Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
наличие подключения УЦ к сетям общего пользования
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2012(UTC)
Сообщений: 195
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 4 раз в 4 постах
|
Доброго дня!
УЦ обеспечивает работу с торговыми площадками, пытаемся аттестоваться для ФНС, но получили замечание о наличии недопустимого подключения ЦР к интернету (ссылка на п.2.6 формуляра), ЦР имеет внешний "белый"IP, УЦ расположен за МЭ соответствующего класса.
Подозреваю, что упущено какое-то базовое правило, но не могу найти ответа. Может, надо натировать адрес ЦР на МЭ? В учебном пособии Крипто-Про есть схема с размещением ЦР в ДМЗ. Наш УЦ создан некоторое время назад, аттестован для работы с торговыми площадками, но это всё происходило без моего участия - я второй день на этой работе, и в практических тонкостях PKI только начинаю разбираться...
Есть ли типовые схемы организации УЦ с наличием возможности обращения к нему через интернет, не вызывающие претензий ФНС?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2011(UTC) Сообщений: 554   Откуда: Москва Сказал «Спасибо»: 52 раз
Поблагодарили: 45 раз в 28 постах
|
avm написал:Доброго дня!
УЦ обеспечивает работу с торговыми площадками, пытаемся аттестоваться для ФНС, но получили замечание о наличии недопустимого подключения ЦР к интернету (ссылка на п.2.6 формуляра), ЦР имеет внешний "белый"IP, УЦ расположен за МЭ соответствующего класса.
Подозреваю, что упущено какое-то базовое правило, но не могу найти ответа. Может, надо натировать адрес ЦР на МЭ? В учебном пособии Крипто-Про есть схема с размещением ЦР в ДМЗ. Наш УЦ создан некоторое время назад, аттестован для работы с торговыми площадками, но это всё происходило без моего участия - я второй день на этой работе, и в практических тонкостях PKI только начинаю разбираться...
Есть ли типовые схемы организации УЦ с наличием возможности обращения к нему через интернет, не вызывающие претензий ФНС?
Цитата:Может, надо натировать адрес ЦР на МЭ? это как минимум. А зачем вам смотрящий наружу ЦР? Распределенный режим?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2012(UTC)
Сообщений: 195
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 4 раз в 4 постах
|
для публикации СОС (???!)... OCSP пока не поднят.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287 Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
настройте на ЦРе правило, которое будет класть СОС на какой-нить сервер в вашей локалке и затем уже раскладывайте его на хостинги.
Обратите внимание, что для торговых площадок необходимо как минимум два пути к СОС, расположенным на разных IP
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2011(UTC) Сообщений: 554 Откуда: Москва Сказал «Спасибо»: 52 раз
Поблагодарили: 45 раз в 28 постах
|
Laroux написал: расположенным на разных IP доменах 
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287 Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
shkodnik написал:Laroux написал: расположенным на разных IP доменах нифига подобного
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287 Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
Цитата:4.3.7. Удостоверяющий центр должен обеспечить публикацию списков отозванных сертификатов как минимум в двух сетевых ресурсах (точках распространения). При этом доступ к указанным сетевым ресурсам должен обеспечиваться по различным каналам связи (разнесение сетевых ресурсов публикации списков отозванных сертификатов по различным интернет-провайдерам).
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2011(UTC) Сообщений: 554 Откуда: Москва Сказал «Спасибо»: 52 раз
Поблагодарили: 45 раз в 28 постах
|
Laroux написал:Цитата:4.3.7. Удостоверяющий центр должен обеспечить публикацию списков отозванных сертификатов как минимум в двух сетевых ресурсах (точках распространения). При этом доступ к указанным сетевым ресурсам должен обеспечиваться по различным каналам связи (разнесение сетевых ресурсов публикации списков отозванных сертификатов по различным интернет-провайдерам). чье требование? какой площадки?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287 Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
Павел, Вы логически сами посудите-то: на кой икс надо публиковать СОС на двух разных доменах? Смысл?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2011(UTC) Сообщений: 554 Откуда: Москва Сказал «Спасибо»: 52 раз
Поблагодарили: 45 раз в 28 постах
|
Laroux написал:Павел, Вы логически сами посудите-то: на кой икс надо публиковать СОС на двух разных доменах? Смысл? один пров может дать 2 разных ip главное обеспечить 24/7 режим доступности и актуальности Отредактировано пользователем 21 августа 2012 г. 15:53:14(UTC)
| Причина: Не указана
|
|
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
наличие подключения УЦ к сетям общего пользования
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
