Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline IronRate  
#1 Оставлено : 18 мая 2016 г. 15:20:03(UTC)
IronRate

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2013(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ставрополь

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
При работе через API УЦ 2.0 (WCF-Service) и следовательно в работе "Консоль управления ЦР" ,были замечены следующие недостатки:
  1. При использовании следующего функционала GetRegRequestRecord, GetUserRecordByRegRequestId и подобных, возвращающих информацию о пользователе или информацию о запросе на сертификат не возвращается такие важные поля как "ИНН", "СНИЛС", "ОГРН(ОРГНИП)", "неструктурированное имя". Тем самым очень сильно ограничивая операторов в поиске необходимого запроса или пользователя (На практике очень часто случается появление пользователей с одинаковым именем (CommonName или Organization) отличить которые при отсутствии этих полей ("ИНН", "СНИЛС", "ОГРН(ОРГНИП)", "неструктурированное имя") такой информации просто будет не возможно).
  2. Несмотря на пункт 1 при получении списка сертификатов данные поля ("ИНН", "СНИЛС", "ОГРН(ОРГНИП)", "неструктурированное имя") в ответе от сервера присутствуют, но при этом в самом гриде "Консоль управления ЦР", их нельзя сделать видимыми.
  3. Не совсем понятен функционал получения одной записи чего либо и списка записей (например: GetUserRecord и GetUserRecorList). В первом присутствует выбор возвращаемых колонок в ответе, в другом такой функциональности нет. Причем совершенно понятно, что было бы более справедливо обратное ибо массив данных получаемый при вызове GetUserRecorList гораздо более тяжеловесный чем при получении одной единственной записи. И вот тут бы (GetUserRecorList) хотелось как раз и регулировать видимость колонок, а не при получении одной единственной записи (GetUserRecord). Данное утверждение справедливо и для всех остальных выборок.


Прошу прощения за данную критику, но возможна она позволит оптимизировать работу как операторов УЦ, так и самого софта. Возможно Вы видите работу оператора УЦ в консоли управления несколько иначе чем мы, но на практике (УЦ 1.5) работая в консоли администратора УЦ поиск по СНИЛС или ИНН - очень необходимый функционал, я бы сказал критичный.

Надеюсь Вы отнесетесь к критике как к руководству к действию.
thanks 1 пользователь поблагодарил IronRate за этот пост.
pavelvn оставлено 18.05.2016(UTC)
Offline pavelvn  
#2 Оставлено : 18 мая 2016 г. 18:50:59(UTC)
pavelvn

Статус: Эксперт

Группы: Администраторы, Участники
Зарегистрирован: 01.12.2008(UTC)
Сообщений: 54
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 14 раз в 9 постах
Для того, чтобы поля учётной записи пользователя, или субъекта/издателя сертификата, стали доступны а Консоли управления ЦР и через API, нужно выполнить следующие шаги:

  1. Разрешить использование нужных полей в учётной записи пользователя и/или субъекте сертификата (Руководство по эксплуатации, п. 2.2 Компоненты имён).
  2. В течение минуты ЦР перенесёт изменения в политике с ЦС. Также можно обновить политику на сервере ЦР вручную, выполнив команду Update-PkiPolicy из командной строки администратора УЦ.
  3. Перезапустить на сервере ЦР пул приложений RAAppPool из оснастки IIS.
  4. Перезапустить Консоль управления ЦР.

После этого добавленные колонки можно будет отображать, а также искать и сортировать по ним. В документацию данный список шагов добавим.

Кроме того, в УЦ 2.0 есть настройка контроля уникальности по отдельным полям (Руководство по эксплуатации, 3.6 Контроль уникальности пользователей). Позволяет, например, контролировать, что не будут созданы два пользователя с одинаковым СНИЛС, но с разным значением для другого поля, что было возможно для УЦ 1.5.

По пункту 3 замечание справедливое, постараемся реализовать в будущих версиях.

Спасибо, конструктивная критика очень приветствуется!
Offline IronRate  
#3 Оставлено : 19 мая 2016 г. 10:36:48(UTC)
IronRate

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2013(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ставрополь

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Спасибо за ответ - все заработало.
Но я не совсем согласен с утверждением:
Цитата:
Кроме того, в УЦ 2.0 есть настройка контроля уникальности по отдельным полям (Руководство по эксплуатации, 3.6 Контроль уникальности пользователей). Позволяет, например, контролировать, что не будут созданы два пользователя с одинаковым СНИЛС, но с разным значением для другого поля, что было возможно для УЦ 1.5.

Очень часто для одного и того же пользователя приходится заводить 2-е строчки, по причине того что в неструктурированное имя необходимо вносить различные данные. Пример тому может служить Росреестр и Торговые площадки.

Offline pavelvn  
#4 Оставлено : 19 мая 2016 г. 11:44:08(UTC)
pavelvn

Статус: Эксперт

Группы: Администраторы, Участники
Зарегистрирован: 01.12.2008(UTC)
Сообщений: 54
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 14 раз в 9 постах
Цитата:
Очень часто для одного и того же пользователя приходится заводить 2-е строчки, по причине того что в неструктурированное имя необходимо вносить различные данные. Пример тому может служить Росреестр и Торговые площадки.


Можно работать и так, по умолчанию уникальность пользователя контролируется по совокупности значений всех полей.

Другой вариант - сэкономить на лицензии и обойтись одним пользователем, если воспользоваться тем, что УЦ 2.0 позволяет настраивать в шаблоне сертификата правила формирования имени субъекта:
  1. Добавить в состав учётной записи пользователя ЦР два поля, для разных значений неструктурированного имени, назвать эти поля в соответствии с их смыслом.
  2. Настроить два шаблона сертификата таким образом, что в первом неструктурированное имя будет заполняться из одного поля учётной записи пользователя, во втором - из другого.
  3. При выпуске сертификата пользователю указывать тот или иной шаблон в зависимости от назначения сертификата.
Offline IronRate  
#5 Оставлено : 19 мая 2016 г. 16:39:16(UTC)
IronRate

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2013(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ставрополь

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Мы рассмотрим Ваше предложение, достаточно интересный вариант.
Тут есче коего нашлось, хотя наверно вы в курсе, на ЦС есть проблема при создании custom-шаблонов: Имя и краткое имя не применяется.
Offline Захар Тихонов  
#6 Оставлено : 20 мая 2016 г. 15:59:53(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: IronRate Перейти к цитате
Мы рассмотрим Ваше предложение, достаточно интересный вариант.
Тут есче коего нашлось, хотя наверно вы в курсе, на ЦС есть проблема при создании custom-шаблонов: Имя и краткое имя не применяется.


Здравствуйте.
Не могли бы вы немного подробнее рассказать, где это встречается и как?

На сколько я понял вопрос, "ошибка" при создании нового шаблона. После его создании "краткое имя" остается именем от "старого шаблона" + ".1"
test shablon 1.PNG (32kb) загружен 49 раз(а).
Если, я правильно понял вопрос, то изменяется это "Короткое имя" в политиках (в Диспетчере УЦ)
test shablon 2.PNG (44kb) загружен 55 раз(а).
После изменения требуется нажать кнопку Применить
Техническую поддержку оказываем тут.
Наша база знаний.
Offline IronRate  
#7 Оставлено : 20 мая 2016 г. 16:14:27(UTC)
IronRate

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2013(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ставрополь

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Скорее я не понял природу ошибки. Исправляюсь.

Это скорее не ошибка а недочет, хотя может кому то и понравится.

Snimok.PNG (41kb) загружен 38 раз(а).

Мне кажется не стоит давать создавать шаблон без Короткого или Отображаемого имени.
Offline Захар Тихонов  
#8 Оставлено : 20 мая 2016 г. 16:22:49(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: IronRate Перейти к цитате
Скорее я не понял природу ошибки. Исправляюсь.

Это скорее не ошибка а недочет, хотя может кому то и понравится.

Snimok.PNG (41kb) загружен 38 раз(а).

Мне кажется не стоит давать создавать шаблон без Короткого или Отображаемого имени.


Какую сборка УЦ 2.0 вы используете?

В сертифицированной сборке нет возможности создать шаблон без имени:
imja net.png (18kb) загружен 56 раз(а).
Техническую поддержку оказываем тут.
Наша база знаний.
Offline IronRate  
#9 Оставлено : 20 мая 2016 г. 16:43:48(UTC)
IronRate

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2013(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ставрополь

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
К сожалению мне не удается повторить эту фичу. Ну может быть в процессе работы она отловится.
Но обнаружилось другое - в качестве имени шаблона можно запросто использовать пробелы.
Номер билда не скажу, не знаю.
Offline Захар Тихонов  
#10 Оставлено : 20 мая 2016 г. 17:12:18(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: IronRate Перейти к цитате
К сожалению мне не удается повторить эту фичу. Ну может быть в процессе работы она отловится.
Но обнаружилось другое - в качестве имени шаблона можно запросто использовать пробелы.
Номер билда не скажу, не знаю.


Да, с пробелом не очень хорошо выглядит. Но короткое имя все равно появляется:
test shablon 3.PNG (38kb) загружен 59 раз(а).

Сборку вы можете посмотреть в Панели управления -> удаление программ, выбрав КриптоПро УЦ 2.0.
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.