Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Devalant  
#21 Оставлено : 12 апреля 2016 г. 12:12:07(UTC)
Devalant

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2015(UTC)
Сообщений: 316

Сказал(а) «Спасибо»: 111 раз
Поблагодарили: 4 раз в 4 постах
Автор: Uatto Перейти к цитате
Для смены корневого (получения подчиненного сертификата) нужно отправить в МКС запрос и анкету. В последнем варианте анкеты, выложенном на сайте МКС, есть пункт "Адрес веб-страницы с информацией по реестрам квалифицированных сертификатов". Кто-нибудь знает что это? Адрес страницы, где реализован сервис доступа к реестру сертификатов? Странно как-то звучит: "...информацией ПО реестрам..."


я указал ссылку на наш реестр выданных сертификатов, вроде нареканий с их стороны по заполнению не было
по ходу все именно так, как Вы и думаете
Offline YaroslavHudoley  
#22 Оставлено : 31 августа 2016 г. 9:44:15(UTC)
YaroslavHudoley

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 21
Откуда: Tula

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Добрый день.
Получили новый корневой подчиненного УЦ от Минкомсвязи. Столкнулись со следующей проблемой, наши сертификаты используются в системе документооборота правительства области. сеть в которой работает СЭД не имеет доступа в интернет. Каким образом можно решить проверку цепочки сертификатов? Наши СОС доступны из сети, в которой работает СЭД, СОС Минкомсвязи соответственно нет. Устанавливать локально довольно проблематично, т.к. более 500 рабочих мест.
Offline maluta  
#23 Оставлено : 31 августа 2016 г. 10:24:19(UTC)
maluta

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.02.2015(UTC)
Сообщений: 42
Российская Федерация
Откуда: Липецк

Сказал(а) «Спасибо»: 24 раз
Поблагодарили: 8 раз в 7 постах
Автор: YaroslavHudoley Перейти к цитате
Добрый день.
Получили новый корневой подчиненного УЦ от Минкомсвязи. Столкнулись со следующей проблемой, наши сертификаты используются в системе документооборота правительства области. сеть в которой работает СЭД не имеет доступа в интернет. Каким образом можно решить проверку цепочки сертификатов? Наши СОС доступны из сети, в которой работает СЭД, СОС Минкомсвязи соответственно нет. Устанавливать локально довольно проблематично, т.к. более 500 рабочих мест.


как вариант, создайте в сети ресурс reestr-pki.ru или rostelecom.ru, на который выкладывайте СОС, и все рабочие места будут к нему иметь доступ.
Offline YaroslavHudoley  
#24 Оставлено : 31 августа 2016 г. 11:01:43(UTC)
YaroslavHudoley

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 21
Откуда: Tula

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Спасибо, попробуем.
Offline Cobra  
#25 Оставлено : 14 сентября 2016 г. 16:03:36(UTC)
Cobra

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.06.2010(UTC)
Сообщений: 32

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 1 раз в 1 постах
Подскажите, что значит в инструкции по переводу в подчиненный УЦ:

Сроки действия всех сертификатов, которые будут выдаваться на УЦ после перехода в
подчинённый режим, не могут превышать срок действия сертификата подчинённого ЦС,
выдаваемого в УЦ Минкомсвязи.

Это значит, что если сертификат до августа 17 года, то выпускаемые в июле 17 года тоже должен быть до августа?

разобралсь, заработалсь видимо

Отредактировано пользователем 15 сентября 2016 г. 8:02:11(UTC)  | Причина: Не указана

Offline girorel  
#26 Оставлено : 14 октября 2016 г. 18:31:31(UTC)
girorel

Статус: Участник

Группы: Участники
Зарегистрирован: 31.01.2013(UTC)
Сообщений: 27

Сказал(а) «Спасибо»: 17 раз
Поблагодарили: 1 раз в 1 постах
Здравствуйте!
Ситуация следующая: ПАК КриптоПро УЦ 1.5 R2, сборка 1.05.1072, класс средств ЭП КС2, Win Server 2003 R2.
Делаю перевод УЦ из корневого в подчинённый и запрос в Минсвязь, всё строго по инструкции https://www.cryptopro.ru/sites/d...iles/docs/perevod-uc.pdf
---
Из Минсвязи пришёл справедливый и стандартный отказ:
При изготовлении запроса на сертификат в расширении 2.5.29.19 (Основные ограничения) необходимо указывать «Ограничение на длину пути=0»;
В запросе на сертификат должно быть расширение 2.5.29.32.
Просим переделать запрос на сертификат и выслать на обработку повторно.

Поиск по форуму привёл к описанию подобной ситуации в УЦ 2.0 https://www.cryptopro.ru/forum2/...aspx?g=posts&t=10484 , но в УЦ 2.0 пока используется внешняя утилита генерации запроса, неприменимая к УЦ 1.5R2
Используемый файл CAPolicy.inf CAPolicy.inf.txt (1kb) загружен 9 раз(а).:
В нём присутствует
[BasicConstraintsExtension]
PathLength=0
Critical=True
и
[PolicyAll]
OID=2.5.29.32.0

Однако, в получаемом запросе их действительно нет!(
Результат проверки сгенерённого запроса утилитой certutil:
CertUtil_Request.log (3kb) загружен 12 раз(а).

Уважаемые коллеги и товарищи-разработчики из КриптоПро, может, кто-то сталкивался? Кто подскажет, в чём может быть проблема, куда копать? Заранее благодарен за ответ! Angel
Offline Kirill Sobolev  
#27 Оставлено : 14 октября 2016 г. 21:07:58(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,731
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 176 раз в 167 постах
С capolicy.inf бывают проблемы.
https://social.technet.m...-policy-tatement-ignored
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Кирилл Соболев за этот пост.
girorel оставлено 17.10.2016(UTC)
Offline alexlex  
#28 Оставлено : 17 октября 2016 г. 14:27:44(UTC)
alexlex

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2011(UTC)
Сообщений: 79
Откуда: Россия

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Автор: girorel Перейти к цитате
Здравствуйте!
Ситуация следующая: ПАК КриптоПро УЦ 1.5 R2, сборка 1.05.1072, класс средств ЭП КС2, Win Server 2003 R2.
Делаю перевод УЦ из корневого в подчинённый и запрос в Минсвязь, всё строго по инструкции https://www.cryptopro.ru/sites/d...iles/docs/perevod-uc.pdf
---
Из Минсвязи пришёл справедливый и стандартный отказ:
При изготовлении запроса на сертификат в расширении 2.5.29.19 (Основные ограничения) необходимо указывать «Ограничение на длину пути=0»;
В запросе на сертификат должно быть расширение 2.5.29.32.
Просим переделать запрос на сертификат и выслать на обработку повторно.

Поиск по форуму привёл к описанию подобной ситуации в УЦ 2.0 https://www.cryptopro.ru/forum2/...aspx?g=posts&t=10484 , но в УЦ 2.0 пока используется внешняя утилита генерации запроса, неприменимая к УЦ 1.5R2
Используемый файл CAPolicy.inf CAPolicy.inf.txt (1kb) загружен 9 раз(а).:
В нём присутствует
[BasicConstraintsExtension]
PathLength=0
Critical=True
и
[PolicyAll]
OID=2.5.29.32.0

Однако, в получаемом запросе их действительно нет!(
Результат проверки сгенерённого запроса утилитой certutil:
CertUtil_Request.log (3kb) загружен 12 раз(а).

Уважаемые коллеги и товарищи-разработчики из КриптоПро, может, кто-то сталкивался? Кто подскажет, в чём может быть проблема, куда копать? Заранее благодарен за ответ! Angel


Была недавно такая проблема. Решилось довольно просто. Тебе нужно добавить оид Все политики(Более подробно почитай в мануале, тема создание запроса для подчиненного УЦ)

thanks 1 пользователь поблагодарил alexlex за этот пост.
girorel оставлено 17.10.2016(UTC)
Offline girorel  
#29 Оставлено : 18 ноября 2016 г. 10:40:43(UTC)
girorel

Статус: Участник

Группы: Участники
Зарегистрирован: 31.01.2013(UTC)
Сообщений: 27

Сказал(а) «Спасибо»: 17 раз
Поблагодарили: 1 раз в 1 постах
Автор: alexlex Перейти к цитате
Автор: girorel Перейти к цитате
Здравствуйте!
Ситуация следующая: ПАК КриптоПро УЦ 1.5 R2, сборка 1.05.1072, класс средств ЭП КС2, Win Server 2003 R2.
Делаю перевод УЦ из корневого в подчинённый и запрос в Минсвязь, всё строго по инструкции https://www.cryptopro.ru/sites/d...iles/docs/perevod-uc.pdf
---
Из Минсвязи пришёл справедливый и стандартный отказ:
При изготовлении запроса на сертификат в расширении 2.5.29.19 (Основные ограничения) необходимо указывать «Ограничение на длину пути=0»;
В запросе на сертификат должно быть расширение 2.5.29.32.
Просим переделать запрос на сертификат и выслать на обработку повторно.

Поиск по форуму привёл к описанию подобной ситуации в УЦ 2.0 https://www.cryptopro.ru/forum2/...aspx?g=posts&t=10484 , но в УЦ 2.0 пока используется внешняя утилита генерации запроса, неприменимая к УЦ 1.5R2
Используемый файл CAPolicy.inf CAPolicy.inf.txt (1kb) загружен 9 раз(а).:
В нём присутствует
[BasicConstraintsExtension]
PathLength=0
Critical=True
и
[PolicyAll]
OID=2.5.29.32.0

Однако, в получаемом запросе их действительно нет!(
Результат проверки сгенерённого запроса утилитой certutil:
CertUtil_Request.log (3kb) загружен 12 раз(а).
Уважаемые коллеги и товарищи-разработчики из КриптоПро, может, кто-то сталкивался? Кто подскажет, в чём может быть проблема, куда копать? Заранее благодарен за ответ! Angel


Была недавно такая проблема. Решилось довольно просто. Тебе нужно добавить оид Все политики(Более подробно почитай в мануале, тема создание запроса для подчиненного УЦ)


Докладываю: Проблема разрешилась достаточно просто. В руководстве "ЖТЯИ.00067 02 90 03 КриптоПро УЦ ЦС Руководство по эксплуатации Windows 2003" есть раздел 9 "Настройка ЦС для выпуска сертификатов подчинённых ЦС и кросс-сертификатов". Там всего 1 страница. Выполнил, что указано и всё получилось - в запрос для МКС добавилось в расширении 2.5.29.19 (Основные ограничения) «Ограничение на длину пути=0»; так же присутствует и расширение 2.5.29.32.
Правда, запрос имел тип файла *.req, я его просто переименовал в *.p10, т.к., по неофиц. данным, МКС не любит расширение *.req в запросах. МКС сгенерил новый серификат на след.день!
Всем откликнувшимся спасибо!)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.