Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline gisis  
#1 Оставлено : 12 февраля 2009 г. 2:29:32(UTC)
gisis

Статус: Участник

Группы: Участники
Зарегистрирован: 12.02.2009(UTC)
Сообщений: 26
Откуда: москва

Инсталяцию выполнял администратор. По идее все настройки он всегда выполняет правильно, ибо точно знает все пути, пароли, имена и так далее.

Дальше администрировать по идее мне. Итак, запускаю АРМ администратора ЦР - он дьявольски пустой.
После чтения документации и медитирования - мне приходит в голову содать новое подключение к ЦР.
В этом мастере надо указать адрес с описанием web-служб ЦР.
По умолчанию там указан казалось бы довольно разумный адрес https://localhost/ra/ra.wsdl
В следующей форме мастера надо импортировать сертификат, которой видимо должна дать служба ЦР.
Однако в окне выбрать - никакого сертификата администратора там нету. Кнопка <далее> мастера недоступна, естествено. Мастер не отрабатывает.
Нового коннекта от ЦР к ЦС нету. Полный тупик - что дальше делать непонятно.

Ладно, пытаюсь зайти с другой стороны - попытатся создать сертификат администратора, чтобы скормить его ЦС позже каким-то (пока загадочным) образом.
В этой же оснастке тыкаю в создать новый сертификат администратора (привилегированного пользователя).
Указываю там место куда его сохранить и получаю опять неразгаданную загадку - вставьте рабочий ключевой носитель в дисковод А: - и счетчик времени на размышление - где мне его взять.
Что делать - непонятно. Где его взять и как его пронести на хостинг. И как его всунуть в сервер без флоповода.
Дальнейшая медитация над технологией использования этой проги - уже ни к чему хорошему не приводит...
Кругом такие же неразгаданные тайны.

Хм... И что же все-таки делать, чтобы получить коннект хотя бы. Хотя нада не просто коннект, а нужны клиентские сертификаты.
Offline Юрий Маслов  
#2 Оставлено : 12 февраля 2009 г. 13:05:22(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Дааа, тяжело в деревне без нагана....
Может проще почитать документацию, а именно "ЖТЯИ.00035-01 90 02. КриптоПро УЦ. Руководство по установке." целиком и посмотреть, что и как у Вас должен был сделать администратор. А по подключению администратора почитать раздел раздел 5.4 этого руководства и документ "ЖТЯИ.00035-01 90 06. КриптоПро УЦ. АРМ администратора ЦР. Руководство по эксплуатации."
Тогда всё было бы ОК.
Ну а по жизни, как администратору, Вам понадобится документ "ЖТЯИ.00035-01 90 07.КриптоПро УЦ. АРМ администратора ЦР. Практическая реализация регламентных процедур"

Общая схема подключения администратора (при первом запуске АРМ администратора ЦР, если у администратора не существует личного сертификата открытого ключа) выглядит следующим образом:
- создать запрос на сертификат администратора ЦР. Данное действие производится на рабочем месте администратора ЦР с использованием программного обеспечения АРМ.
- выпустить сертификат администратора ЦР. Данное действие производится на Центре Регистрации.
- установить сертификат администратора ЦР. Установка сертификата выполняется на рабочем месте администратора ЦР с использованием программного обеспечения АРМ.
- создать подключение к ЦР. Создание подключения к ЦР выполняется на рабочем месте администратора ЦР с использованием программного обеспечения АРМ.
С уважением,
КРИПТО-ПРО
Offline zhenya  
#3 Оставлено : 12 февраля 2009 г. 15:10:19(UTC)
zhenya

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 151
Откуда: Крипто-Про

Поблагодарили: 1 раз в 1 постах
gisis написал:
В этой же оснастке тыкаю в создать новый сертификат администратора (привилегированного пользователя).
Указываю там место куда его сохранить и получаю опять неразгаданную загадку - вставьте рабочий ключевой носитель в дисковод А: - и счетчик времени на размышление - где мне его взять.
Что делать - непонятно. Где его взять и как его пронести на хостинг. И как его всунуть в сервер без флоповода.

Откройте в панели управления панель КриптоПро CSP, закладку "Оборудование". Там нажмите "Настроить считыватели", удалите дисковод А и добавьте тот считыватель, который у Вас есть.
Offline gisis  
#4 Оставлено : 12 февраля 2009 г. 17:45:51(UTC)
gisis

Статус: Участник

Группы: Участники
Зарегистрирован: 12.02.2009(UTC)
Сообщений: 26
Откуда: москва

Да, сейчас очень внимательно перечитываем инструкцию. Конечно, никаких таких пунктов, вроде копирования файла политики - админ не делал.
Сейчас сделаем установку ТОЧНО по инструкции.
И еще. Что-то должно быть на этой дискете - которую просит CSP при создании администратора?

По логике вещей там как раз должны быть те самые маски КГБ, которые выдаются каждой криптографической организации при лицензировании и делают шифрование доступным для расшифровки.
Я вообще не вижу в явном виде этих масок. А без этих масок - ГОСТ-овское шифрование превратится просто в слегка модифицированный RSA-алгоритм.
Или эти маски где-то в этой софтине запрятаны и не видны в явном виде?
В той софтине, которую мы пытаемся заменить на Крипто-про - там эти маски были в явном виде...

Мы вообще что-то покупали, а что-то скачивали триальное. У нас немаленькая организация и трудно вообще даже концы найти кто подбирал спецификацию на покупку. Этой спецификации не знаю ни я, ни админ.
Поэтому мне сейчас даже непонятно, что-то должно было быть на этой дискете изначально или нет?
В софтине, которая у нас была раньше - там как раз были отдельно эти маски, позволяющие расшифровывать ГОСТ-овское "шифрование".

Еще у нас есть также Соболь, но непонятно как его задействовать - нужны дрова под Win2003?
И он нужен вообще - или нет? Или в нем как раз эти начальные ключи должны лежать...

Мдя, без нагана в деревне тяжело, но выживать-то как-то все равно необходимо...
Offline Юрий Маслов  
#5 Оставлено : 12 февраля 2009 г. 18:00:45(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
gisis написал:

И еще. Что-то должно быть на этой дискете - которую просит CSP при создании администратора?
По логике вещей там как раз должны быть те самые маски КГБ, которые выдаются каждой криптографической организации при лицензировании и делают шифрование доступным для расшифровки.
Я вообще не вижу в явном виде этих масок. А без этих масок - ГОСТ-овское шифрование превратится просто в слегка модифицированный RSA-алгоритм.
Или эти маски где-то в этой софтине запрятаны и не видны в явном виде?
В той софтине, которую мы пытаемся заменить на Крипто-про - там эти маски были в явном виде...

Нет, ничего такого нет нет. Мастер-ключ формируется и записывается на дискету или иной ключевой носитель, который Вы решили выбрать и поключили.
Всё сертифицированно ФСБ России именно в таком виде, без всяких масок, внешних данных, сторонних ключей и т.д. И ни в какой другой алгоритм ничего не превращается :-) А то, что у других по другому - это не достоинство, а не достаток.

gisis написал:
Еще у нас есть также Соболь, но непонятно как его задействовать - нужны дрова под Win2003?
И он нужен вообще - или нет? Или в нем как раз эти начальные ключи должны лежать...

Соболь - это электронный замок и + в нем есть физический датчик случайных чисел. СКЗИ "КриптоПро CSP" позволяет использовать либо биологический датчик случайных чисел (для класса защиты КС1) или соболиный (для класса защиты КС2).
Для серверов ЦС и ЦР удостоверяющего центра нужно по классу КС2, т.е. с соболями и ДСЧ настраивать на Соболь.
С уважением,
КРИПТО-ПРО
Offline gisis  
#6 Оставлено : 12 февраля 2009 г. 18:35:24(UTC)
gisis

Статус: Участник

Группы: Участники
Зарегистрирован: 12.02.2009(UTC)
Сообщений: 26
Откуда: москва

Хорошо, большое спасибо за ответ. Я понял - значит маски не просто довешены чужеродным внешним элементом. У вас они внутри кода. Это хорошо.
Да, в существующей у нас сейчас софтине это сделано УБОГО конкретно - я был одиним из тех, кто всех-всех уговаривал отказаться от этой ЯВНО убогой проги.

Насчет датчика случайных числел и Соболем - я тоже понял. Спасибо. Пытаемся двигатся дальше.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.