Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Имена сертификатов и сопутствующее
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 259
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 11 раз в 10 постах
|
Немного предистории:
Имеется система документооборота с использованием криптосредств.
система закрытая, не публичная - только для своих.
Имеется свой УЦ - для обслуживания системы и других нужд.
Система работает уже более трех лет.
Изначально сертификаты назывались (CN=) в стиле [Иванов И.И.]
Проблем не возникало.
Лично мне не нравится такой стиль, я против пробелов и всякческих точек
в названии чего либо.
Недавно УЦ стал именовать сертификаты в стиле -
[Иванов Иван Иванович] и моментально возникли коллизии с другими УЦ.
Ну не знал я практически ничего про сертификаты и прочее три года назад.
И не предусматривал подобного.
Развернув подобные системы в МО используем сертификаты от УЦ КРИПТО-ПРО,
Именуем в стиле [Иванов_ИИ], сами и выпускаем. Да, нонче я проверяю издателя,
Однако обновление клиентских мест в МО это одно,
а триста мест за Пять тысяч км - это немного другое.
Вопрос в случае судебных разбирательств какие могут быть последствия?
И допустим ли такой стиль именования сертификатов?
Сопутствующие вопросы исключительно к КРИПТО-ПРО:
Хочется выпустить сертификат с именем CN=048_02547_Иванов_ИИ, а внутри,
в параметрах указать ФИО и все остальные параметры - полностью.
Также хочется выпускать сертификаты с началом действия не сегодня, а указать его.
Не желают клиенты: получают сертификат в пятницу,со сроком начало=пятница,
а предыдущий кончается в понедельник.
Ворчат: мы переплачиваем 3/365 цены. Да и физически невозможно клиентам
получить и обновить сертификат в течении одного дня.
С кем можно это обсудить?
Борис
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 675   Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
А как это сертификат от одного УЦ может породить "коллизию" с сертификатом другого УЦ? По какому параметру "коллизии"?
В принципе один субъект может получить сертификаты от тысячи УЦ и все они будут легитимными и могут использоваться параллельно. И как там именовать субъекта сертификата - сугубо личное дело УЦ (если это за рамками правил какого-нибудь вышестоящего регламента). |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,087 Сказал «Спасибо»: 612 раз
Поблагодарили: 2375 раз в 1868 постах
|
Нет никаких коллизий в сертификатах...
Предположу, по встречавшимся ранее темам:
Есть ПО,которое использует поиск сертификата по Фамилия И.О. (и запоминает выбранный по этому критерию)
И когда у клиента появился в системе сертификат с тем же "Фамилия И.О." или "Фамилия Имя Отчество", вот тут-то ПО и "выбрало" не тот сертификат для подписи... |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 259
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 11 раз в 10 постах
|
Автор: Юрий  А как это сертификат от одного УЦ может породить "коллизию" с сертификатом другого УЦ? По какому параметру "коллизии"? По имени, по CN=. У клиента в инишке прописаны допустимуе CN И из них я выбираю подписанта. Иногда берется чужой.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,087 Сказал «Спасибо»: 612 раз
Поблагодарили: 2375 раз в 1868 постах
|
Автор: Boris@Serezhkin.com Автор: Юрий А как это сертификат от одного УЦ может породить "коллизию" с сертификатом другого УЦ? По какому параметру "коллизии"? По имени, по CN=. У клиента в инишке прописаны допустимуе CN И из них я выбираю подписанта. Иногда берется чужой. Отпечаток сертификата (thumbprint)... рекомендую |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 259
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 11 раз в 10 постах
|
Собственно говоря я наткнулся на Цитата:Требования к заполнению полей квалифицированного сертификата ключа проверки электронной подписи налогоплательщиков и списку отозванных сертификатов для использования в информационных системах ФНС России. А там сказано: Цитата:В настоящем документе используются понятия, определенные федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» и приказом ФСБ России от 27 декабря 2011 г. № 795 "Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи". А еще ниже сказано: Цитата:CN 2.5.4.3 Общее имя 64 В соответствии с требованиями приказа ФСБ России от 27 декабря 2011 г. № 795 А в приказе: Цитата:1) commonName (общее имя).
В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую имя, фамилию и отчество (если имеется) - для физического лица, или наименование - для юридического лица. Объектный идентификатор типа атрибута commonName имеет вид 2.5.4.3 Утверждается что приказ опубликован небыл - со слов. Так вот основной вопрос имеет ли этот .... отношение к "Закрытым Непубличным" системам? И могу ли я наплевать на № 795? И какие юридические последствия это вызовет при судебном рассмотрении? Понято же, что если есть два сертификата с одинаковым CN от одного уц, то разбираться надо по внутренностям. Т.е. вскрытие, а хирург сказал "в морг...." Борис
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 259
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 11 раз в 10 постах
|
Автор: Андрей *
Отпечаток сертификата (thumbprint)...
рекомендую
Спасибо, конечно, но при смене сертификата не хочется править инишку (Бабушки это не умеют) Обошелся именем и издателем. Но вопрос об имени все равно остается.....
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 675 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
Искать сертификат автоматически и только на основании анализа имени субъекта? Это изначальная ошибка разработчиков так как реально такое имя не является уникальным.
То есть с этим реально "в морг" (переписывать программу) и использовать "отпечаток сертификата" как уже посоветовали. |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 259
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 11 раз в 10 постах
|
Повторюсь, три года назад я ничего не знал о сертификатах и прочем.
Для системы с ограниченным и известным числом участников обеспечить
уникальность CN+Issiuer можно.
Одним из требований было - не менять ничего при замене скончавшегося сертификата.
Вопрос - можно ли игнорировать №975 ?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 675 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
Если документооборот чисто внутренний то какие сертификаты (квалифицированные или нет) и какую форму имени субъекта использовать - сугубо ваше внутреннее дело. Но если возникает потребность в "юридически значимом документообороте" то тут уже необходимо чёткое выполнение требований (в частности 795). Отредактировано пользователем 5 апреля 2013 г. 8:18:54(UTC)
| Причина: Не указана |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Имена сертификатов и сопутствующее
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
