Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
Простые технические вопросы по установке и конфигурации УЦ
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 81
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
|
Добрый день. Хотелось бы уточнить несколько простых вопросов по установке УЦ версии 1.5R2. Вопросы следующие: Код:1. Возможна ли установка на W2k8R2 без SP1? Критичен ли данный пак?
2. Имеет ли значение, если использовать CAPolicy для квалифицированных сертификатов, но при этом выпускать неквалифицированные? И еще вопрос по теме, если технически оформить выдачу согласно квалифицированному сертификату, а аккредитацию получать потом. Возникнут ли какие либо проблемы при получении аккредитации и не только?
3.Хочется уточнить про публикацию СОС.
Почитал руководство по эксплуатации и пришел к выводу что, в прилагаемом файле CAPolicy, который можно также отдельно скачать, ничего не надо изменять или же я ошибаюсь? Так как в руководстве указывается стандартный путь куда будет публиковаться сертификат, именно самой службой сертификации. Или же и этот путь необходимо прописать в данном файле? В итоге главный вопрос, что лучше прописывать в файле или потом уже утилитой certutil по поводу распространения СОС? Скорее всего утилитой так как сертификат самоподписный необходимо без данных ссылок сделать, а иначе не очень красиво) Но какие именно?
3. Как осуществлять публикацию СОС в AD?
Отредактировано пользователем 28 ноября 2012 г. 21:35:48(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381   Откуда: Москва Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
|
1)Мы рекомендуем ставить SP1
2)До тех пор, пока Вы аккредитацию не пройдете-выдаваемые Вами сертификаты не будут квалифицированными. Подаете документы, получаете добро, выпускаете корневой -шлете в МКС, аккредитовываетесь - выпускаете квал.сертификаты пользователям.
3)Получаете подходящий Вам CAPOlicy.inf. Править его не нужно. Выпускаете корневой. Остальные вопросы не совсем понятны. CDP в корневом быть не должно.
4)ЖТЯИ.00067-02 90 19 «КриптоПро УЦ. Регламентные задания» |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 81
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
|
1. Хороший ответ)) А на чем тогда основаны данные рекомендации технически?)
2. Я понимаю, что камень преткновения в аккредитации. Я имел ввиду, что при выпуске квалифицированых там технически добавляются некоторые измения, и вопрос был в том, ничего если будем выпускать по эталону квалифицированых со всеми вытекающими, но с аккредитацией немного подождем?
3. В смысле получаете? Если Вы про тот, что у Вас на сайте, его я и использовал. Остальные вопросы касались, того, что как лучше потом прописать данные пути в остальных сертификатах? Используя модуль выхода, или стандартной утилитой certutil?
4. Ок, спасибо.
|
|
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
|
1) Вы что услышать хотите? Что обязательно?)) Ну как минимум - для СКЗИ. В Руководстве администратора безопасности : необходимо регулярно устанавливать пакеты обновления безопасности ОС (Service Packs, Hot fix и т.п.), обновлять антивирусные базы, а так же исследовать информационные ресурсы по вопросам компьютерной безопасности с целью своевременной минимизации опасных последствий от возможного воздействия на ОС.2) Цитата:ничего если будем выпускать по эталону квалифицированых со всеми вытекающими, но с аккредитацией немного подождем? Технически выпускать Вы сможете. Но с вероятностью 99% после сбора документов для аккредитации Вас попросят выпустить новый корневой - Дата выдачи корневого сертификата должна быть позднее даты аккредитации. 3) Цитата:Остальные вопросы касались, того, что как лучше потом прописать данные пути в остальных сертификатах? Да какие пути?) Вы о AIA, CDP в выпускаемых клиентских сертификатах? Настраивается это в свойствах ЦС - на кладке Расширения |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287  Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
Femi написал: с вероятностью 99% после сбора документов для аккредитации Вас попросят выпустить новый корневой 100%
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 81
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
|
Цитата:1) Вы что услышать хотите? Что обязательно?)) Ну как минимум - для СКЗИ. В Руководстве администратора безопасности :
необходимо регулярно устанавливать пакеты обновления безопасности ОС (Service Packs, Hot fix и т.п.), обновлять антивирусные базы, а так же исследовать информационные ресурсы по вопросам компьютерной безопасности с целью своевременной минимизации опасных последствий от возможного воздействия на ОС 1. Не совсем то) В целом, я имел ввиду с самого начала, является ли это таким критичным или нет, рекомендации в общем плане понятны, имелось ввиду конкретика касательно работы самого ПО Крипто-Про. Цитата:Вас попросят выпустить новый корневой - Дата выдачи корневого сертификата должна быть позднее даты аккредитации 2. Спасибо теперь понял. 3. Цитата:Да какие пути?) Вы о AIA, CDP в выпускаемых клиентских сертификатах? Настраивается это в свойствах ЦС - на кладке Расширения Естественно о них. Я понимаю, что это и там настраивается. Речь шла о том, что модуль лучше все делать через дефолтные средства или модуль выхода? Но я уже так понимаю что никакого различия нет.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2011(UTC) Сообщений: 554 Откуда: Москва Сказал «Спасибо»: 52 раз
Поблагодарили: 45 раз в 28 постах
|
Laroux написал:Femi написал: с вероятностью 99% после сбора документов для аккредитации Вас попросят выпустить новый корневой 100% Цитата:Внимание! Время выпуска сертификата должно быть позднее, чем дата приказа об аккредитации. выдержка из анкеты УЦ для МКС
|
|
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
|
Цитата:Речь шла о том, что модуль лучше все делать через дефолтные средства или модуль выхода? В модуле выхода этого не сделать. Все-таки в Расширениях. А на счет certutil - если Вы планируете получать ТП, то делать нужно согласно документации, т.е. оснастки ЦС - удобно, просто, быстро. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 81
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
|
Femi написал:Цитата:Речь шла о том, что модуль лучше все делать через дефолтные средства или модуль выхода? В модуле выхода этого не сделать. Все-таки в Расширениях. А на счет certutil - если Вы планируете получать ТП, то делать нужно согласно документации, т.е. оснастки ЦС - удобно, просто, быстро. Хорошо тогда на каком этапе необходимо их прописать? и вопрос, а зачем в CAPolicy вводить пустую ссылку CDP?
|
|
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
|
Цитата: на каком этапе необходимо их прописать? Перед выпуском сертификата веб-сервера ЦР. При чем указывать нужно что-то реально существующее, что будет доступно после установки УЦ. Цитата:зачем в CAPolicy вводить пустую ссылку CDP? Чтобы в корневой CDP не попала |
|
|
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
Простые технические вопросы по установке и конфигурации УЦ
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
