Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline dima  
#1 Оставлено : 7 сентября 2009 г. 19:27:20(UTC)
dima

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.06.2008(UTC)
Сообщений: 49

В связи с приказом ФНС № ММ-7-6/353@ необходимо перерегистрировать всех ранее зарегистрированных пользователей УЦ. Как можно автоматизировать процесс плановой замены ключей налогоплательщиков?

До этого налогоплательщик на своем рабочем месте генерировал ключи, формировал подписанный действующем ключом запрос на сертификат и отправлял в УЦ. УЦ обрабатывал этот запрос стандартными средствами ПАК «КриптоПро УЦ» и высылал налогоплательщику сертификат. Все это происходило удаленно без оформления документов на бумаге (только копии сертификата распечатывались).

Сейчас же необходимо заново получать бумажные заявления на регистрацию пользователя, заявления на изготовление сертификата Пользователя УЦ и выполнять все те же действия что при первоначальной регистрации пользователя?
Offline dedov  
#2 Оставлено : 8 сентября 2009 г. 13:56:33(UTC)
dedov

Статус: Эксперт

Группы: Участники
Зарегистрирован: 03.04.2008(UTC)
Сообщений: 380
Мужчина
Откуда: Россия, г. Белгород

Сказал «Спасибо»: 11 раз
Поблагодарили: 9 раз в 9 постах
перерегистрировать всех ранее зарегистрированных пользователей УЦ не нужно
так как сертификаты изготовленные до приказа действуют и используются до окончания своего срока действия

перерегистрировать нужно только тех у кого происходит смена сертификата
таким образом перерегистрируете всех в течение года
Offline dima  
#3 Оставлено : 8 сентября 2009 г. 14:12:55(UTC)
dima

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.06.2008(UTC)
Сообщений: 49

dedov написал:
перерегистрировать всех ранее зарегистрированных пользователей УЦ не нужно
так как сертификаты изготовленные до приказа действуют и используются до окончания своего срока действия

перерегистрировать нужно только тех у кого происходит смена сертификата
таким образом перерегистрируете всех в течение года


Это понятно что в течение года. Но раньше это у нас удаленно происходило, а сейчас налогоплательщик должен в наш УЦ лично прибыть с офромленными по новой заявлениями.
Offline Татьяна  
#4 Оставлено : 8 сентября 2009 г. 15:21:40(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
Вероятно, Вы можете применить схему, аналогичную распределенной схеме регистрации на нашем УЦ. Почитать о ней можно здесь: http://cpca.cryptopro.ru/dist.htm .
Татьяна
ООО Крипто-Про
Offline winni-pyx  
#5 Оставлено : 14 сентября 2009 г. 18:56:51(UTC)
winni-pyx

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.03.2009(UTC)
Сообщений: 105
Мужчина
Откуда: Пермь

Сказал «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
По теме: наш УЦ будет делать именно так, как предлагает dedov

Не по теме:
Лень создавать новую тему. Спрошу здесь.
Имеется два АРМ для генерации ключей, которые находятся на разных этажах. Все политики УЦ изменяются удаленно с АРМ. В ближайшем времени грядет плановая массовая перегенерация ключей. В зависимости от ситуации ключи генерятся с различными политиками. Когда объем работы не большой, то справляется один АРМ, т.е. выставляешь нужные политики и генеришь ключ. Сейчас будет необходимость генерить порядка 100ключей в день с различными политиками, т.е. необходимо задействовать второй АРМ, т.к. один справляться с таким объемом не будет. Проблема заключается в следующем: как двум АРМ-мам не мешать друг другу работать? Объясню на примере: АРМ-ы находятся на разных этажах. Необходимо сделать ключ на 1-ом АРМ. Инженер 1-АРМ выставляет нужные себе политики и начинает вносить информацию о владельце ключа. В это время на 2-ой АРМ садится другой инженер, ему так же необходимо сделать ключ, но с другой политикой. Он ее меняет на нужную и, естественно, 1-ый инженер об этом не подозревает и продолжает делать свой ключ. Вариантов 2: либо первый инженер на 1-ом АРМ сдает не правильный ключ (не с той политикой), либо он его вообще не сделает.
Можно ли как либо этого избежать? Не существует ли какого либо средства, которой способно определять в режиме реального времени какие настройки на УЦ? Т.е. стоит один набор политик - горит "красная лампочка", набор политик изменили - лампочка сразу "загорелась синим" цветом. Т.е. необходимо реализовать способ оповещения инженера, сидящего за АРМ, о том, что настройки УЦ поменялись не подключаясь удаленно к самому УЦ. Надеюсь объяснил понятно))
Offline Татьяна  
#6 Оставлено : 14 сентября 2009 г. 20:04:14(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
То, что Вы редактируете в политиках нельзя сделать на уровне шаблонов?

На центре регистрации есть возможность создания шаблонов сертификатов(политики - шаблоны сертификатов). Можно сделать столько шаблонов, сколько вариантов сертификатов Вам нужно и пользоваться ими.
То, что на одном АРМе выпускается сертификат по одному шаблону, а на другом -- по другому ничему не противоречит и ничему не мешает.

Если это не то, что Вам нужно, уточните какие именно изменения в политику выдачи сертификатов Вы планируете вносить.
Татьяна
ООО Крипто-Про
Offline winni-pyx  
#7 Оставлено : 14 сентября 2009 г. 20:33:51(UTC)
winni-pyx

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.03.2009(UTC)
Сообщений: 105
Мужчина
Откуда: Пермь

Сказал «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Т.е. можно создать три шаблона и в момент генерации ключа выбирать нужный шаблон на АРМ? И при этом никаких конфликтов не будет, если на обоих АРМах будут генериться ключи с различными шаблонами?

У нас всего один шаблон и именно в нем мы и меняем политики (ставим необходимые галочки)
Offline Татьяна  
#8 Оставлено : 14 сентября 2009 г. 20:45:36(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
winni-pyx написал:
Т.е. можно создать три шаблона и в момент генерации ключа выбирать нужный шаблон на АРМ? И при этом никаких конфликтов не будет, если на обоих АРМах будут генериться ключи с различными шаблонами?


да.
Татьяна
ООО Крипто-Про
Offline winni-pyx  
#9 Оставлено : 14 сентября 2009 г. 21:08:25(UTC)
winni-pyx

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.03.2009(UTC)
Сообщений: 105
Мужчина
Откуда: Пермь

Сказал «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Ок! Спасибо! На этой неделе попробуем.

С политиками разобрались, а как быть с настройками Центра Сертификации, если скажем, нужно делать ключи с различным сроком действия. Там нельзя что либо в этом же духе исполнить?
Offline Татьяна  
#10 Оставлено : 14 сентября 2009 г. 21:15:13(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
Срок действия определяется совокупностью OID-ов использования ключа в сертификате.
Если нужны разные сертификаты(с разным набором областей использования) с разным сроком действия, то это можно организовать (в ЦС на вкладке "использование ключа" выставить сроки исходя из того, что срок действия сертификата определяется как минимум по входящим в него областям использования и не превышает максимального срока действия сертификата, задающегося там же). Если нужны сертификаты с одинаковым набором областей использования, но разным сроком действия, то автоматически это сделать не удастся.
Татьяна
ООО Крипто-Про
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.