Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
Настройки УЦ для выпуска квалифицированных сертификатов
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз Поблагодарили: 3 раз в 3 постах
|
Исходные данные следующие: Сборка УЦ - 1070 Класс средств ЭП УЦ - КС2 Класс средств ЭП пользователй - КС1 Везде используется КриптоПро CSP 3.6
Вопрос: Какие расширения в этом случае надо добавлять на закладке "Расширения X.509" окна "Свойства модуля политики КриптоПро УЦ"? Обязательно ли добавлять расширение 2.5.29.32 "Политики сертификата", если в "Расширения X.509" уже добавлены расширения с соответствующими значениями 1.2.643.100.111 "Средство электронной подписи владельца" и 1.2.643.100.112 "Средства электронной подписи и УЦ издателя"? |
С уважением, Сергей |
|
|
|
Статус: Padawan
Группы готовые для захвата: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз Поблагодарили: 69 раз в 47 постах
|
Расширение "Политики сертификата" используется для включения в него объектных идентификаторов для обозначения класса средств ЭП владельца квал.сертификата.(например,Класс средства ЭП КС1) А расширение "Средство электронной подписи владельца" - для указания самого средства ЭП. (например "КриптоПро CSP" (версия 3.6)) Они не являются взаимозаменяемыми, если Вы об этом. Вы можете скачать у нас в разделе загрузки файлов УЦ подробную документацию по настройке УЦ на выпуск квалифицированных сертификатов. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз Поблагодарили: 3 раз в 3 постах
|
В документации написано: (Настройки для выпуска квалифицированных сертификатов) "2.3.1. Для добавления постоянного значения этого расширения во все сертификаты требуется предварительно получить файл с готовым закодированным значением данного расширения. Далее в окне Свойств модуля политики КриптоПро УЦ на вкладке Расширения X.509 нужно нажать кнопку Добавить и выбрать из списка 2.5.29.32 (Политики сертификата) и нажать OK." Во-первых, где ПОЛУЧИТЬ этот самый файл для КС2 или КС1? Во-вторых, что делать, если класс СЭП УЦ - КС2, а класс СЭП Пользователей - КС1? В-третьих, обязательно ли добавлять его на закладку "Расширения X509", если туда уже добавлены 1.2.643.100.111 и 1.2.643.100.112? Вложение(я): 1.bmp (598kb) загружен 206 раз(а). 2.bmp (600kb) загружен 158 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться. |
С уважением, Сергей |
|
|
|
Статус: Padawan
Группы готовые для захвата: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз Поблагодарили: 69 раз в 47 постах
|
Цитата:Во-первых, где ПОЛУЧИТЬ этот самый файл для КС2 или КС1? Данный вариант не самый удобный. Гораздо проще добавлять эти идентификаторы в зависимости от настроенного шаблона. Представьте. У Ваших пользователей КС1. У сертификата привилегированного пользователя КС2. Итого.Сначала Вам нужно прописать туда КС2, выпустить сертификат прив. пользователя, потом не забыть и изменить на КС1. При этом, когда подойдет время смены сертификата прив.пользователя - Вам нужно будет опять дважды поменять содержимое данного расширения. А так - сделали два\три шаблона. Один\два для Вашего администратора\Оператора, в котором Класс средства ЭП КС2 и еще шаблон для Ваших пользователей - в котором КС1. Первый раз выпустите привилегированному пользователю сертификат, подключитесь и перевыпустите ему сертификат как положено, по правильно настроенному шаблону. И дальше будете выпускать сертификаты по нужному шаблону. Если -таки Вам хочется кодировать, можем предоставить сертификат, который уже содержит закодированное значение этого расширения. Возьмете из него. Цитата:Во-вторых, что делать, если класс СЭП УЦ - КС2, а класс СЭП Пользователей - КС1? Если правильно поняла, то ответила выше. Если нет - подробнее, пожалуйста. Цитата:В-третьих, обязательно ли добавлять его на закладку "Расширения X509", если туда уже добавлены 1.2.643.100.111 и 1.2.643.100.112? Ответила Вам предыдущим постом. 2.5.29.32 "Политики сертификата" и 1.2.643.100.111 "Средство электронной подписи владельца"\1.2.643.100.112 "Средства электронной подписи и УЦ издателя" - Разные расширения с разными значениями! И должны быть добавлены все. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз Поблагодарили: 3 раз в 3 постах
|
Femi написал:Ответила Вам предыдущим постом. 2.5.29.32 "Политики сертификата" и 1.2.643.100.111 "Средство электронной подписи владельца"\1.2.643.100.112 "Средства электронной подписи и УЦ издателя" - Разные расширения с разными значениями! И должны быть добавлены все.
Если я правильно понял, то должно быть, как в рис.2 в предыдущем моем посте. Но при этом расширение 2.5.29.32 без указания значения? Или все таки как в рис.1? |
С уважением, Сергей |
|
|
|
Статус: Padawan
Группы готовые для захвата: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз Поблагодарили: 69 раз в 47 постах
|
Смотря как настраиваете. Если хотите кодировать -то 2.5.19.32 должно быть добавлено. Соответственно, в него что-то нужно положить. Если запрос делает умная утилита, то так же 2.5.19.32 должно быть добавлено. В него ничего руками ложить не нужно, будет из запроса перемещено.(Но я таких утилит не встречала) Если запрос делаете средствами УЦ и Класс средства ЭП в сертификат помещаете из шаблона, то добавлять 2.5.29.32 не нужно. Отредактировано пользователем 22 мая 2012 г. 20:23:33(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз Поблагодарили: 3 раз в 3 постах
|
|
С уважением, Сергей |
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.02.2012(UTC) Сообщений: 19 Откуда: г.Пенза
Сказал(а) «Спасибо»: 1 раз Поблагодарили: 1 раз в 1 постах
|
А если пользователи используют два средства ЭП (работают в разных информационных системах), то как правильнее сделать: 1. Добавить два новых OID'а (CSP и JCP) и их оба заменить на расширение 1.2.643.100.111. В шаблон добавлять оба новых OID'а 2. Добавить новый OID (CSP+JCP) закодировать OID значением, содержащим оба названия. В шаблон добавить общий OID
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.02.2012(UTC) Сообщений: 19 Откуда: г.Пенза
Сказал(а) «Спасибо»: 1 раз Поблагодарили: 1 раз в 1 постах
|
А вообще кто нибудь пишет в "Средство ЭП владельца" два средства? Так разрешено делать?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз Поблагодарили: 3 раз в 3 постах
|
Василий К. написал:А вообще кто нибудь пишет в "Средство ЭП владельца" два средства? Так разрешено делать? Может, поставить вопрос по-другому: а будет такой сертификат работать? |
С уважением, Сергей |
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
Настройки УЦ для выпуска квалифицированных сертификатов
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close