Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline AlexMike  
#1 Оставлено : 20 октября 2015 г. 15:37:51(UTC)
AlexMike

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.10.2014(UTC)
Сообщений: 90

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 8 раз в 8 постах
Добрый день!

Подскажите пожалуйста, как настроить комплекс УЦ таким образом чтобы ОГРНИП попадало в Дополнительное имя субъекта, но не попадало в Subject DN?

Если я правильно понимаю 795 Приказ - это ведь должно быть именно так?
Offline Laroux  
#2 Оставлено : 20 октября 2015 г. 16:25:38(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
Да не.. в Subject оно идет
Offline AlexMike  
#3 Оставлено : 20 октября 2015 г. 16:54:12(UTC)
AlexMike

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.10.2014(UTC)
Сообщений: 90

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 8 раз в 8 постах
Автор: Laroux Перейти к цитате
Да не.. в Subject оно идет


Т.е. это так и должно быть что оно попадает и в Subject и Дополнительное имя?
Это точно?


Я почему спрашиваю:
В 795 Приказе в п.18 устанавливается только 3 дополнительных атрибута имени: ОГРН, СНИЛС, ИНН.

Есть еще Извещение ФСБ России "Об использовании стандартных атрибутов имени..." от 13.03.2013.
Там прямо указывается что ОГРНИП должно быть именно и только в subjectAlternativeName.

Цитата:
В соответствии с Требованиями к дополнительным атрибутам имени
поля «subject», необходимость использования которых устанавливается в
соответствии с Федеральным законом «Об электронной подписи», относятся
атрибуты OGRN (ОГРН), SNILS (СНИЛС) и INN (ИНН).
В соответствии с подпунктом 1 пункта 18 Требований значением
атрибута OGRN (ОГРН) является строка, состоящая из 13 цифр и
представляющая ОГРН владельца квалифицированного сертификата –
юридического лица.
В связи с этим указанный атрибут не может иметь своим значением
основной государственный регистрационный номер индивидуального
предпринимателя (ОГРНИП). В соответствии с пунктом 23 Требований для
включения в квалифицированный сертификат иной информации о владельце
квалифицированного сертификата, для которой не предусмотрены
соответствующие стандартные атрибуты имени, в том числе информации об
ОГРНИП, рекомендуется использовать дополнение subjectAlternativeName.


http://www.fsb.ru/files/...sait_po_trebovaniyam.pdf

Может я не так понял?



Offline lboikov  
#4 Оставлено : 20 октября 2015 г. 17:02:44(UTC)
lboikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.08.2012(UTC)
Сообщений: 135
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 25 раз
Поблагодарили: 16 раз в 16 постах
В КриптоПро УЦ 1.5 R2 (сборка 1.5.1072) атрибут имени ОГРНИП попадает в DN.

В КриптоПро УЦ 1.5 R2 с SP1 (сборка 1.5.1116) атрибут имени ОГРНИП попадает в DN и в SAN.
Offline AlexMike  
#5 Оставлено : 20 октября 2015 г. 17:11:03(UTC)
AlexMike

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.10.2014(UTC)
Сообщений: 90

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 8 раз в 8 постах
Автор: lboikov Перейти к цитате
В КриптоПро УЦ 1.5 R2 (сборка 1.5.1072) атрибут имени ОГРНИП попадает в DN.

В КриптоПро УЦ 1.5 R2 с SP1 (сборка 1.5.1116) атрибут имени ОГРНИП попадает в DN и в SAN.


Да, речь про сборку 1.05.1116.
Значит попадает в SDN и в SAN - и это так и задумано, как я теперь понимаю.

Остаётся только вопрос: на мой взгляд это не соответствует установкам ФСБ РФ, не так ли?

Offline lboikov  
#6 Оставлено : 20 октября 2015 г. 17:38:43(UTC)
lboikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.08.2012(UTC)
Сообщений: 135
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 25 раз
Поблагодарили: 16 раз в 16 постах
Я бы сказал, что это не противоречит установкам ФСБ.
Offline AlexMike  
#7 Оставлено : 20 октября 2015 г. 18:06:38(UTC)
AlexMike

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.10.2014(UTC)
Сообщений: 90

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 8 раз в 8 постах
Автор: lboikov Перейти к цитате
Я бы сказал, что это не противоречит установкам ФСБ.


Выходит, наши мнения не совпадают.

Я вот выше привёл ссылки на документы.

А на чём основывается Ваше мнение?
Offline lboikov  
#8 Оставлено : 21 октября 2015 г. 9:35:17(UTC)
lboikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.08.2012(UTC)
Сообщений: 135
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 25 раз
Поблагодарили: 16 раз в 16 постах
"Об использовании стандартных атрибутов имени..."
...
В связи с этим указанный атрибут не может иметь своим значением основной государственный регистрационный номер индивидуального предпринимателя (ОГРНИП). В соответствии с пунктом 23 Требований для включения в квалифицированный сертификат иной информации о владельце квалифицированного сертификата, для которой не предусмотрены соответствующие стандартные атрибуты имени, в том числе информации об ОГРНИП, рекомендуется использовать дополнение subjectAlternativeName.
...


>рекомендуется использовать дополнение subjectAlternativeName

Запрета на то, что бы включать ОГРНИП в DN я в данном документе не встретил.
Offline AlexMike  
#9 Оставлено : 21 октября 2015 г. 17:18:47(UTC)
AlexMike

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.10.2014(UTC)
Сообщений: 90

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 8 раз в 8 постах
Автор: lboikov Перейти к цитате
"Об использовании стандартных атрибутов имени..."
...
В связи с этим указанный атрибут не может иметь своим значением основной государственный регистрационный номер индивидуального предпринимателя (ОГРНИП). В соответствии с пунктом 23 Требований для включения в квалифицированный сертификат иной информации о владельце квалифицированного сертификата, для которой не предусмотрены соответствующие стандартные атрибуты имени, в том числе информации об ОГРНИП, рекомендуется использовать дополнение subjectAlternativeName.
...


>рекомендуется использовать дополнение subjectAlternativeName

Запрета на то, что бы включать ОГРНИП в DN я в данном документе не встретил.


Хорошо, допустим мы рекомендацию пропускаем мимо ушей и считаем что стандартные и дополнительные атрибуты DN описанные в пп.17-18 Приказа 795 это не исчерпывающий список, а минимальный, но допускающий расширение.
И мы его расширяем, добавляя дополнительный атрибут ОГРНИП.
Прекрасно!
Но зачем тогда ещё добавлять то же самое в AN?
Вспомнили про рекомендацию? - Хорошо.
Но зачем же тогда этот ОГРНИП в двух местах?!
Offline Boris@Serezhkin.com  
#10 Оставлено : 21 октября 2015 г. 21:47:05(UTC)
Boris@Serezhkin.com

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 259
Откуда: Moscow

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 11 раз в 10 постах
Увы, это больной вопрос.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.