Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
Что ставить первым на сервер W8K Ent R2 SP1: роль CA или Крипто-Про CSP+TLS ?
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.08.2011(UTC) Сообщений: 2  Откуда: Moscow
|
Поднимаю CA под Windows Server 2008 R2 SP1 (для тестов-всё будет на одном сервере, т.е. выключенного из сети корневика не будет). На клиентах хотят видеть КриптоПро (российскую криптографию). Перед инсталляцией осталось несколько неясностей. Буду благодарен за ответы на вопросы: 1) Что ставить первым на сервер Windows Server 2008 R2: КриптоПро CSP 3.6 R3, а потом роль Certificate Service (где генериться Root-sertificat для Enterprise-типа CA) или наоборот? Вопрос возник потому, что я не понимаю с каким криптопровайдером генерится ROOT сертификат CA при его первичной установке если стоит и не стоит в это время на сервере Крипто-Про CSP+TLS ? 2) Если в этот момент не будет стоять Крипто-Про CSP 3.6 R3 и TLS, а мне нужны сертификаты для клиентов (логинов в домене) с российской криптографией, то наверное, и корневой сертификат CA тоже должен быть изначально сгенерён по российскому криптопровайдеру? 3) Или это необязательно или даже вредно, если этот CA будет использоваться и для других целей (SSL для серверов, например, с американским криптопровайдером RSA)? 4) Вообще, после установки на сервер Крипто-Про CSP 3.6 R3 в окне генерации сертификата корневого CA (при установки роли) будет российская криптография или она на этом этапе не нужна? 5) Правильно ли я понимаю, что установка на сервер Крипто-Про CSP 3.6 R3+TLS просто добавляет российский криптопровайдер в окне генерации сертификата из шаблона для клиентов (он называется Crypto-Pro GOST R34.10.2011 CSP)? В том числе и для CA (или подчинённых CA) 6) Нужно ли мне на клиенте (и сервере) при установке КриптоПро CSP 3.6 R3 выбирать компонент Revocation Provider (OCSP) если в домене на CA будет служба OCSP из состава Certificates Service W8K R2 SP1. Этот компонент из КриптоПро CSP 3.6 R3 про КиптоПро-шный сервис OCSP или про виндовый OCSP?\ 7) Серверные лицензии Крипто-Про CSP 3.6 R3+TLS мне теперь нужно ставить на все сервера для которых мне нужен Web-сертификат или он там не нужен, или нужна не серверная лицензия? Отредактировано пользователем 22 августа 2011 г. 15:25:04(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381   Откуда: Москва Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
|
1)Если хотите выпускать гостовые сертификаты-первым нужно устанавливать КриптоПро CSP.
2)Да
3)Не вредно, но на этих серверах Вам придется ставить СSP. Если Вас это устраивает,то пожалуйста.
4)Будет + см. 1)
5)Да
6)Это наш Revocation Provider. Если операторский сертификат службы выдан этим же CA и в сертификате прописана AIA на OCSP службу, то виндовый по ней пойдет. Наш при этом устанавливать не нужно.
7)Да, на сервера, для которых Вам нужен сертификат веб-сервера. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.08.2011(UTC) Сообщений: 2 Откуда: Moscow
|
Огромное спасибо за пояснения!
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.11.2011(UTC)
Сообщений: 16
|
Добрый день.
Я развернул в точности по такой же схеме у себя в тестовой сети на машине Windows 2008 R2:
1. Контроллер домена.
2. КриптоПро CSP 3.6 R2.
3. Родной CA от MS (корневой сертификат получился ГОСТ как и задумывалось).
Далее у меня возникла проблема в выдаче сертификата другой машине в сети под управлением Windows 2008 R2 (машина в домене). На ней установлен:
1. CryptoPro CSP 3.6 R2.
2. Терминальный сервер.
3. Корневой сертификат в хранилище локального компьютера.
Проблема заключается в том, что при выборе шаблона сертификата "Компьютер" я не могу указать провайдер Crypto-Pro GOST R34.10.2011 CSP - позиция есть, но заблокирована. Ради интереса попробовал посмотреть в другие шаблоны. Так например, для шаблонов "Контроллер домена", "Агент регистрации", "Пользователь со смарт-картой", выбор этого провайдера доступен.
Можете подсказать, в чем проблема?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про
|
Посмотрите что есть права для запроса (компьютеры домена), в свойствах шаблона длинна ключа 512-бит, наличие что он разрешен, не стоит галочки примерно звучащей так - "разрешить экспортировать закрытый ключ".
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.11.2011(UTC)
Сообщений: 16
|
В свойствах шаблона следующая информация: 1. "Разрешить экспортировать закрытый ключ" не стоит. 2. Поставщик "Crypto-Pro ... " в списке есть, но список неактивен полностью. 3. Безопасность - указано ко всему остальному "Компьютеры домена". 4. Минисальный размер ключа не указано нигде там. Сделал копию шаблона "Компьютер" 1. Экспорт ключа не стоит. 2. Имя алгоритма шифрования - на выбор только RSA, ECDH_P256, ECDH_P384, ECDH_P521 - это нормально? 3. Минимальный размер ключа - 512. 4. Выбрано "В запросах могут использоваться любые поставщики, доступные на компьютере пользователя". 5. Хэш запроса - в списке есть GOST R34.11-94. 6. Безопасность - указано ко всему остальному "Компьютеры домена". Ничего не изменилось с использованием нового шаблона. Отредактировано пользователем 7 ноября 2011 г. 21:10:53(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про
|
Должно быть так: Пользователь rozhkov прикрепил следующие файлы:  IPSec.PNG (40kb) загружен 429 раз(а). IPSec2.PNG (26kb) загружен 427 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.11.2011(UTC)
Сообщений: 16
|
Не могу похвастаться подобным изобилием доступных настроек. Текущий пользователь - Администратор домена. Есть другие способы настроить шаблон? Пользователь Melhior прикрепил следующие файлы: 3.png (156kb) загружен 425 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про
|
Шаблоны сертификатов - Управление, далее копируете необходимый шаблон и после этого можете его изменять как хотите.
После изменения добавляете его, на шаблоны сертификатов Создать - Выдаваемый шаблон сертификатов, или что-то подобное там имеется, на 2008 R2 отличий по настройке шаблонов от 2003 нету.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.11.2011(UTC)
Сообщений: 16
|
Я писал выше, что пробовал копировать и подстраивать. Эффекта нету. В настройках скопированного шаблона нету даже провайдера Crypto Pro в списке на выбор.
|
|
|
|
|
|
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
Что ставить первым на сервер W8K Ent R2 SP1: роль CA или Крипто-Про CSP+TLS ?
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
