Статус: Новичок
Группы: Участники
Зарегистрирован: 14.08.2020(UTC) Сообщений: 9  Сказал(а) «Спасибо»: 1 раз
|
Автор: Санчир Момолдаев  Добрый день! у вас закончился срок действия закрытого ключа. вам необходимо: либо выпустить новый ключ ЦС либо отключить контроль сроков действия ЗК согласно статьи 1. Каким образом контроль оказался в контейнере СА включен, если флажок не установлен (в предыдущем сообщении скрин показан), а установка КриптоПро производилась "по умолчанию" и никакого дополнительных настроек КриптоПро не производилось? 2. Каким образом будут взаимодействовать VPN-клиенты, для которых был ранее сгенерирован/подписан ключ/контейнер на основе старого сертификата СА с новыми клиентами, для которых будет выпущен ключ/контейнер с новым сертификатом СА? Что требуется сделать, чтобы они нормально взаимодействовали между собой? В качестве клиентов - STerra VPN Gate, Cterra VPN Client. Отредактировано пользователем 16 августа 2020 г. 7:19:01(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,206 Сказал(а) «Спасибо»: 100 раз
Поблагодарили: 278 раз в 258 постах
|
Автор: andrew321456
1. Каким образом контроль оказался в контейнере СА включен, если флажок не установлен (в предыдущем сообщении скрин показан), а установка КриптоПро производилась "по умолчанию" и никакого дополнительных настроек КриптоПро не производилось?
ключ ЦС был загружен до того как он "протух". проверка срока происходит только при первой загрузке ключа. пока жив объект провайдера ключ был в нем. ребут - объект провайдера был уничтожен, соответственно загрузка заново ключа. Усиленный режим работы - это нечто другое. Автор: andrew321456
2. Каким образом будут взаимодействовать VPN-клиенты, для которых был ранее сгенерирован/подписан ключ/контейнер на основе старого сертификата СА с новыми клиентами, для которых будет выпущен ключ/контейнер с новым сертификатом СА? Что требуется сделать, чтобы они нормально взаимодействовали между собой?
В качестве клиентов - STerra VPN Gate, Cterra VPN Client.
все клиенты же подсоединяются к какой-то точке/серверу? необходимо чтобы указанный сервер доверял как старому, так и новому издателю. и отправлял Cert Authorities клиентам, чтобы они могли аутентифицироваться между клиентами полагаю никакого tls взаимодействия нет. если вас устраивает отклонение от эксплуатационной документации, то вы можете отключить контроль сроков действия закрытого ключа согласно статьи в предыдущем сообщении |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 14.08.2020(UTC) Сообщений: 9 Сказал(а) «Спасибо»: 1 раз
|
HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity (для 32-битных операционных систем); Какого типа должен быть параметр? В статье не увидел. Уточню, после добавления данного ключа в реестр и перезапуска Microsoft CA можно продолжить пользоваться текущим сертификатом СА? Перевыпуск нового сертификата СА не требуется? Отредактировано пользователем 16 августа 2020 г. 8:28:22(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,206 Сказал(а) «Спасибо»: 100 раз
Поблагодарили: 278 раз в 258 постах
|
Dword32
Все верно. Перевыпускать не понадобится. Пока не истечет срок действия самого сертификата.
Вы только сервер ребутните еще раз после установки параметра |
|
 1 пользователь поблагодарил Санчир Момолдаев за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 14.08.2020(UTC) Сообщений: 9 Сказал(а) «Спасибо»: 1 раз
|
Автор: Санчир Момолдаев Dword32
Все верно. Перевыпускать не понадобится. Пока не истечет срок действия самого сертификата.
Вы только сервер ребутните еще раз после установки параметра Сервер перезапустил первым шагом для проверки. Вроде бы работает. Надо будет проверить на новых клиентах/сертификатах. Спасибо.
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
|
Автор: Санчир Момолдаев либо выпустить новый ключ ЦС
либо отключить контроль сроков действия ЗК согласно Тут бы еще добавить что отключенным сроком получается СКЗИ не соответствующее требованиям сертификации. На самом деле, список решений далеко не полный: 3) удалить из контейнера расширение со сроком действия закрытого ключа. Это можно сделать утилитой CSPtest. Cработает если в сертификате УЦ есть аналогичный параметр со сроком действия закрытого ключа и он выставлен по действию сертификата. Предпочтительный вариант для УЦ. 4) изменить расширение со сроком. К сожалению, штатного способа сделать это нет. Утилита CSPtest дает возможность замены, но что записать в файл замены официальной документации нет. 5) пересоздать контейнер с тем же ключом: экспортировать в PFX - импортировать в новый контейнер - установить сертификат с привязкой к новому контейнеру. Для своего внутреннего УЦ я выбрал такой вариант, неудобство только в необходимости проделывать это каждые 15 месяцев. Во случаях 3,4,5 не потребуется отключать контроль и соответственно это не повлияет на эксплуатацию других программ на основе ключей КриптоПро на том же сервере.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 14.08.2020(UTC) Сообщений: 9 Сказал(а) «Спасибо»: 1 раз
|
Автор: two_oceans Автор: Санчир Момолдаев либо выпустить новый ключ ЦС
либо отключить контроль сроков действия ЗК согласно Тут бы еще добавить что отключенным сроком получается СКЗИ не соответствующее требованиям сертификации. На самом деле, список решений далеко не полный: 3) удалить из контейнера расширение со сроком действия закрытого ключа. Это можно сделать утилитой CSPtest. Cработает если в сертификате УЦ есть аналогичный параметр со сроком действия закрытого ключа и он выставлен по действию сертификата. Предпочтительный вариант для УЦ. 4) изменить расширение со сроком. К сожалению, штатного способа сделать это нет. Утилита CSPtest дает возможность замены, но что записать в файл замены официальной документации нет. 5) пересоздать контейнер с тем же ключом: экспортировать в PFX - импортировать в новый контейнер - установить сертификат с привязкой к новому контейнеру. Для своего внутреннего УЦ я выбрал такой вариант, неудобство только в необходимости проделывать это каждые 15 месяцев. Во случаях 3,4,5 не потребуется отключать контроль и соответственно это не повлияет на эксплуатацию других программ на основе ключей КриптоПро на том же сервере. Честно, половину из Вами описанного просто не понял :) Я не настолько глубоко разбираюсь в теме. Пользуемся КриптоПро в качестве необходимого инструмента, т.к. альтернативы особенно нет. Но, описанное Вами, в нашем случае ни разу, видимо, не актуально в плане "требований сертификации". В нашем случае ЦА только и исключительно подписывает ключи ГОСТовским алгоритмом. Сами ключи генерируются на клиентах, а в ЦА засылается только запрос на сертификат. А вот срок действия ключа ЦА в 15 месяцев - это ОГРОМНАЯ диверсия. А со стороны клиентов у нас ни разу не КриптоПро. Там встроенный крипто-провайдер, что называется "от производителя". И там отдельная сертификация на продукт. Отредактировано пользователем 17 августа 2020 г. 10:16:20(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,206 Сказал(а) «Спасибо»: 100 раз
Поблагодарили: 278 раз в 258 постах
|
Все в соответствии с документацией.
Если вам не важна сертифицированность можно игнорировать сроки действия ЗК |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 14.08.2020(UTC) Сообщений: 9 Сказал(а) «Спасибо»: 1 раз
|
Автор: Санчир Момолдаев Все в соответствии с документацией.
Возможно и так, но когда поведение продукта меняется с новой версией, а документация где-нить на сайте производителя, то получается очень "интересно" в самый неожиданный момент. А вопрос об этом конкретном изменении вообще было бы хорошо вынести куда-нить на момент установки в виде вопроса "Желает ли пользователь использовать ограниченные по времени ключи?". И справочку дать рядом, что и почему. Хочется использовать продукт как продукт, а не как набор инструкций по обходу разложенных грабель. Отредактировано пользователем 17 августа 2020 г. 14:20:26(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
