Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы<1234>
Опции
К последнему сообщению К первому непрочитанному
Offline Варенуха  
#21 Оставлено : 24 марта 2016 г. 12:39:14(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
Т.е. он же установлен и на ЦС?
Вы меняли режим на подчиненный или разворачивали 2й ПАК?

У УЦ 1 ИС ГУЦ, кстати, с 16 марта новый сертификат.

Отредактировано пользователем 24 марта 2016 г. 12:47:15(UTC)  | Причина: Не указана

Offline Ghost-kun  
#22 Оставлено : 24 марта 2016 г. 12:53:41(UTC)
Ghost-kun

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 43
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Поблагодарили: 2 раз в 2 постах
Автор: Варенуха Перейти к цитате
Т.е. он же установлен и на ЦС?

Да.

Автор: Варенуха Перейти к цитате
Вы меняли режим на подчиненный или разворачивали 2й ПАК?

Меняли режим на подчиненный.

Автор: Варенуха Перейти к цитате
У УЦ 1 ИС ГУЦ, кстати, с 16 марта новый сертификат.

Его и устанавливал. Брал сразу из цепочки.
thanks 1 пользователь поблагодарил Ghost-kun за этот пост.
Варенуха оставлено 24.03.2016(UTC)
Offline Варенуха  
#23 Оставлено : 24 марта 2016 г. 13:03:15(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
А как Вы планируете организовать доставку CRL в точки распространения http://rostelecom.ru/cdp/vguc1_4.crl?
Offline maximus235  
#24 Оставлено : 24 марта 2016 г. 13:06:50(UTC)
maximus235

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2009(UTC)
Сообщений: 69
Мужчина
Российская Федерация
Откуда: Санкт-Петербург

Сказал «Спасибо»: 5 раз
Поблагодарили: 12 раз в 5 постах
Автор: Варенуха Перейти к цитате
А как Вы планируете организовать доставку CRL в точки распространения http://rostelecom.ru/cdp/vguc1_4.crl?


А зачем организовывать доставку своего CRL в эту точку? Это CDP УЦ 1 ГУЦ
Offline Sergey M. Murugov  
#25 Оставлено : 24 марта 2016 г. 13:13:03(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Посмотрел на сертификат по ссылке: http://e-trust.gosuslugi...2BBD825FF5B3BE202841E872 , сходу два вопроса:
1. для 10 лет нужно СКЗИ и УЦ в формулярах которых такая циферка (причем и в расширении период действия закрытого ключа тоже написано 10 лет!!!) для продолжительности ключей была прописано, большие сомнения что для версии 3.6 такое написано.
2. После 31 декабря 2018 года не допускается формирование подписи в соответствии с ГОСТ Р 34.10-2001, что как то ближе чем через 10 лет.
thanks 2 пользователей поблагодарили Sergey M. Murugov за этот пост.
Андрей * оставлено 24.03.2016(UTC), Наталья Мовчан оставлено 24.03.2016(UTC)
Offline maximus235  
#26 Оставлено : 24 марта 2016 г. 13:31:09(UTC)
maximus235

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2009(UTC)
Сообщений: 69
Мужчина
Российская Федерация
Откуда: Санкт-Петербург

Сказал «Спасибо»: 5 раз
Поблагодарили: 12 раз в 5 постах
Для КриптоПро CSP 3.6 - максимальный срок действия СЕРТИФИКАТА - 15 лет.
Срок действия закрытого ключа - 15 МЕСЯЦЕВ для УЦ без HSM.
При использовании HSM - закрытый ключ УЦ используется максимум 5 лет (КриптоПро ЦС руководство по эксплуатации п.11)

Отредактировано пользователем 24 марта 2016 г. 13:31:52(UTC)  | Причина: Не указана

Offline Варенуха  
#27 Оставлено : 24 марта 2016 г. 14:02:53(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
Автор: maximus235 Перейти к цитате
Автор: Варенуха Перейти к цитате
А как Вы планируете организовать доставку CRL в точки распространения http://rostelecom.ru/cdp/vguc1_4.crl?


А зачем организовывать доставку своего CRL в эту точку? Это CDP УЦ 1 ГУЦ


Да, но она указан и как точка распространения в EE-сертификате.
Offline Femi  
#28 Оставлено : 24 марта 2016 г. 14:21:11(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
Автор: Варенуха Перейти к цитате
Автор: maximus235 Перейти к цитате
Автор: Варенуха Перейти к цитате
А как Вы планируете организовать доставку CRL в точки распространения http://rostelecom.ru/cdp/vguc1_4.crl?


А зачем организовывать доставку своего CRL в эту точку? Это CDP УЦ 1 ГУЦ


Да, но она указан и как точка распространения в EE-сертификате.


Мы предлагаем такой вариант:
Поскольку сервер ЦС не рекомендуется подключать к сетям общего пользования- на любом доступном с ЦС веб-сервере организовать виртуальную папку с именем cdp в корневом каталоге IIS и настроить по расписанию задание для помещения в эту папку актуальных файлов СОС вышестоящих УЦ. Ну и прописать соответствующий адрес в hosts на ЦС. Тогда ЦС сможет в автоматическом режиме получать доступ к СОС по адресам из сертификатов.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline Femi  
#29 Оставлено : 24 марта 2016 г. 14:33:00(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
Автор: Sergey M. Murugov Перейти к цитате
Посмотрел на сертификат по ссылке: http://e-trust.gosuslugi...2BBD825FF5B3BE202841E872 , сходу два вопроса:
1. для 10 лет нужно СКЗИ и УЦ в формулярах которых такая циферка (причем и в расширении период действия закрытого ключа тоже написано 10 лет!!!) для продолжительности ключей была прописано, большие сомнения что для версии 3.6 такое написано.


Мы пытаемся их убедить, что это неправильно.
Либо вообще не помещать это расширение, либо помещать срок в соответствии с эксплуатационной документацией используемого на подчиненном ЦС СКЗИ.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline Варенуха  
#30 Оставлено : 24 марта 2016 г. 14:35:31(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
Автор: Femi Перейти к цитате
Автор: Варенуха Перейти к цитате
Автор: maximus235 Перейти к цитате
Автор: Варенуха Перейти к цитате
А как Вы планируете организовать доставку CRL в точки распространения http://rostelecom.ru/cdp/vguc1_4.crl?


А зачем организовывать доставку своего CRL в эту точку? Это CDP УЦ 1 ГУЦ


Да, но она указан и как точка распространения в EE-сертификате.


Мы предлагаем такой вариант:
Поскольку сервер ЦС не рекомендуется подключать к сетям общего пользования- на любом доступном с ЦС веб-сервере организовать виртуальную папку с именем cdp в корневом каталоге IIS и настроить по расписанию задание для помещения в эту папку актуальных файлов СОС вышестоящих УЦ. Ну и прописать соответствующий адрес в hosts на ЦС. Тогда ЦС сможет в автоматическом режиме получать доступ к СОС по адресам из сертификатов.


А в обратную сторону? Из названия crl следует, что это единый crl для всех АУЦ, сертификаты которых выпустил УЦ 1 ГУЦ.
Как доставить в этот УЦ 1 файл СОС отдельно взятого АУЦ? В нашем УЦ после выпуска СОС с ЦР в точку распространения он попадает по FTP(с парольным доступом).
Offline Ghost-kun  
#31 Оставлено : 24 марта 2016 г. 14:41:34(UTC)
Ghost-kun

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 43
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Поблагодарили: 2 раз в 2 постах
Автор: Варенуха Перейти к цитате
Автор: Femi Перейти к цитате
Автор: Варенуха Перейти к цитате
Автор: maximus235 Перейти к цитате
Автор: Варенуха Перейти к цитате
А как Вы планируете организовать доставку CRL в точки распространения http://rostelecom.ru/cdp/vguc1_4.crl?


А зачем организовывать доставку своего CRL в эту точку? Это CDP УЦ 1 ГУЦ


Да, но она указан и как точка распространения в EE-сертификате.


Мы предлагаем такой вариант:
Поскольку сервер ЦС не рекомендуется подключать к сетям общего пользования- на любом доступном с ЦС веб-сервере организовать виртуальную папку с именем cdp в корневом каталоге IIS и настроить по расписанию задание для помещения в эту папку актуальных файлов СОС вышестоящих УЦ. Ну и прописать соответствующий адрес в hosts на ЦС. Тогда ЦС сможет в автоматическом режиме получать доступ к СОС по адресам из сертификатов.


А в обратную сторону? Из названия crl следует, что это единый crl для всех АУЦ, сертификаты которых выпустил УЦ 1 ГУЦ.
Как доставить в этот УЦ 1 файл СОС отдельно взятого АУЦ? В нашем УЦ после выпуска СОС с ЦР в точку распространения он попадает по FTP(с парольным доступом).


Для чего это передавать в обратную сторону? У вас есть точка распространения ваших списков отзыва. Её ГУЦ, а также ваши пользователи, и используют.
Offline Варенуха  
#32 Оставлено : 24 марта 2016 г. 14:44:34(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
А как про неё узнают? Где она в Вашем сертификате указана?
Offline Ghost-kun  
#33 Оставлено : 24 марта 2016 г. 14:47:39(UTC)
Ghost-kun

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 43
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Поблагодарили: 2 раз в 2 постах
Автор: Варенуха Перейти к цитате
А как про неё узнают? Где она в Вашем сертификате указана?


Точка распространения СОСов указывается в Анкете УЦ, которую вы передаёте в МКС вместе с запросом на сертификат. По этому адресу ГУЦ раз в несколько часов проверяет там наличие и актуальность СОСов. Так и узнаёт.
А для пользователей же есть расширение в сертификате, куда вы адрес тоже прописываете.
Offline Варенуха  
#34 Оставлено : 24 марта 2016 г. 14:54:45(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
Автор: Ghost-kun Перейти к цитате
Автор: Варенуха Перейти к цитате
А как про неё узнают? Где она в Вашем сертификате указана?


Точка распространения СОСов указывается в Анкете УЦ, которую вы передаёте в МКС вместе с запросом на сертификат. По этому адресу ГУЦ раз в несколько часов проверяет там наличие и актуальность СОСов. Так и узнаёт.
А для пользователей же есть расширение в сертификате, куда вы адрес тоже прописываете.


Точно). CDP локальные же в клиентских сертификатах указываются. "-А где царь?, -Закусывать надо!" (С)
Offline Femi  
#35 Оставлено : 24 марта 2016 г. 14:58:21(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
Сообщили, что уберут расширение со сроком действия ключа вообще.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
thanks 1 пользователь поблагодарил Наталья Мовчан за этот пост.
Андрей * оставлено 24.03.2016(UTC)
Offline Sergey M. Murugov  
#36 Оставлено : 24 марта 2016 г. 15:09:09(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Автор: Femi Перейти к цитате
Сообщили, что уберут расширение со сроком действия ключа вообще.


Будет тоже самое :-)
По стандарту, если не указано privateKeyUsagePeriod, то период действия закрытого ключа == периоду действия открытого == сроку действия сертификата. Т.е. по любому поимеем те же 10 лет :-)
Дайте кто нибудь МКСу технические книжки почитать!

Отредактировано пользователем 24 марта 2016 г. 15:10:12(UTC)  | Причина: Не указана

thanks 2 пользователей поблагодарили Sergey M. Murugov за этот пост.
shkodnik оставлено 24.03.2016(UTC), Андрей * оставлено 24.03.2016(UTC)
Offline Femi  
#37 Оставлено : 24 марта 2016 г. 16:30:44(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
Автор: Sergey M. Murugov Перейти к цитате
Автор: Femi Перейти к цитате
Сообщили, что уберут расширение со сроком действия ключа вообще.


Будет тоже самое :-)
По стандарту, если не указано privateKeyUsagePeriod, то период действия закрытого ключа == периоду действия открытого == сроку действия сертификата. Т.е. по любому поимеем те же 10 лет :-)
Дайте кто нибудь МКСу технические книжки почитать!


В самоподписанных сертификатах корневых ЦС его тоже нет:)
Для квалифицированных сертификатов все определено нормативно-правовыми актами.

Если посмотреть в 796 приказ

27.2. Срок действия ключа ЭП средства ЭП, используемого средствами УЦ, должен соответствовать требованиям, установленным к средствам ЭП.

Требования к механизму контроля срока использования ключа ЭП, блокирующего работу средства ЭП в случае попытки использования ключа дольше заданного срока, определяются разработчиком средства ЭП и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline Femi  
#38 Оставлено : 24 марта 2016 г. 16:32:51(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
Автор: Варенуха Перейти к цитате
Автор: Ghost-kun Перейти к цитате
Автор: Варенуха Перейти к цитате
А как про неё узнают? Где она в Вашем сертификате указана?


Точка распространения СОСов указывается в Анкете УЦ, которую вы передаёте в МКС вместе с запросом на сертификат. По этому адресу ГУЦ раз в несколько часов проверяет там наличие и актуальность СОСов. Так и узнаёт.
А для пользователей же есть расширение в сертификате, куда вы адрес тоже прописываете.


Точно). CDP локальные же в клиентских сертификатах указываются. "-А где царь?, -Закусывать надо!" (С)


Осталось только, чтобы у всех инф.систем, в которых эти сертификаты применяются, доступ к ним имелся тоже.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline Sergey M. Murugov  
#39 Оставлено : 24 марта 2016 г. 16:53:40(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Автор: Femi Перейти к цитате
Автор: Sergey M. Murugov Перейти к цитате
Автор: Femi Перейти к цитате
Сообщили, что уберут расширение со сроком действия ключа вообще.


Будет тоже самое :-)
По стандарту, если не указано privateKeyUsagePeriod, то период действия закрытого ключа == периоду действия открытого == сроку действия сертификата. Т.е. по любому поимеем те же 10 лет :-)
Дайте кто нибудь МКСу технические книжки почитать!


В самоподписанных сертификатах корневых ЦС его тоже нет:)
Для квалифицированных сертификатов все определено нормативно-правовыми актами.

Если посмотреть в 796 приказ

27.2. Срок действия ключа ЭП средства ЭП, используемого средствами УЦ, должен соответствовать требованиям, установленным к средствам ЭП.

Требования к механизму контроля срока использования ключа ЭП, блокирующего работу средства ЭП в случае попытки использования ключа дольше заданного срока, определяются разработчиком средства ЭП и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.


Не понял зачем вы это тут написали, намекаете, что сроки можно писать вообще какие угодно хоть сто лет, и privateKeyUsagePeriod никому тоже не мешает. Хотя с другой стороны есть ещё и Приказ 795 по структуре сертификата и оттуда отсылка на RFC 5280 - кладезь мирового опыта и знаний.
Т.е. на самом деле есть две задачи:
1. Как наполнить структуру сертификата правильно - это приказ 795 + 5280.
2. Как средство подписи должны противостоять (приведенный пункт Приказа 796) заведомо кривому наполнению сертификата.
Т.е. вы успокоили народ, что CSP отработает как надо даже при кривом сертификате, мне же казалось, что сертификаты должен МКС испекать правильные.
Offline Femi  
#40 Оставлено : 24 марта 2016 г. 17:20:22(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
Автор: Sergey M. Murugov Перейти к цитате
намекаете, что сроки можно писать вообще какие угодно хоть сто лет

Не перевирайте, пожалуйста. Не намекаю.
Писать только то, что указано в эксплуатационной документации на СКЗИ подчиненного УЦ. Или не указывать вообще.

Автор: Sergey M. Murugov Перейти к цитате
мне же казалось, что сертификаты должен МКС испекать правильные.

Только об этом и речь.

Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (4)
4 Страницы<1234>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.