователем 30 марта 2010 г. 18:20:29(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 85
Поблагодарили: 9 раз в 6 постах
|
Цитата:«Основные ограничения 2.5.29.19» Как теперь это расширение добавить? в ЦС расширения x.509 поставил галочку, в ЦР на обработках подпис. и неподпис. запросов тоже добавил, но при формировании сертификата этой надписи там нету...
Аналогично, в закладке расширения x.509 добавить 2.5.29.19 и поставить галочку. Запрос должен содержать это расширение! Цитата:Отсюда нарисовался и тот вопрос про политики сертификата и нынешний вопрос про Основные ограничения (цитата из методики: "1.2.4. В СКП УЛ УЦ расширение «Основные ограничения» (OID 2.5.29.19) должно содержать поле «Тип субъекта» со значением «ЦС». Расширение должно быть указано как не критичное.") Про основные ограничения вопрос не имеет отношения к вопросу о политиках сертификата. Политики сертификата применяются, когда вы выпускаете сертификат абонентам. А поле "Тип субъекта" по-умолчанию присутствует в корневом сертификате уц, построенном на базе криптопро уц.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 85
Поблагодарили: 9 раз в 6 постах
|
Цитата:"рисуете шапку и подписи" - какую шапку? где можно посмотреть образец (шаблон) правильного оформления? все таки требования фнс для аккредитации - не думаю что правильно будет от балды придумать свое оформление...
формат бланка сертификата (запроса на сертификат) определяется самим уц, каким нарисуете таким и будет. Можете взять шаблон бланка сертификата из Арм администратора, например. при аккредитации проверяется наличие обязательных полей в бланке сертификата (п. 8.3.1 методики). Утилита certutil формирует полный дамп сертификата, со всеми необходимыми полями.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 519  Откуда: Крипто-Про
|
chomper написал:А поле "Тип субъекта" по-умолчанию присутствует в корневом сертификате уц, построенном на базе криптопро уц. Все верно, как и в любом другом сертификате ЦС "Тип субъекта=ЦС". Могу дополнить, что: 1. OIDы Политики сертификата добавляются на ЦС согласно "Руководству по регистрации дополнительных идентификаторов областей применения сертификатов открытых ключей". Настройка областей использования ключа, политик выдачи и политик применения в сертификатах открытого ключа по документации "КриптоПро УЦ ЦС Руководство по эксплуатации Windows 2003" раздел 2.4 2. Печать сертификата по "Руководству пользователя КриптоПро УЦ" раздел 4.2.6 и по "Руководству по эксплуатации АРМ Администратора ЦР" раздел 10. Отредактировано пользователем 30 марта 2010 г. 21:49:46(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
