Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Смена режима с "корневой" на "подчиненный"
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
|
Подскажите, после обновления УЦ с версии 1.5 до 2.0 как произвести изменение режима работы ЦС с "корневого" на "подчиненный"?
Или же проще/правильнее будет создать на машине с ЦС еще один ЦС (подчиненный), запрос от которого и отправить в МКС? (при плановом обновлении сертификатов)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.11.2014(UTC) Сообщений: 219  Поблагодарили: 27 раз в 27 постах
|
Рекомендуется создавать новый ЦС в режиме подчинения и связывать его с уже имеющимся ЦР. Как создавать запрос на сертификат для отправки в Миникомсвязи при аккредитации УЦ в случае использования сертифицированной сборки КриптоПро УЦ 2.0 здесь https://www.cryptopro.ru...c/20/cc2.cacertrequi.zip
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.11.2014(UTC) Сообщений: 219 Поблагодарили: 27 раз в 27 постах
|
Как переходили на КриптоПро УЦ 2.0.. Производили миграцию на с аккредитованного УЦ 1.5 или с нуля поднимали?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
|
Пока еще планируем переход.
Есть такой вариант: при миграции на ЦС УЦ 2.0 вместо нашего корневого использовать кросс-сертификат МКС и разворачивать сразу в режиме подчинения. Вроде должно сработать?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,314   Откуда: Калининград Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
|
Здравствуйте.
Все аккредитованные УЦ сейчас переходят в режим подчинения Минкомсвязи. Поэтому придется делать новый запрос на сертификат, на подчиненный УЦ. На вашем старом возможно только подписывать CRL. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
|
Это верно. Но вопрос был про техническую возможность перехода на версию УЦ 2.0 сразу в режим подчинения с использованием кросс-сертификата (вместо корня).
А плановое обновление сертификата ЦС (получение его от МКС) будем делать только через полгода, так как срок еще не пришел. Сертификат на УЦ 1.5 закончится раньше.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,314 Откуда: Калининград Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
|
Перед сменой версию УЦ, рекомендую обратиться в Минкомсвязи, для уточнения вопроса, не потеряете ли вы аккредитацию. И работать по самоподписанному сертификату в режиме подчинения, довольно странно. Да, такой вариант технически возможен. Если интересует, то создавайте заявку на портале ТП https://support.cryptopro.ruНо, мы не рекомендуем выполнить следующее: Выполнить миграцию с УЦ 1.5 на УЦ 2.0, далее, как подойдет срок действия корневого, создать новый ЦС в режиме подчинения и отправить запрос на сертификат в Минкомсвязи. (УЦ 2.0 позваляет иметь на одном сервере более одного ЦС) |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
|
Цитата:Перед сменой версию УЦ, рекомендую обратиться в Минкомсвязи, для уточнения вопроса, не потеряете ли вы аккредитацию. А разве в ближайшее время немалое количество УЦ не собирается менять версию (до окончания сертификата на УЦ 1.5 меньше 4-х месяцев)? Если не сменить версию, то аккредитация тогда точно потеряется. Цитата:И работать по самоподписанному сертификату в режиме подчинения, довольно странно Не по самоподписанному, а по действующему кросс-сертификату (по сути он ничем не отличается от сертификата подчиненного ЦС) Цитата:Выполнить миграцию с УЦ 1.5 на УЦ 2.0, далее, как подойдет срок действия корневого, создать новый ЦС в режиме подчинения и отправить запрос на сертификат в Минкомсвязи. (УЦ 2.0 позваляет иметь на одном сервере более одного ЦС) Если используется OCSP, то как понимаю, придется создавать новый экземпляр службы? (так как нет уверенности, что при создании нового ЦС, с теми же полями, поля DN расположатся в том же порядке, и RawIssuerName будет таким же)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,314 Откуда: Калининград Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
|
Если будете обращаться с этим вопросом в Минкомсвязи, то просьба сообщить о результатах.
Про OCSP:
А в каком режиме работает служба OCSP 2.0? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
|
OCSP (пока еще версия 1.5) в режиме по БД ЦР.
|
|
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Смена режима с "корневой" на "подчиненный"
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
