Статус: Новичок
Группы: Участники
Зарегистрирован: 01.12.2015(UTC) Сообщений: 3
|
Если сертификат по наполнению или формату полей не соответствует 795 то это уже не квалифицированный сертификат - был прецедент запрашивали ФСБ и МКС.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC) Сообщений: 230 Откуда: Москва
Сказал(а) «Спасибо»: 2 раз Поблагодарили: 40 раз в 28 постах
|
Автор: Femi Автор: Sergey M. Murugov намекаете, что сроки можно писать вообще какие угодно хоть сто лет Не перевирайте, пожалуйста. Не намекаю. Писать только то, что указано в эксплуатационной документации на СКЗИ подчиненного УЦ. Или не указывать вообще. Автор: Sergey M. Murugov мне же казалось, что сертификаты должен МКС испекать правильные. Только об этом и речь. У нас какое то недопонимание. В соответствии со стандартом период действия закрытого ключа может указываться двумя способами: 1. Если указан privateKeyUsagePeriod - то срок берется оттуда, причем этот срок не может быть длиннее срока действительности сертификата. 2. Если privateKeyUsagePeriod нет в составе сертификата, то конец действия закрытого ключа равен дате действительности сертификата. В приведенном выше сертификате подчиненного УЦ срок действительности сертификата == 10 лет и там же privateKeyUsagePeriod тоже равен 10 лет. Сама цифра 10 лет она неправильная и я ранее написал почему она такой быть не может. В этом смысле что есть в сертификате расширение privateKeyUsagePeriod, что его нет роли не играет ни какой, поскольку в обоих случает декларируется срок закрытого ключа в 10 лет, чего быть просто не может - это то надеюсь понятно.
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз Поблагодарили: 69 раз в 47 постах
|
Автор: Sergey M. Murugov Автор: Femi Автор: Sergey M. Murugov намекаете, что сроки можно писать вообще какие угодно хоть сто лет Не перевирайте, пожалуйста. Не намекаю. Писать только то, что указано в эксплуатационной документации на СКЗИ подчиненного УЦ. Или не указывать вообще. Автор: Sergey M. Murugov мне же казалось, что сертификаты должен МКС испекать правильные. Только об этом и речь. У нас какое то недопонимание. В соответствии со стандартом период действия закрытого ключа может указываться двумя способами: 1. Если указан privateKeyUsagePeriod - то срок берется оттуда, причем этот срок не может быть длиннее срока действительности сертификата. 2. Если privateKeyUsagePeriod нет в составе сертификата, то конец действия закрытого ключа равен дате действительности сертификата. В приведенном выше сертификате подчиненного УЦ срок действительности сертификата == 10 лет и там же privateKeyUsagePeriod тоже равен 10 лет. Сама цифра 10 лет она неправильная и я ранее написал почему она такой быть не может. В этом смысле что есть в сертификате расширение privateKeyUsagePeriod, что его нет роли не играет ни какой, поскольку в обоих случает декларируется срок закрытого ключа в 10 лет, чего быть просто не может - это то надеюсь понятно. Про указание 10 лет-вопросов нет, я об этом тоже писала. А Вас не смущает, что в самоподписанных сертификатах корневых ЦС этого расширения нет? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.04.2013(UTC) Сообщений: 246 Сказал(а) «Спасибо»: 28 раз Поблагодарили: 26 раз в 18 постах
|
Автор: Femi А Вас не смущает, что в самоподписанных сертификатах корневых ЦС этого расширения нет? Самоподписанные изготавливаются "на местах", а новые - в УФО. "Ну... ну, я не знаю, если уж в Моссовете?!.."(С)
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз Поблагодарили: 69 раз в 47 постах
|
Автор: Варенуха Автор: Femi А Вас не смущает, что в самоподписанных сертификатах корневых ЦС этого расширения нет? Самоподписанные изготавливаются "на местах", а новые - в УФО. "Ну... ну, я не знаю, если уж в Моссовете?!.."(С) 1. Расширение это не является обязательным. 2. Сроки действия ключей регламентированы эксплуатационной документацией на СКЗИ. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC) Сообщений: 230 Откуда: Москва
Сказал(а) «Спасибо»: 2 раз Поблагодарили: 40 раз в 28 постах
|
Автор: Femi Автор: Варенуха Автор: Femi А Вас не смущает, что в самоподписанных сертификатах корневых ЦС этого расширения нет? Самоподписанные изготавливаются "на местах", а новые - в УФО. "Ну... ну, я не знаю, если уж в Моссовете?!.."(С) 1. Расширение это не является обязательным. 2. Сроки действия ключей регламентированы эксплуатационной документацией на СКЗИ. С практической точки зрения: 1. В privateKeyUsagePeriod я бы написал срок действия закрытого ключа, т.е. из исходного примера это 15 месяцев. 2. Срок действия сертификата = privateKeyUsagePeriod + срок действия ЕЕ-сертификата (что будет явно менее 5 лет). Это даст возможность выпустить ЕЕ-сертификат в последний день действительности закрытого ключа издателя УЦ, т.е. на круг имеем экономию в процедурах замены издателя УЦ.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 24.03.2008(UTC) Сообщений: 142 Сказал «Спасибо»: 18 раз Поблагодарили: 22 раз в 17 постах
|
Автор: Sergey M. Murugov 2. Срок действия сертификата = privateKeyUsagePeriod + срок действия ЕЕ-сертификата (что будет явно менее 5 лет). OCSP и TSP тоже EE-сертификаты, но их срок хочется иметь ~15 лет.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.11.2010(UTC) Сообщений: 162 Откуда: НН
Сказал(а) «Спасибо»: 1 раз Поблагодарили: 16 раз в 13 постах
|
Автор: Sergey M. Murugov Автор: Femi Автор: Варенуха Автор: Femi А Вас не смущает, что в самоподписанных сертификатах корневых ЦС этого расширения нет? Самоподписанные изготавливаются "на местах", а новые - в УФО. "Ну... ну, я не знаю, если уж в Моссовете?!.."(С) 1. Расширение это не является обязательным. 2. Сроки действия ключей регламентированы эксплуатационной документацией на СКЗИ. С практической точки зрения: 1. В privateKeyUsagePeriod я бы написал срок действия закрытого ключа, т.е. из исходного примера это 15 месяцев. 2. Срок действия сертификата = privateKeyUsagePeriod + срок действия ЕЕ-сертификата (что будет явно менее 5 лет). Это даст возможность выпустить ЕЕ-сертификат в последний день действительности закрытого ключа издателя УЦ, т.е. на круг имеем экономию в процедурах замены издателя УЦ. А как в МКС сообщать о поддерживаемом сроке действия закрытого ключа? формуляр слать? У кого то на 15 месяцев, а у кого то на 3 или 5 лет например может быть.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.05.2009(UTC) Сообщений: 71 Откуда: Санкт-Петербург Сказал «Спасибо»: 5 раз Поблагодарили: 12 раз в 5 постах
|
Автор: Варенуха Автор: maximus235 Автор: Варенуха А зачем организовывать доставку своего CRL в эту точку? Это CDP УЦ 1 ГУЦ Да, но она указан и как точка распространения в EE-сертификате. А зачем Вы настроили эту CDP для ЕЕ-сертификатов?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.05.2009(UTC) Сообщений: 71 Откуда: Санкт-Петербург Сказал «Спасибо»: 5 раз Поблагодарили: 12 раз в 5 постах
|
Автор: Mayshev Vadim OCSP и TSP тоже EE-сертификаты, но их срок хочется иметь ~15 лет. При сертификате УЦ сроком действия 10 лет выпустить эти серты на 15 лет никак не получится. Максимум тоже на 10.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close