Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline ssm_2005  
#1 Оставлено : 22 мая 2012 г. 17:33:14(UTC)
ssm_2005

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.09.2011(UTC)
Сообщений: 239
Мужчина
Откуда: Москва

Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
Исходные данные следующие:
Сборка УЦ - 1070
Класс средств ЭП УЦ - КС2
Класс средств ЭП пользователй - КС1
Везде используется КриптоПро CSP 3.6

Вопрос:
Какие расширения в этом случае надо добавлять на закладке "Расширения X.509" окна "Свойства модуля политики КриптоПро УЦ"? Обязательно ли добавлять расширение 2.5.29.32 "Политики сертификата", если в "Расширения X.509" уже добавлены расширения с соответствующими значениями 1.2.643.100.111 "Средство электронной подписи владельца" и 1.2.643.100.112 "Средства электронной подписи и УЦ издателя"?
С уважением,
Сергей
Offline Femi  
#2 Оставлено : 22 мая 2012 г. 18:33:54(UTC)
Наталья Мовчан

Статус: Padawan

Группы готовые для захвата: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,381
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
Расширение "Политики сертификата" используется для включения в него объектных идентификаторов для обозначения класса средств ЭП владельца квал.сертификата.(например,Класс средства ЭП КС1)
А расширение "Средство электронной подписи владельца" - для указания самого средства ЭП. (например "КриптоПро CSP" (версия 3.6))
Они не являются взаимозаменяемыми, если Вы об этом.
Вы можете скачать у нас в разделе загрузки файлов УЦ подробную документацию по настройке УЦ на выпуск квалифицированных сертификатов.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline ssm_2005  
#3 Оставлено : 22 мая 2012 г. 19:09:39(UTC)
ssm_2005

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.09.2011(UTC)
Сообщений: 239
Мужчина
Откуда: Москва

Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
В документации написано:
(Настройки для выпуска квалифицированных сертификатов) "2.3.1. Для добавления постоянного значения этого расширения во все сертификаты требуется предварительно получить файл с готовым закодированным значением данного расширения. Далее в окне Свойств модуля политики КриптоПро УЦ на вкладке Расширения X.509 нужно нажать кнопку Добавить и выбрать из списка 2.5.29.32 (Политики сертификата) и нажать OK."
Во-первых, где ПОЛУЧИТЬ этот самый файл для КС2 или КС1? Во-вторых, что делать, если класс СЭП УЦ - КС2, а класс СЭП Пользователей - КС1? В-третьих, обязательно ли добавлять его на закладку "Расширения X509", если туда уже добавлены 1.2.643.100.111 и 1.2.643.100.112?
Вложение(я):
1.bmp (598kb) загружен 206 раз(а).
2.bmp (600kb) загружен 158 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
С уважением,
Сергей
Offline Femi  
#4 Оставлено : 22 мая 2012 г. 20:06:47(UTC)
Наталья Мовчан

Статус: Padawan

Группы готовые для захвата: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,381
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
Цитата:
Во-первых, где ПОЛУЧИТЬ этот самый файл для КС2 или КС1?

Данный вариант не самый удобный. Гораздо проще добавлять эти идентификаторы в зависимости от настроенного шаблона.
Представьте. У Ваших пользователей КС1. У сертификата привилегированного пользователя КС2. Итого.Сначала Вам нужно прописать туда КС2, выпустить сертификат прив. пользователя, потом не забыть и изменить на КС1. При этом, когда подойдет время смены сертификата прив.пользователя - Вам нужно будет опять дважды поменять содержимое данного расширения.
А так - сделали два\три шаблона. Один\два для Вашего администратора\Оператора, в котором Класс средства ЭП КС2 и еще шаблон для Ваших пользователей - в котором КС1. Первый раз выпустите привилегированному пользователю сертификат, подключитесь и перевыпустите ему сертификат как положено, по правильно настроенному шаблону. И дальше будете выпускать сертификаты по нужному шаблону.
Если -таки Вам хочется кодировать, можем предоставить сертификат, который уже содержит закодированное значение этого расширения. Возьмете из него.
Цитата:
Во-вторых, что делать, если класс СЭП УЦ - КС2, а класс СЭП Пользователей - КС1?

Если правильно поняла, то ответила выше. Если нет - подробнее, пожалуйста.
Цитата:
В-третьих, обязательно ли добавлять его на закладку "Расширения X509", если туда уже добавлены 1.2.643.100.111 и 1.2.643.100.112?

Ответила Вам предыдущим постом. 2.5.29.32 "Политики сертификата" и 1.2.643.100.111 "Средство электронной подписи владельца"\1.2.643.100.112 "Средства электронной подписи и УЦ издателя" - Разные расширения с разными значениями! И должны быть добавлены все.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline ssm_2005  
#5 Оставлено : 22 мая 2012 г. 20:12:38(UTC)
ssm_2005

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.09.2011(UTC)
Сообщений: 239
Мужчина
Откуда: Москва

Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
Femi написал:
Ответила Вам предыдущим постом. 2.5.29.32 "Политики сертификата" и 1.2.643.100.111 "Средство электронной подписи владельца"\1.2.643.100.112 "Средства электронной подписи и УЦ издателя" - Разные расширения с разными значениями! И должны быть добавлены все.

Если я правильно понял, то должно быть, как в рис.2 в предыдущем моем посте. Но при этом расширение 2.5.29.32 без указания значения? Или все таки как в рис.1?
С уважением,
Сергей
Offline Femi  
#6 Оставлено : 22 мая 2012 г. 20:22:22(UTC)
Наталья Мовчан

Статус: Padawan

Группы готовые для захвата: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,381
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
Смотря как настраиваете.
Если хотите кодировать -то 2.5.19.32 должно быть добавлено. Соответственно, в него что-то нужно положить.
Если запрос делает умная утилита, то так же 2.5.19.32 должно быть добавлено. В него ничего руками ложить не нужно, будет из запроса перемещено.(Но я таких утилит не встречала)
Если запрос делаете средствами УЦ и Класс средства ЭП в сертификат помещаете из шаблона, то добавлять 2.5.29.32 не нужно.

Отредактировано пользователем 22 мая 2012 г. 20:23:33(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
Offline ssm_2005  
#7 Оставлено : 22 мая 2012 г. 20:23:27(UTC)
ssm_2005

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.09.2011(UTC)
Сообщений: 239
Мужчина
Откуда: Москва

Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
теперь все ясно
Спасибо
С уважением,
Сергей
Offline Василий К.  
#8 Оставлено : 19 октября 2012 г. 14:25:04(UTC)
Василий К.

Статус: Участник

Группы: Участники
Зарегистрирован: 17.02.2012(UTC)
Сообщений: 19
Откуда: г.Пенза

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
А если пользователи используют два средства ЭП (работают в разных информационных системах), то как правильнее сделать:
1. Добавить два новых OID'а (CSP и JCP) и их оба заменить на расширение 1.2.643.100.111. В шаблон добавлять оба новых OID'а
2. Добавить новый OID (CSP+JCP) закодировать OID значением, содержащим оба названия. В шаблон добавить общий OID
Offline Василий К.  
#9 Оставлено : 25 октября 2012 г. 12:36:49(UTC)
Василий К.

Статус: Участник

Группы: Участники
Зарегистрирован: 17.02.2012(UTC)
Сообщений: 19
Откуда: г.Пенза

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
А вообще кто нибудь пишет в "Средство ЭП владельца" два средства? Так разрешено делать?
Offline ssm_2005  
#10 Оставлено : 25 октября 2012 г. 14:32:51(UTC)
ssm_2005

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.09.2011(UTC)
Сообщений: 239
Мужчина
Откуда: Москва

Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
Василий К. написал:
А вообще кто нибудь пишет в "Средство ЭП владельца" два средства? Так разрешено делать?

Может, поставить вопрос по-другому: а будет такой сертификат работать?
С уважением,
Сергей
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
4 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.