Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34
Сказал(а) «Спасибо»: 1 раз
|
Добрый день.
Существует необходимость восстановить изолированный подчиненный ЦС, но для него существует уже 2 ключа, то бишь CA и CA(1). При переустановке службы можно выбрать только один, а как же быть со старым ключем, который еще действителен и который необходим для отзыва сертификатов, выпущенных ранее на нем?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.03.2013(UTC) Сообщений: 448  Откуда: Москва Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
|
Добрый день. Необходимо, чтобы два сертификата ЦС были установлены в хранилище личное локального компьютера с привязкой к зк (при этом если на зк "старого сертификата" установлен пароль, то запомните его средствами CSP) - иначе словите ошибку. В мастере разворачивания роли службы сертификации выберите "свежий" сертификат из хранилища для восстановления. В результате выполнения действий мастера, в службе сертификации получите два сертификата: один для подписи CRL, другой - для подписи сертификтов и crl. Отредактировано пользователем 2 декабря 2014 г. 18:30:28(UTC)
| Причина: Не указана
|
 2 пользователей поблагодарили Molostvov за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34
Сказал(а) «Спасибо»: 1 раз
|
Хорошо, спасибо.
А если просто для начала выбрать старый сертификат, поднять службу на нем. При испольовании функции "обновить сертификат ЦС" в диалоге о создании новых пар ключей ответить "нет", и попробовать установить уже новый ключ - пройдет ли удачна данная процедура? Генерация ключа при отрицательном ответе произойти не должна.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.03.2013(UTC) Сообщений: 448 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
|
Цитата:А если просто для начала выбрать старый сертификат, поднять службу на нем.При испольовании функции "обновить сертификат ЦС" в диалоге о создании новых пар ключей ответить "нет", и попробовать установить уже новый ключ - пройдет ли удачна данная процедура? Генерация ключа при отрицательном ответе произойти не должна. Как помню, в таком сценарии на одном зк создается очередной сертификат ЦС. Этот вариант вам не подойдет, если вы планируете использовать CA(1). Если сильно хочется поднять ЦС на старом ключе, то можете отредактировать параметр CaCertHash после разворота службы сертификации или воспользоваться certutil -installcert Отредактировано пользователем 2 декабря 2014 г. 19:00:56(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34
Сказал(а) «Спасибо»: 1 раз
|
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
