Статус: Активный участник
Группы: Участники
Зарегистрирован: 11.03.2013(UTC) Сообщений: 43   Откуда: Йошкар-Ола Поблагодарили: 2 раз в 2 постах
|
Автор: Варенуха  Автор: Femi Автор: Варенуха Автор: maximus235 Автор: Варенуха А зачем организовывать доставку своего CRL в эту точку? Это CDP УЦ 1 ГУЦ Да, но она указан и как точка распространения в EE-сертификате. Мы предлагаем такой вариант: Поскольку сервер ЦС не рекомендуется подключать к сетям общего пользования- на любом доступном с ЦС веб-сервере организовать виртуальную папку с именем cdp в корневом каталоге IIS и настроить по расписанию задание для помещения в эту папку актуальных файлов СОС вышестоящих УЦ. Ну и прописать соответствующий адрес в hosts на ЦС. Тогда ЦС сможет в автоматическом режиме получать доступ к СОС по адресам из сертификатов. А в обратную сторону? Из названия crl следует, что это единый crl для всех АУЦ, сертификаты которых выпустил УЦ 1 ГУЦ. Как доставить в этот УЦ 1 файл СОС отдельно взятого АУЦ? В нашем УЦ после выпуска СОС с ЦР в точку распространения он попадает по FTP(с парольным доступом). Для чего это передавать в обратную сторону? У вас есть точка распространения ваших списков отзыва. Её ГУЦ, а также ваши пользователи, и используют.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.04.2013(UTC) Сообщений: 246  Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
|
А как про неё узнают? Где она в Вашем сертификате указана?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 11.03.2013(UTC) Сообщений: 43 Откуда: Йошкар-Ола Поблагодарили: 2 раз в 2 постах
|
Автор: Варенуха А как про неё узнают? Где она в Вашем сертификате указана? Точка распространения СОСов указывается в Анкете УЦ, которую вы передаёте в МКС вместе с запросом на сертификат. По этому адресу ГУЦ раз в несколько часов проверяет там наличие и актуальность СОСов. Так и узнаёт. А для пользователей же есть расширение в сертификате, куда вы адрес тоже прописываете.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.04.2013(UTC) Сообщений: 246 Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
|
Автор: Ghost-kun Автор: Варенуха А как про неё узнают? Где она в Вашем сертификате указана? Точка распространения СОСов указывается в Анкете УЦ, которую вы передаёте в МКС вместе с запросом на сертификат. По этому адресу ГУЦ раз в несколько часов проверяет там наличие и актуальность СОСов. Так и узнаёт. А для пользователей же есть расширение в сертификате, куда вы адрес тоже прописываете. Точно). CDP локальные же в клиентских сертификатах указываются. "-А где царь?, -Закусывать надо!" (С)
|
|
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381  Откуда: Москва Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
|
Сообщили, что уберут расширение со сроком действия ключа вообще. |
|
 1 пользователь поблагодарил Наталья Мовчан за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
Автор: Femi Сообщили, что уберут расширение со сроком действия ключа вообще. Будет тоже самое :-) По стандарту, если не указано privateKeyUsagePeriod, то период действия закрытого ключа == периоду действия открытого == сроку действия сертификата. Т.е. по любому поимеем те же 10 лет :-) Дайте кто нибудь МКСу технические книжки почитать! Отредактировано пользователем 24 марта 2016 г. 15:10:12(UTC)
| Причина: Не указана
|
2 пользователей поблагодарили Sergey M. Murugov за этот пост.
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
|
Автор: Sergey M. Murugov Автор: Femi Сообщили, что уберут расширение со сроком действия ключа вообще. Будет тоже самое :-) По стандарту, если не указано privateKeyUsagePeriod, то период действия закрытого ключа == периоду действия открытого == сроку действия сертификата. Т.е. по любому поимеем те же 10 лет :-) Дайте кто нибудь МКСу технические книжки почитать! В самоподписанных сертификатах корневых ЦС его тоже нет:) Для квалифицированных сертификатов все определено нормативно-правовыми актами. Если посмотреть в 796 приказ 27.2. Срок действия ключа ЭП средства ЭП, используемого средствами УЦ, должен соответствовать требованиям, установленным к средствам ЭП. Требования к механизму контроля срока использования ключа ЭП, блокирующего работу средства ЭП в случае попытки использования ключа дольше заданного срока, определяются разработчиком средства ЭП и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям. |
|
|
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
|
Автор: Варенуха Автор: Ghost-kun Автор: Варенуха А как про неё узнают? Где она в Вашем сертификате указана? Точка распространения СОСов указывается в Анкете УЦ, которую вы передаёте в МКС вместе с запросом на сертификат. По этому адресу ГУЦ раз в несколько часов проверяет там наличие и актуальность СОСов. Так и узнаёт. А для пользователей же есть расширение в сертификате, куда вы адрес тоже прописываете. Точно). CDP локальные же в клиентских сертификатах указываются. "-А где царь?, -Закусывать надо!" (С) Осталось только, чтобы у всех инф.систем, в которых эти сертификаты применяются, доступ к ним имелся тоже. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
Автор: Femi Автор: Sergey M. Murugov Автор: Femi Сообщили, что уберут расширение со сроком действия ключа вообще. Будет тоже самое :-) По стандарту, если не указано privateKeyUsagePeriod, то период действия закрытого ключа == периоду действия открытого == сроку действия сертификата. Т.е. по любому поимеем те же 10 лет :-) Дайте кто нибудь МКСу технические книжки почитать! В самоподписанных сертификатах корневых ЦС его тоже нет:) Для квалифицированных сертификатов все определено нормативно-правовыми актами. Если посмотреть в 796 приказ 27.2. Срок действия ключа ЭП средства ЭП, используемого средствами УЦ, должен соответствовать требованиям, установленным к средствам ЭП. Требования к механизму контроля срока использования ключа ЭП, блокирующего работу средства ЭП в случае попытки использования ключа дольше заданного срока, определяются разработчиком средства ЭП и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям. Не понял зачем вы это тут написали, намекаете, что сроки можно писать вообще какие угодно хоть сто лет, и privateKeyUsagePeriod никому тоже не мешает. Хотя с другой стороны есть ещё и Приказ 795 по структуре сертификата и оттуда отсылка на RFC 5280 - кладезь мирового опыта и знаний. Т.е. на самом деле есть две задачи: 1. Как наполнить структуру сертификата правильно - это приказ 795 + 5280. 2. Как средство подписи должны противостоять (приведенный пункт Приказа 796) заведомо кривому наполнению сертификата. Т.е. вы успокоили народ, что CSP отработает как надо даже при кривом сертификате, мне же казалось, что сертификаты должен МКС испекать правильные.
|
|
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
|
Автор: Sergey M. Murugov намекаете, что сроки можно писать вообще какие угодно хоть сто лет Не перевирайте, пожалуйста. Не намекаю. Писать только то, что указано в эксплуатационной документации на СКЗИ подчиненного УЦ. Или не указывать вообще. Автор: Sergey M. Murugov мне же казалось, что сертификаты должен МКС испекать правильные. Только об этом и речь. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
