Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Sirin777  
#1 Оставлено : 23 августа 2014 г. 19:53:31(UTC)
Sirin777

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2014(UTC)
Сообщений: 13
Российская Федерация
Откуда: Дефолтсити

Сказал(а) «Спасибо»: 2 раз
Вопрос №1.
Имеем КриптоПро УЭК CSP, УЭК с записанной подписью, выдана УЦ УЭК (ООО Крипто ПРО), в доверенные корневые УЦ установлено два сертифаката УЦ УЭК, личный сертификат установлен, cvservice.uecard.ru:443 - успешно, в Крипто АРМ - настройки - OCSP установлен сервер http://qs.cryptopro.ru/ocsp-uec/ocsp.srf .

При попытке создать подпись с галкой на "включить в подпись доказательства подлинности" ошибка:

UserPostedImage

Куда копать?

Вопрос №2.
В перечне аккредитованных удостоверяющих центров значится:

Цитата:
Общество с ограниченной ответственностью «КРИПТО-ПРО»
(ИНН 7717107991, ОГРН 1037700085444)
Приказ Минкомсвязи России No 191 от
06.08.2012.г. "Об аккредитации
удостоверяющих центров


Сертификат к ЭЦП на УЭК выдан
Цитата:
CN = УЦ УЭК
O = "ООО Крипто Про"

имеющим самоподписанный сертификат.

При этом у Крипто Про есть сертификаты выданные собственно УЦ ООО "Крипто Про", где
Цитата:
CN = ООО "Крипто Про"


Вопрос такой: с юридической точки зрения сертификат УЭК выдан аккредитованным удостоверяющим центром?

Я понимаю, что разделение этих УЦ, скорее всего виртуальное.

Но скажите пожалуйста, не придётся ли пользователю в случае необходимости пытаться "на пальцах" доказать судье, что "УЦ УЭК" - это тоже самое, что "УЦ ООО "Крипто Про"?

Кроме того, для УЦ УЭК существует действующий сертификат с таким путём:
UserPostedImage

Есть ли юридические отличия в том, каким сертификатом удостоверена подпись?

Вопрос №3.
Подписываю документ с галкой в Крипто АРМ на "квалифицированная подпись".
Проверяю штатными средствами:
UserPostedImage UserPostedImage

Затем иду на госуслуги и проверяю тамошней проверялкой:
UserPostedImage UserPostedImage

Таки что такого знают о моей подписи на госуслугах, чего не знают Крипто Про с Крипто АРМом? Think

Отредактировано пользователем 23 августа 2014 г. 21:35:54(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#2 Оставлено : 23 августа 2014 г. 21:30:03(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Какой в сертификате пользователя (вкладка Состав) Идентификатор ключа Центра Сертификации?
Техническую поддержку оказываем тут
Наша база знаний
Offline Sirin777  
#3 Оставлено : 23 августа 2014 г. 21:38:56(UTC)
Sirin777

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2014(UTC)
Сообщений: 13
Российская Федерация
Откуда: Дефолтсити

Сказал(а) «Спасибо»: 2 раз
Автор: Андрей * Перейти к цитате
Какой в сертификате пользователя (вкладка Состав) Идентификатор ключа Центра Сертификации?


Цитата:
Идентификатор ключа=99 70 bb 21 62 44 29 51 f9 73 3a e0 32 34 ac c9 21 e5 c6 87
Поставщик сертификата:
Адрес каталога:
CN=УЦ УЭК
O="ООО ""КРИПТО-ПРО"""


Вдогонку:

На тестовом сервисе сайта Крипто Про для проверки браузер плагина попытался создать УКЭП.
Результат:
UserPostedImage
Eh?

Отредактировано пользователем 23 августа 2014 г. 22:11:41(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#4 Оставлено : 24 августа 2014 г. 3:07:55(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
0. Требования к конфигурации. Создание сообщения с усовершенствованной подписью
Цитата:

  • Сертификат, на котором создаётся подпись и сертификат службы штампов времени, должны проверяться на отзыв и для них должны строиться цепочки.
  • Для сертификата службы актуальных статусов должна строиться цепочка



1. Путь сертификации в сертификате пользователя - Головной УЦ\УЦ 2ИС ГУЦ\УЦ УЭК\Сертификат пользователя ?
2. Если правильно понял, сейчас (также) установлен корневой УЦ УЭК (срок действия до 2029г.)?
3.
Цитата:
Есть ли юридические отличия в том, каким сертификатом удостоверена подпись?

Сертификат подписи - один - пользовательский.
Далее возможны варианты его проверки (проверка подписи УЦ под изданным сертификатом):
1) по корневому, сапоподписанному.
Серийный номер: ‎1b 32 60 a7 b1 7e ab a5 43 a8 04 49 a1 d3 d7 7f
Действует до: ‎29.01.‎2029

2) промежуточному(ым) (кросс) и далее для каждого по цепочке до корневого самоподписанного (например, ГУЦ)
Кросс-сертификат УЦ УЭК:
Цитата:

от УЦ 1 ИС ГУЦ:
Серийный номер: 2F98C7C600010000027F
Действует: с 03.02.2014 по 04.12.2017
Отпечаток: BE2B391BDD768B9D6E29AC34D4598AEADAD7E3BA

от УЦ 2 ИС ГУЦ:
Серийный номер: 6D3027C00000000001CE
Действует: с 03.02.2014 по 22.07.2017
Отпечаток: B9AC27211615645991E83C53E9424AF1527E1498


Техническую поддержку оказываем тут
Наша база знаний
Offline Sirin777  
#5 Оставлено : 24 августа 2014 г. 9:36:09(UTC)
Sirin777

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2014(UTC)
Сообщений: 13
Российская Федерация
Откуда: Дефолтсити

Сказал(а) «Спасибо»: 2 раз
Уважаемый Андрей!
Благодарю за ответ, но, полагаю, вы не совсем правильно "оценили юмор" ситуации.

Вкратце: ставлю галку на чекбокс "квалифицированная подпись" - успешно(!) ПОДПИСЫВАЮ ДОКУМЕНТ. Проверяю подпись средствами ПО (КриптоАРМ - "Проверить подпись...") - ответ: "Успешно". Т.е. я создал УКЭП, верно?
UserPostedImage
Топаю на Госуслуги, проверяю ту же подпись с приложением подписанного документа - госуслуги сообщают, что подпись невалидная...

Автор: Андрей * Перейти к цитате
1. Путь сертификации в сертификате пользователя - Головной УЦ\УЦ 2ИС ГУЦ\УЦ УЭК\Сертификат пользователя ?
2. Если правильно понял, сейчас (также) установлен корневой УЦ УЭК (срок действия до 2029г.)?

Не совсем так - сведения о сертификате УЦ УЭК, подписанном через "Головной УЦ\УЦ 2ИС ГУЦ\" приведены для того, чтобы понять, есть ли между ними разница в юридическом смысле.
Головной УЦ, как и УЦ "ООО Крипто Про" являются квалифицированными, что подтверждается приведённым выше документом Минкомсвязи. Статус УЦ УЭК мне не совсем ясен, о чём я и спросил.

В системе установлен на данный момент только самоподписанный сертификат УЦ УЭК (два штук), поэтому какая там ошибка в цепочке построения сертификатов может быть, мне совсем непонятно.
UserPostedImage
Теперь далее - ставлю галку на "Включить в подпись доказательства подлинности":
UserPostedImage
результат:
UserPostedImage
ЗЫ: TSP стоит http://pki.sertum-pro.ru/tsp/tsp.srf

Отредактировано пользователем 24 августа 2014 г. 9:41:42(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#6 Оставлено : 24 августа 2014 г. 10:16:59(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Автор: Sirin777 Перейти к цитате
Уважаемый Андрей!
Благодарю за ответ, но, полагаю, вы не совсем правильно "оценили юмор" ситуации.

Вкратце: ставлю галку на чекбокс "квалифицированная подпись" - успешно(!) ПОДПИСЫВАЮ ДОКУМЕНТ. Проверяю подпись средствами ПО (КриптоАРМ - "Проверить подпись...") - ответ: "Успешно". Т.е. я создал УКЭП, верно?
UserPostedImage

Нет.
Это лишь фильтрация пользовательских сертификатов по типу (квалифицированные\неквалифицированные).

Не нужно путать использование квалифицированного сертификата (выданным аккредитованным УЦ, цепочка: сертификат пользователя-УЦ-ИС УЦ х ГУЦ - ГУЦ) и типом ЭП http://www.cryptopro.ru/products/cades

Автор: Sirin777 Перейти к цитате

Топаю на Госуслуги, проверяю ту же подпись с приложением подписанного документа - госуслуги сообщают, что подпись невалидная...

Прикрепить здесь можете тестовый документ\файл с ЭП?


Автор: Sirin777 Перейти к цитате

Автор: Андрей * Перейти к цитате
1. Путь сертификации в сертификате пользователя - Головной УЦ\УЦ 2ИС ГУЦ\УЦ УЭК\Сертификат пользователя ?
2. Если правильно понял, сейчас (также) установлен корневой УЦ УЭК (срок действия до 2029г.)?

Не совсем так - сведения о сертификате УЦ УЭК, подписанном через "Головной УЦ\УЦ 2ИС ГУЦ\" приведены для того, чтобы понять, есть ли между ними разница в юридическом смысле.
Головной УЦ, как и УЦ "ООО Крипто Про" являются квалифицированными, что подтверждается приведённым выше документом Минкомсвязи. Статус УЦ УЭК мне не совсем ясен, о чём я и спросил.

Квалифицированным - является кросс-сертификат (выпущенный в УЦ ИС 1\2 ГУЦ), а не самоподписанный сертификат УЦ.

Автор: Sirin777 Перейти к цитате

В системе установлен на данный момент только самоподписанный сертификат УЦ УЭК (два штук), поэтому какая там ошибка в цепочке построения сертификатов может быть, мне совсем непонятно.
UserPostedImage

Удалить оба. Цепочка должна строится как описано выше.

Автор: Sirin777 Перейти к цитате

Теперь далее - ставлю галку на "Включить в подпись доказательства подлинности":
UserPostedImage
результат:
UserPostedImage
ЗЫ: TSP стоит http://pki.sertum-pro.ru/tsp/tsp.srf




Еще раз:
Требования для создания УЭП не выполняются. О чем и сообщает КриптоАРМ.

Должны строится цепочки не только для вашего сертификата, но и для сертификатов на TSP\OCSP.
А для этого - нужно скачать и установить соответствующие сертификаты УЦ, которые выдали TSP\OCSP-сертификаты для служб времени\онлайн проверки сертификатов.



Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#7 Оставлено : 24 августа 2014 г. 10:25:32(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Автор: Sirin777 Перейти к цитате

Автор: Андрей * Перейти к цитате
1. Путь сертификации в сертификате пользователя - Головной УЦ\УЦ 2ИС ГУЦ\УЦ УЭК\Сертификат пользователя ?
2. Если правильно понял, сейчас (также) установлен корневой УЦ УЭК (срок действия до 2029г.)?

Не совсем так - сведения о сертификате УЦ УЭК, подписанном через "Головной УЦ\УЦ 2ИС ГУЦ\" приведены для того, чтобы понять, есть ли между ними разница в юридическом смысле.
Головной УЦ, как и УЦ "ООО Крипто Про" являются квалифицированными, что подтверждается приведённым выше документом Минкомсвязи. Статус УЦ УЭК мне не совсем ясен, о чём я и спросил.

В системе установлен на данный момент только самоподписанный сертификат УЦ УЭК (два штук), поэтому какая там ошибка в цепочке построения сертификатов может быть, мне совсем непонятно.


Квалифицированные сертификаты можно найти на портале уполномоченного федерального органа в области использования электронной подписи.
Конкретно для обсуждаемого УЦ - ссылки приведены выше. Эти сертификаты должны быть установлены в промежуточные ЦС.

Отредактировано пользователем 24 августа 2014 г. 10:26:05(UTC)  | Причина: Не указана

Пользователь Андрей * прикрепил следующие файлы:
Квалифицированный сертификат.png (34kb) загружен 18 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Техническую поддержку оказываем тут
Наша база знаний
Offline Sirin777  
#8 Оставлено : 24 августа 2014 г. 11:07:54(UTC)
Sirin777

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2014(UTC)
Сообщений: 13
Российская Федерация
Откуда: Дефолтсити

Сказал(а) «Спасибо»: 2 раз
Автор: Андрей * Перейти к цитате
Нет.
Это лишь фильтрация пользовательских сертификатов по типу (квалифицированные\неквалифицированные).
Это предположение, или факт?
Если факт, то надеюсь, что где-нибудь в глубинах глубин юзермануалов, он-таки отражён.
Почему разработчики не посчитали нужным написать об этом в интерфейсе ("Фильтр квалифицированных сертификатов" - не намного длиннее? Но намного понятнее) - лично для меня загадка.

Автор: Андрей * Перейти к цитате
Не нужно путать использование квалифицированного сертификата (выданным аккредитованным УЦ, цепочка: сертификат пользователя-УЦ-ИС УЦ х ГУЦ - ГУЦ) и типом ЭП http://www.cryptopro.ru/products/cades
ГУЦ не является "более квалифицированным", нежели "ООО "Крипто Про" - и та и другая организации входят в список Минкомсвязи. УЦ УЭК создан, как я полагаю, ООО "Крипто Про", что отражено в поле "О" сертификата. В связи с чем и вопрос - является ли УЦ УЭК квалифицированным, а его самоподписанный сертификат настолько же юридически правомочен, как и сертификат "ГУЦ"?

Автор: Андрей * Перейти к цитате
Автор: Sirin777 Перейти к цитате

Топаю на Госуслуги, проверяю ту же подпись с приложением подписанного документа - госуслуги сообщают, что подпись невалидная...

Прикрепить здесь можете тестовый документ\файл с ЭП?

Вот: http://c2n.me/iMSScv

Автор: Sirin777 Перейти к цитате
Квалифицированным - является кросс-сертификат (выпущенный в УЦ ИС 1\2 ГУЦ), а не самоподписанный сертификат УЦ.
Из Вашего утверждения следует, что УЦ ИС 1\2 ГУЦ, имеют неквалифицированные сертификаты, ибо выданы ГУЦ, имеющим самоподписанный сертификат (также, как и УЦ УЭК (в первом варианте) и УЦ ООО "Крипто Про")?

Автор: Андрей * Перейти к цитате
Автор: Sirin777 Перейти к цитате

В системе установлен на данный момент только самоподписанный сертификат УЦ УЭК (два штук), поэтому какая там ошибка в цепочке построения сертификатов может быть, мне совсем непонятно.
UserPostedImage

Удалить оба. Цепочка должна строится как описано выше.
Ваше предложение противоречит официальной информации от Крипто Про по УЭК: http://uecard.cryptopro.ru/:
Крипто Про написал:
Адрес размещения сертификатов УЦ: cauec.p7b
Нет, я не педант, и понимаю, что информация может устаревать, просто предложенный Вами вариант я пробовал ранее - результат тот же.

Автор: Андрей * Перейти к цитате
Еще раз:
Требования для создания УЭП не выполняются. О чем и сообщает КриптоАРМ.

Должны строится цепочки не только для вашего сертификата, но и для сертификатов на TSP\OCSP.
А для этого - нужно скачать и установить соответствующие сертификаты УЦ, которые выдали TSP\OCSP-сертификаты для служб времени\онлайн проверки сертификатов.
Чекбокс "запросить сертификат службы штампов времени" разве не делает этого автоматически?
UserPostedImageПопробую сделать это вручную...
Был бы благодарен за указание адресов валидных общедоступных TSP серверов.

Отредактировано пользователем 24 августа 2014 г. 11:14:47(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#9 Оставлено : 24 августа 2014 г. 11:57:47(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Автор: Sirin777 Перейти к цитате
Автор: Андрей * Перейти к цитате
Нет.
Это лишь фильтрация пользовательских сертификатов по типу (квалифицированные\неквалифицированные).

Это предположение, или факт?
Если факт, то надеюсь, что где-нибудь в глубинах глубин юзермануалов, он-таки отражён.
Почему разработчики не посчитали нужным написать об этом в интерфейсе ("Фильтр квалифицированных сертификатов" - не намного длиннее? Но намного понятнее) - лично для меня загадка.


Это факт.
http://www.trusted.ru/products/cryptoarm/history/
Цитата:

Добавлен режим “Квалифицированная подпись”. В сервисе версии 5.1 появился дополнительный режим, позволяющий упростить работу с квалифицированной электронной подписью и отфильтровать все квалифицированные сертификаты электронной подписи.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
Sirin777 оставлено 24.08.2014(UTC)
Offline Андрей Писарев  
#10 Оставлено : 24 августа 2014 г. 12:01:59(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Автор: Sirin777 Перейти к цитате


Автор: Андрей * Перейти к цитате
Не нужно путать использование квалифицированного сертификата (выданным аккредитованным УЦ, цепочка: сертификат пользователя-УЦ-ИС УЦ х ГУЦ - ГУЦ) и типом ЭП http://www.cryptopro.ru/products/cades
ГУЦ не является "более квалифицированным", нежели "ООО "Крипто Про" - и та и другая организации входят в список Минкомсвязи. УЦ УЭК создан, как я полагаю, ООО "Крипто Про", что отражено в поле "О" сертификата. В связи с чем и вопрос - является ли УЦ УЭК квалифицированным, а его самоподписанный сертификат настолько же юридически правомочен, как и сертификат "ГУЦ"?


Не нужно путать вхождение организации в список Минкомсвязи и аккредитованность конкретного ПАК.
(у организации может быть 10 УЦ, но только 1 аккредитованным, выдающим квалифицированные сертификаты).

В контексте обсуждаемого УЦ - он аккредитован и выданы для него сертификаты от УЦ 1 ИС ГУЦ и УЦ 2 ИС ГУЦ.
Ссылки на скачивание сертификатов - выше.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.