Алгоритм работы при выпуске и публикации СОС такой:
1) если выпуск СОС делается в настроенное рабочее время - то срок действия СОС вычисляется как обычно (не продлевается)
2) если выпуск СОС делается в настроенное нерабочее время - то срок окончания действия продлевается по правилу:
берётся начало следующего рабочего периода,
к нему прибавляется стандартный срок действия СОС,
плюс точность часов,
плюс интервал перекрытия.

Почему так. Этот алгоритм обеспечивает воспроизведение сценария, когда ЦС в нерабочее время физически выключается. Как только наступает новый период рабочего времени - ЦС включается и в этот момент штатно выпускается новый СОС с обычным сроком действия. Поскольку в нерабочее время отзыв сертификатов не производится - то ЦС имеет право выпуска такого СОС.
Наш алгоритм к описанному сценарию добавляет покрытие на нерабочее время.

В вашем случае:
в пятницу выпускается обычный СОС на 1 день,
в субботу выпускается СОС на время до начала рабочего дня (понедельник, 00:00) плюс 1 день (штатный срок действия) плюс 1 час (перекрытие) плюс точность часов (у вас 5 мин).

У вас очень длинный срок действия СОС (1 день) по сравнению с типичным нерабочим временем (2 дня).

Я имел в виду - что если бы срок действия СОС был небольшим, например, 1 час, то результат использования этого алгоритма работы был бы гораздо более приближен к интуитивно ожидаемому результату - "до утра понедельника".

Я вам рекомендую кроме рабочих и выходных дней использовать рабочие часы (например, 09:00-18:00), тем более что у вас было упоминание "в 1:05 (ночь), когда соответственно никого нет на рабочем месте".

Тогда в пятницу или перед праздником после 18:00 (например, в 18:10) вы можете вручную выпустить СОС, срок действия которого будет продлён на выходные (плюс стандартный срок действия). И этот СОС можно доставить на точку публикации.

Не нужно в качестве выходных указывать те дни, что не являются выходными реально.

Ещё раз:
- в нерабочее время отзыв сертификатов не производится;
- УЦ гарантирует пользователям то, что изменения в статусе их сертификатов будет доведено до пользователей в течение времени действия СОС.
Таким образом, в вашем случае, если сертификат отзывается в понедельник, а срок действия СОС - 24 часа, то это значит, что УЦ гарантирует, что только через сутки все узнают об изменении статуса сертификата. И нет смысла выпускать внеплановый СОС в течение рабочего дня понедельника, поскольку продлённый в пятницу СОС весь понедельник покрывает. Очередной СОС будет планово (автоматически по расписанию) выпущен во вторник в 9:26.

Если нужно, чтобы информация об отзыве была доступна вашим пользователям более оперативно - то вам следует сократить срок действия СОС.

Отредактировано пользователем 18 июня 2012 г. 16:59:05(UTC)  | Причина: Не указана

Интересный вопрос.

Были, конечно - на нашем действующем УЦ есть много внешних операторов, в т.ч. далеко от Москвы.
Но рабочее время этого УЦ определено по московскому времени (с 9 до 18), поскольку сервера ЦС, ЦР в Москве и рабочий день у нас 8-часовой.
Юридически, конечно, это неудобно для удалённых операторов - мы гарантируем работу УЦ только в период нашего рабочего времени. Т.е. если опреатор захочет выпустить или отозвать сертификат в нерабочее по Москве время - то у него это может не получиться. Хотя явного запрета для операторов на работу на нашем УЦ в нерабочее время по Москве на этом УЦ нет.

Чтобы было удобнее удалённым пользователям и операторам можно на выбор:
1) увеличить рабочее время на УЦ и обеспечить посменную работу персонала, обслуживающего УЦ - вплоть до круглосуточного режима, если это требуется.
2) разделить УЦ путём создания подчинённых УЦ в основных или во всех территориальных отделениях.

"Рабочее время УЦ" по отношению к настройкам публикации СОС - это время, когда можно принимать (одобрять) запросы на отзыв. И аналогично для запросов на сертификат.
В принципе, оно может не совпадать с временем, когда есть на месте обслуживающий персонал серверов УЦ.

Тогда вам нужно где-то зафиксировать в документации, как поступать операторам, если им не удаётся обработать запрос, а персонала УЦ нет на месте.

Вам нужно решить, исходя из фактических условий эксплуатации УЦ:
1) за какое время УЦ гарантирует обработку запроса на изготовление сертиифката
2) за какое время УЦ гарантирует обработку запроса на отзыв сертиифката
Возможно, эти значения будут разными в зависимости от того, когда поступает запрос - в то время, когда есть на месте обслуживающий персонал серверов УЦ (в Москве) или нет.

После этого можно будет оптимально выбрать срок действия СОС, расписание его выпуска и расписание публикации СОС на внешний ресурс.
Если всех устраивает сейчас срок действия СОС 24 часа и по п. 1 и 2 вы выберите формулировку "не позднее рабочего дня УЦ (по Москве), следующего за днём поступления запроса" - то существующее расписание и настройки уже годятся.

Нет, в УЦ нет такого программного контроля.
Т.е. если сервера ЦР, ЦС будут работать и ЦР будет доступен извне - то можно одобрить запрос на сертификат или запрос на отзыв в любое время.

Отредактировано пользователем 19 июня 2012 г. 20:59:47(UTC)  | Причина: Не указана