Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline xoshimin  
#1 Оставлено : 14 июня 2011 г. 23:02:48(UTC)
xoshimin

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.04.2011(UTC)
Сообщений: 5
Откуда: Москва

Добрый день.
В свойствах ЦС, в расширениях были настроены точки распространения CDP и AIA (2 сервера по http).
В закладке "Модуль политик" -> "Правила Формирования CDP и AIA" было настроено одно правило "All_cert" без всяких условий, где были выбраны (отмечены) наши точки распространения CDP и AIA.
При формировании пользовательских сертификатов эти точки вставлялись как нам надо, а именно:

[1]Точка распространения списка отзыва (CRL)
Имя точки распространения:
Полное имя:
URL=http://www.xxx.ru/ra/cdp/xxx.crl
URL=http://ra.xxx.ru/ra/cdp/xxx.crl

[1]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://www.xxx.ru/ra/aia/ca-xxx.cer
[2]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://ra.xxx.ru/ra/aia/ca-xxx.cer


Но при замене корневого сертификата в него тоже вставились точки распространения CDP, причем как-то странно, в таком вот виде:

[1]Точка распределения списка отзыва (CRL)
Имя точки распространения:
Полное имя:
URL=http://ca/CertEnroll/xxx.crl
URL=file://\\CA\CertEnroll\xxx.crl
URL=http://www.xxx.ru/ra/cdp/xxx.crl
URL=http://ra.xxx.ru/ra/cdp/xxx.crl

Точки AIA не вставились.

Вопрос:
1) Почему в новый корневой сертификат вставились "точки распространения CDP" в таком "кривом" виде?
2) Почему попутно не вставились AIA?
3) Как сделать так, чтобы в будущем ни CDP ни AIA не вставлялись в корневой сертификат?
4) Есть ли потенциальная проблема в этих «кривых» точках распространения CDP (ссылки на не существующие точки распространения CDP или на списки CDP подписанные предыдущим корневым сертификатом)?

И попутный вопрос:
1) Можно ли автоматизировать имя CDP, так, чтобы при замене корневого сертификата, в пользовательские сертификаты подписанные им, в точки распространения CDP вставлялся именно его идентификатор? Или это невозможно и сразу после замены корневого сертификата надо править точки распространения CDP?

Заранее благодарен
С уважением
Алексей
Offline Василий Дементьев  
#2 Оставлено : 16 июня 2011 г. 15:27:20(UTC)
Василий Дементьев

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 350
Откуда: ООО "КРИПТО-ПРО"

Поблагодарили: 6 раз в 5 постах
Обновление корневого сертификата происходит при остановленной службе сертификации, т.е. тогда, когда не загружен модуль политики (поэтому его настройки вообще не влияют).

Добавление точек CDP и AIA в сертификат ЦС делается на основании информации, полученной из мест:
а) файл capolicy.inf (в корне системной папки Windows)
б) из реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<имя ЦС>
параметры
CACertPublicationURLs
CRLPublicationURLs

Чтобы не добавлялись никакие из них - вот образец файла capolicy.inf:
[Version]
Signature="$Windows NT$"

[CRLDistributionPoint]
URL=""

[AuthorityInformationAccess]
URL=""

При этом если ЦС на Win 2003 - то должен быть установлен SP2 на Windows.

Можно убрать лишние точки cdp и aia из существующего сертификата ЦС - для этого могу дать специальную утилиту (CACertSign.exe). Она запускается на ЦС. После испраления можно переустановить сертификат на ЦС и заменить его на остальных компьютерах (ЦР, АРМ, компьютеры пользователей).

По вопросу 4 - да, если приложение будет при проверке отзыва сертификата проверять все сертификаты цепочки (а так бывает часто, пример - Outlook) - то будет большой период ожидания при попытке доступа к недоступным точкам.

По последнему вопросу - нет, не предусмотрено. Нужно менять вручную после смены сертификата ЦС.
Offline xoshimin  
#3 Оставлено : 17 июня 2011 г. 15:42:49(UTC)
xoshimin

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.04.2011(UTC)
Сообщений: 5
Откуда: Москва

Василий, большое спасибо за ответ.

Win Serv 2003 со вторым сервиспаком.

CAPolicy.inf
[Version]
Signature="$Windows NT$"

[CRLDistributionPoint]
URL=""

Реестр
CACertPublicationURLs:
1:C:\WINDOWS\system32\CertSrv\CertEnroll\%1_%3%4.crt
0:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11
2:http://%1/CertEnroll/%1_%3%4.crt
2:file://\\%1\CertEnroll\%1_%3%4.crt
2:http://www.xxx.ru/ra/aia/ca-xxx.cer
2:http://ra.xxx.ru/ra/aia/ca-xxx.cer


CRLPublicationURLs:
65:C:\WINDOWS\system32\CertSrv\CertEnroll\%3%8%9.crl
0:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10
6:http://%1/CertEnroll/%3%8%9.crl
6:file://\\%1\CertEnroll\%3%8%9.crl
0:http://www.xxx.ru/ra/cdp/xx1.crl
0:http://ra.xxx.ru/ra/cdp/xx1.crl
6:http://www.xxx.ru/ra/cdp/xx2.crl
6:http://ra.xxx.ru/ra/cdp/xx2.crl

Похоже вставилось те строчки где указана цифра 6 (видимо это одна из галочек в закладке "Расширения").

Пришлите пожалуйста упомянутую утилиту на адрес из профайла, будем делать " красиво".
С уважением
Алексей
Offline Василий Дементьев  
#4 Оставлено : 17 июня 2011 г. 17:08:30(UTC)
Василий Дементьев

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 350
Откуда: ООО &amp;amp;quot;КРИПТО-ПРО&amp;amp;quot;

Поблагодарили: 6 раз в 5 постах
Для 2003 есть хотфикс от Microsoft, который устраняет ошибку MS CA в части применения настроек из файла capolicy.inf при обновлении сертификата ЦС.
Это KB927169.
Но влиять будет только на следующие процедуры обновления сертификата ЦС.

Утилиту вышлю.
Offline xoshimin  
#5 Оставлено : 17 июня 2011 г. 20:10:04(UTC)
xoshimin

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.04.2011(UTC)
Сообщений: 5
Откуда: Москва

Василий, спасибо за утилиту.
Запустил, она нормально проработала, точки CDP из сертификата исчезли.
Сертификат переустановил, в корневые его занес, сертификат с CDP вроде как отовсюду почистил
Но при запуске службы возникает ошибка:Цепочка сертификатов обработана, но обработка прервана на корневом cepтификaтe, у которого отсутствует отношение доверия с поставщиком доверия. 0х800b0109 (-2146762487)
При этом в ветке: Промежуточные центры сертификации -> Сертификаты появляется "старый" сертификат с CDP (с отметкой что к нему нет доверия), откуда он там берется не пойму. После его удаления и повторного пуска службы он сновая появляется.

Подскажите, что не так сделал?
С уважением
Алексе
Offline Василий Дементьев  
#6 Оставлено : 20 июня 2011 г. 17:57:03(UTC)
Василий Дементьев

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 350
Откуда: ООО &amp;amp;quot;КРИПТО-ПРО&amp;amp;quot;

Поблагодарили: 6 раз в 5 постах
В принципе, на ЦС можно было не менять.
Отсутствие CDP актуально для клиентов.

Но, конечно, правильнее менять.
На ЦС: после установки нового сертификата в "Довереныые корневые ЦС" локального компьютера и в "Личные" локального компьютера (со ссылкой на контейнер) нужно в параметре CACertHash (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<имя ЦС>) проверить значение отпечатка последнего сертификата и поменять на значение из нового сертификата. Значение отпечатка смотрите в окне просмотра сертификата - Состав - в самом низу.

Отредактировано пользователем 20 июня 2011 г. 17:58:20(UTC)  | Причина: Не указана

Offline xoshimin  
#7 Оставлено : 24 июня 2011 г. 16:10:09(UTC)
xoshimin

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.04.2011(UTC)
Сообщений: 5
Откуда: Москва

Василий,
спасибо, все получилось и на тестовом и на боевом сервере, правда новые сертификаты пока не выпускали, но надеюсь проблем не возникнет.
Проконсультируйте, пожалуйста, еще по одному вопросу, что правильнее писать в AIA:
1) ссылку на каталог где выложены корневые сертификаты за несколько лет;
2) ссылку на файл с корневым сертификатом с уникальным именем (в имени идентификатор как и CDP);
3) или просто ссылку на текущий корневой сертификат (для прошлогодних сертификатов ссылка уже будет не верна)
С уважением
Алексей
Offline Sergey M. Murugov  
#8 Оставлено : 24 июня 2011 г. 16:47:52(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Мне кажется лучше почитать первоисточник в международных рекомендациях RFC 5280 раздел 4.2.2.1. Authority Information Access
Offline Василий Дементьев  
#9 Оставлено : 27 июня 2011 г. 14:12:00(UTC)
Василий Дементьев

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 350
Откуда: ООО &amp;amp;quot;КРИПТО-ПРО&amp;amp;quot;

Поблагодарили: 6 раз в 5 постах
... или вообще ничего не писать.
Как правило, сертификат ЦС должен распространяться через какой-то доверенный источник или доверенный канал.
Например, пользователю лично в руки на съёмном носителе.
Даже если это невозможно, то лучше, чтобы пользователь сам скачивал сертификат ЦС (по ссылке, приведённой на сайте УЦ) и сам его устанавливал (и брал на себя ответсвенность за это действие).
Offline Sergey M. Murugov  
#10 Оставлено : 27 июня 2011 г. 21:33:21(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Поскольку мы не знаем какова структура домена у господина "xoshimin" то совет "вообще ничего не писать" может быть не правильным, например если структура сложноорганизована, есть мосты, кроссы, то для автоматизации сбора данных для последующей процедуры построения цепочки сертификации, AIA весьма и весьма применимы.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.