Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.07.2012(UTC) Сообщений: 267   Откуда: Калининград Сказал «Спасибо»: 51 раз
Поблагодарили: 30 раз в 22 постах
|
Автор: Key  Подскажите, привильно ли я понимаю. Настроил ЦС и ЦР на выдачу квалифицированных сертов. Корневой + запрос на кросс отправил в минком. Прилетели 2 кросса. Как я понял их можно и не устанавливать?
Я на всякий случай закинул кроссы в промежуточные, но при повторном открытии кросса выдается, что издатель сертификата не найден.
После получения кросса не надо перевыпускать серт ЦР и оператора арм? После получения кроссов можно спокойно выпускать серты для клиентов или что-то нужно еще предпринять? Ничего делать не надо. Получили крос и работайте дальше. Сейчас у него функции, в основном, номинальные. Я вот пока, например, столкнулся только с одной системой, где требуется построение цепочки ГУЦ->кросс->корневой уц->сертификат пользователя (финмониторинг). В остальных же достаточно поставить корневой УЦ в доверенные.
|
 1 пользователь поблагодарил Zloy Strelok за этот пост.
|
Key оставлено 29.10.2013(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287 Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
Автор: Zloy Strelok Сейчас у него функции, в основном, номинальные. Вот это и хреново. Вместо того, чтобы понять и централизованно управлять структурой PKI каждый "царек" придумывает свои траблы для УЦов и их клиентов. Выпуск нового корневого сертификата по настоящему становится проблемой, если УЦ заточен на предоставление максимально возможного перечня областей использования своих КЭП: всякие ФНСы, Росреестры, ФСРАРы, куча разных комм. площадок и т.п. От каждого надо добиться, чтобы твой новый корневой стал для них доверенным. Редко у кого это отлажено, вплоть до того, что "по-братски" приходится договариваться. Злит реально. Сорри, накипело
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.07.2012(UTC) Сообщений: 267 Откуда: Калининград Сказал «Спасибо»: 51 раз
Поблагодарили: 30 раз в 22 постах
|
Добрый день. Аккредитованный УЦ. Сменили корневой, отправили на ogs@minsvyaz.ru корневой, анкету и запрос на кросс уже 4й рабочий день молчат не отвечают. Вчера отправили еще раз с запросом подтверждения прочтения - оно пришло. но ответа пока нет. те телефоны что были перенаправляются на "введите доп номер или дождитесь ответа оператора", но или обрыв или никто не отвечает. Может у кого-нить есть актуальные контактные телефоны, чтобы ускорить процесс?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.12.2012(UTC)
Сообщений: 89
Откуда: Владимир
Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 7 раз в 4 постах
|
Абсолютно та же картина у нас. Тоже на огс отправили корневые с кросс, актуальные телефоны молчат. Я даже больше скажу, все телефоны молчат, такое ощущение что у них вылетела АТСка и чинить ее никто не собирается.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.07.2012(UTC) Сообщений: 267 Откуда: Калининград Сказал «Спасибо»: 51 раз
Поблагодарили: 30 раз в 22 постах
|
Автор: Bam449 Абсолютно та же картина у нас. Тоже на огс отправили корневые с кросс, актуальные телефоны молчат. Я даже больше скажу, все телефоны молчат, такое ощущение что у них вылетела АТСка и чинить ее никто не собирается. Сегодня к обеду, на удивление, они сами ответили по почте и все сделали. И, кстати, отвечали с почты guc@minsvyaz.ru а не с ogs..
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.12.2012(UTC)
Сообщений: 89
Откуда: Владимир
Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 7 раз в 4 постах
|
Коллеги, о чудо, дозвонился сегодня до Минкомсвязи, номер тот же, добавился добавочный 8394, такой же как и окончание собственно самого номера.
|
2 пользователей поблагодарили Bam449 за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.11.2009(UTC)
Сообщений: 45
Откуда: Москва
Поблагодарили: 2 раз в 2 постах
|
Коллеги, есть ли какие-то требования к аккредитованным УЦ по размещению в общем доступе корневого сертификата и/или кросс-сертификатов? Прочитав ФЗ №63 и методические рекомендации ФСБ не нашел таких требований/рекомендаций. Минкомсвязь должна размещать. Аккредитованный УЦ должен размещать реестр выпущенных сертификатов, СОС и др., но по корневому и/или кроссу непонятна ситуация.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.01.2008(UTC)
Сообщений: 34
Откуда: г. Тюмень
|
Кто нибудь заключал договор страхования с ВСК (военно страховая компания)?
у них договор страхования свой (отличается от формы минкомсвязи), правда они заверяют, что форма согласована (хотя документально подтвердить это не могут).
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
Автор: Pocomaxa Коллеги, есть ли какие-то требования к аккредитованным УЦ по размещению в общем доступе корневого сертификата и/или кросс-сертификатов? Прочитав ФЗ №63 и методические рекомендации ФСБ не нашел таких требований/рекомендаций. Минкомсвязь должна размещать. Аккредитованный УЦ должен размещать реестр выпущенных сертификатов, СОС и др., но по корневому и/или кроссу непонятна ситуация. Требование (в части безопасности) оно очевидно: самоподписанный сертификат должен распространяться доверенным образом. И это понятно почему, поскольку он имеет ЭЦП на закрытом ключе, открытый к которому размещён в самом сертификате. Так что самоподписанные просто так вываливать в сеть - это не правильно. Что касаемо кроссов, то они защищены ЭЦП его издателя. И такого рода сертификаты можно вываливать в сеть. Если посмотреть вот сюда: http://e-trust.gosuslugi.ru/ то справа вверху можно загрузить TSL список всего аккредитованного дерева. В нём правда присутсвует явная дырка, авторы этого списка внутрь TSL вложили самоподписанный сертификат ГУЦа, а TSL-список защитили ЭЦП - производной от ГУЦ. Другими словами сделать похожую копию такого списка, но с другим наполнением может любой студент за неделю, а то и меньше. Т.е. возможно осуществить атаку - это если кому то вдруг потребуется :-)
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.07.2012(UTC) Сообщений: 267 Откуда: Калининград Сказал «Спасибо»: 51 раз
Поблагодарили: 30 раз в 22 постах
|
Автор: Sergey M. Murugov Требование (в части безопасности) оно очевидно: самоподписанный сертификат должен распространяться доверенным образом. И это понятно почему, поскольку он имеет ЭЦП на закрытом ключе, открытый к которому размещён в самом сертификате. Так что самоподписанные просто так вываливать в сеть - это не правильно. Что касаемо кроссов, то они защищены ЭЦП его издателя. И такого рода сертификаты можно вываливать в сеть. Если посмотреть вот сюда: http://e-trust.gosuslugi.ru/ то справа вверху можно загрузить TSL список всего аккредитованного дерева. В нём правда присутсвует явная дырка, авторы этого списка внутрь TSL вложили самоподписанный сертификат ГУЦа, а TSL-список защитили ЭЦП - производной от ГУЦ. Другими словами сделать похожую копию такого списка, но с другим наполнением может любой студент за неделю, а то и меньше. Т.е. возможно осуществить атаку - это если кому то вдруг потребуется :-) Что-то я не понял. корневые сертификаты УЦ нельзя в сеть выкладывать? И как это студент сможет повторить подписание документа, если у него нет доступа к закрытому ключу корневого УЦ?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
