Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Сертификат уполномоченного лица Удостоверяющего центра
Статус: Участник
Группы: Участники
Зарегистрирован: 29.04.2011(UTC)
Сообщений: 18
Откуда: RR
|
Здравствуйте!
Для того, чтобы нормально выполнялась проверка ЭЦП документов системными функциями я устанавливаю корневой сертификат УЦ, которому я планирую доверять, в доверенные корневые сертификаты. (если я не прав, поправьте, пожалуйста)
Подскажите, пожалуйста,
нужно ли мне устанавливать также и сертификаты уполномоченных лиц УЦ в доверенные, чтобы нормально обрабатывались все ЭЦП документов, сделанные с помощью полученных от УЦ ключей?
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Здравствуйте!
Обычно считается, что корневой сертификат УЦ, сертификат ЦЕнтра Сертификации и сертификат уполномоченного лица УЦ - это одна и таже сущность! Разными словами, но об одном и том же :-) Так что сертификаты уполномоченных лиц УЦ нужно устанавливать в раздел "доверенные корневые сертификаты" хранилища сертификатов. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.11.2010(UTC) Сообщений: 18 Откуда: Городок за МКАДом Сказал «Спасибо»: 5 раз
|
Здравствуйте. прошу прощения если вопрос ранее поднимался.
Напомните пожалуйста, в каких случаях, кроме окончания срока действия необходимо перевыпускать корневой сертификат УЦ, и если я правильно понимаю. необходимо оповестить всех пользователей УЦ о смене корневого и необходимости установки нового?
Поиск пока не помог((
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Здравствуйте!
Перевыпускать (изготавливать новый) корневой сертификат УЦ нужно в следующих случаях:
1. При плановой смене ключей уполномоченного лица УЦ, т.е. в случае, когда скоро закончится срок действия закрытого ключа уполномоченного лица УЦ.
2. При внеплановой смене ключей уполномоченного лица УЦ, а именно когда:
- закрытый ключ уполномоченного лица УЦ закончил свой срок действия, а плановая смена произведена не была;
- произошла компрометация закрытого ключа уполномоченного лица УЦ;
- есть подозрение, что закрытый ключ уполномоченного лица УЦ мог быть скомпрометирован;
- закрытый ключ уполномоченного лица УЦ не доступен (уронили в море ключевой носитель или ключевой носитель повреждён или забыли ПИН-код к ключевому контейнеру и т.д.);
- в связи с необходимостью внести изменение в содержимое сертификата открытого уполномоченного лица УЦ (переименование владельца, введение новых Требований к форме или формату сертификата и т.д.);
- по решению, вступившему в законную силу (по решению суда, по решению владельца удостоверяющего центра и т.д.). |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.11.2010(UTC) Сообщений: 18 Откуда: Городок за МКАДом Сказал «Спасибо»: 5 раз
|
Благодарю за полноту и оперативность ответа.
Нашел на форуме ответ еще на один вопрос. О необходимости перевыпуска корневого сертификата при увольнении уполномоченного лица (Директора УЦ например). Если правильно понял, то перевыпуск не требуется если:
1. Ключ хранится с соблюдением требований безопасности;
2. Ключ неэкспортируемый;
3. Не утрачен, не скопрометирован, не заканчивается и т.д.
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
maxx написал:Благодарю за полноту и оперативность ответа.
Нашел на форуме ответ еще на один вопрос. О необходимости перевыпуска корневого сертификата при увольнении уполномоченного лица (Директора УЦ например). Если правильно понял, то перевыпуск не требуется если:
1. Ключ хранится с соблюдением требований безопасности;
2. Ключ неэкспортируемый;
3. Не утрачен, не скопрометирован, не заканчивается и т.д.
Вы попытались другими словами изложить выше приведённый перечень. Но сделали это не совсем полно. Я бы добавил: 4. В сертификат уполномоченного лица УЦ не занесена информация об уполномоченном лице (нет его ФИО, должности или иной информации, которая меняется); 5. Если не прошло переименование организации-УЦ или её реорганизации; 6. Если не произошло внешних причин, вызвавших необъодимость сменить информацию в сертификате уполномоченного лица УЦ. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.11.2010(UTC) Сообщений: 18 Откуда: Городок за МКАДом Сказал «Спасибо»: 5 раз
|
Юрий Маслов написал:maxx написал:Вы попытались другими словами изложить выше приведённый перечень. Но сделали это не совсем полно. Я бы добавил:
4. В сертификат уполномоченного лица УЦ не занесена информация об уполномоченном лице (нет его ФИО, должности или иной информации, которая меняется);
5. Если не прошло переименование организации-УЦ или её реорганизации;
6. Если не произошло внешних причин, вызвавших необъодимость сменить информацию в сертификате уполномоченного лица УЦ.
Теперь предельно понятно. В нашем случае директор УЦ более не работает в организации, КС не содержит ФИО и т.п. При соблюдении прочих условий сертификат можно не перевыпускать. Еще раз СПАСИБО. С Уважением...
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 08.04.2010(UTC)
Сообщений: 57
|
maxx написал:... При соблюдении прочих условий сертификат можно не перевыпускать. Только не забывайте его раз в год перевыпускать, если у вас нет дорогущего шкафчика от КриптоПро ;)
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
freecod написал:maxx написал:... При соблюдении прочих условий сертификат можно не перевыпускать. Только не забывайте его раз в год перевыпускать, если у вас нет дорогущего шкафчика от КриптоПро ;) А всё равно иных аналогов в России, кроме "дорогущего шкафчика " пока нет. Поэтому не надо говорить так... Мы сейчас ищем (уже практически нашли) иную аппаратную платформу, которая позволит существенно удешевить стоимость HSM. К сожалению, объем рынка HSMов в России не позволяет получить существенные скидки при приобретении комплектующих. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.05.2010(UTC)
Сообщений: 69
Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
|
Здравствуйте!
1) А необходимо ли вообще официально назначать Уполномоченное лицо УЦ? Ведь в 63-ФЗ такое понятние отсутствует.
2) Поскольку ФСБ требует учитывать все ключевые документы, следовательно нужно учитывать и ключи ЦС, а значит и закреплять ответственность за конкретным лицом, которое будет хранить ключ ЦС (корневой ключ УЦ)?
3) Можно ли назначить Уполномоченным лицом директора (и нужно ли), если в документации на КриптоПро УЦ сказано:
"Описание ролей УЦ:
Администратор ЦС – уполномоченное лицо Удостоверяющего Центра, администратор специального программного обеспечения ЦС."
т.е. уполномоченным лицом следует назначать того, кто администрирует ЦС. А чтобы не считалось компрометацией увольнение этого лица - использовать неэкспортируемые ключи.
Поделитесь мнением, пожалуйста )
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Сертификат уполномоченного лица Удостоверяющего центра
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
