Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Kenshin  
#1 Оставлено : 27 июля 2010 г. 23:51:18(UTC)
Kenshin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.04.2010(UTC)
Сообщений: 36
Откуда: Саратов

Помогите разобраться.

Дано.
- корневой сертификат Центра Сертификации, истекает (дата действия) в 2011 году.
- задача: выпустить новый сертификат ЦС за год до истечения срока и перейти на использование его
- условие задачи: не менее чем за 30 дней до окончания срока действия сертификата уполномоченного лица (соответствующего кросс-сертификата) уведомить партнеров о необходимости издания новых кросс-сертификатов

Получается, что в течение 30 дней у меня должно существовать два корневых сертификата: старый я использую для работы, новый - исключительно для формирования запросов на и выпуска кросс-сертификатов.

Насколько я понимаю раздел 13.1 ЖТЯИ.00067-01 90 04 (КриптоПро УЦ. Центр сертификации. Руководство по эксплуатации на платформе MS Windows Server 2008) при смене ключей ЦС немедленно переходит на работу с обновленным сертификатом. Пути назад нет.
Как в этом случае можно соблюсти условие задачи?
Offline Николай  
#2 Оставлено : 28 июля 2010 г. 14:21:31(UTC)
Николай

Статус: Участник

Группы: Участники
Зарегистрирован: 27.03.2008(UTC)
Сообщений: 17

http://www.cryptopro.ru/....aspx?g=posts&t=1532


Юрий Маслов написал:
Николай написал:
Юрий, а поясните, каким образом у меня будет 3 месяца на регистрацию в УФО, если ПАК "КриптоПро УЦ" сразу же (после плановой замены) будет использовать новый ключ для изготовления сертификатов?

Да, есть такая фишка. В "КриптоПро УЦ" версии 2.0 будет по другому.

Offline Kenshin  
#3 Оставлено : 28 июля 2010 г. 21:26:42(UTC)
Kenshin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.04.2010(UTC)
Сообщений: 36
Откуда: Саратов

Читал. Про фишку очень понравилось. Angel
Хотелось бы увидеть ответ от представителей КриптоПро.
Offline polifish  
#4 Оставлено : 9 сентября 2011 г. 21:20:41(UTC)
polifish

Статус: Активный участник

Группы: Участники
Зарегистрирован: 06.08.2008(UTC)
Сообщений: 55
Откуда: Moscow

Исходя из документации на ПАК сборки 1.5.1000 (Центр Сертификации. Руководство по эксплуатации на платформе Microsoft Windows Server 200Х) задачу можно решить следующим образом:
1. За 1 год и 30 дней до истечения корневого СКП произвести плановую замену сертификата
2. Сформировать список отзыва и запрос(-ы) на кросс-сертификацию
3. В параметра CACertHash в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\имя ЦС удалить последнюю строчку с отпечатком нового корневого сертификата, перезапустить службу сертификации для продолжения издания клиентских СКП на старом корневом сертификате
4. В течении 30 дней уведомить партнеров, произвести кросс-сертификацию с ними, зарегистрировать сертификат в Минсвязи
5. Спустя 30 дней вернуть значение параметра CACertHash в исходное состояние, перезапустить службу сертификации. Клиентские сертификаты будут издаваться на новом корне.
Offline Laroux  
#5 Оставлено : 31 мая 2016 г. 17:01:54(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
Есть корневой №0 (с кросс-сертификатом МКС)
Выпущен корневой №1 (без кросс-сертификата МКС)
На корневом №1 ЦС переведен в режим подчиненного согласно документации, предоставленной ООО "КРИПТО-ПРО" и сделан запрос на подчиненный сертификат для МКС

Запрос отправлен в МКС на обработку
А пока пытаюсь отключить корневой №1 с помощью CACertHash

ЦС отказывается запускаться: "Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. 0x800b0109 (-2146762487)"

Причем есть нюанс - если я делаю так:
ставлю ЦС с сер-том №0, обновляю его до №1, перевожу в режим подчиненного и делаю запрос на подчиненный сер-т, то прием с CACertHash срабатывает.

если же я восстанавливаю ЦС с использованием двух корневых №0 и №1, накатываю базу ЦС, затем перевожу в режим подчиненного, делаю запрос на подчиненный, то прием с CACertHash не работает.

Есть предположения?

Отредактировано пользователем 31 мая 2016 г. 17:49:18(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.