Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline IronRate  
#1 Оставлено : 18 мая 2016 г. 15:20:03(UTC)
IronRate

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2013(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ставрополь

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
При работе через API УЦ 2.0 (WCF-Service) и следовательно в работе "Консоль управления ЦР" ,были замечены следующие недостатки:
  1. При использовании следующего функционала GetRegRequestRecord, GetUserRecordByRegRequestId и подобных, возвращающих информацию о пользователе или информацию о запросе на сертификат не возвращается такие важные поля как "ИНН", "СНИЛС", "ОГРН(ОРГНИП)", "неструктурированное имя". Тем самым очень сильно ограничивая операторов в поиске необходимого запроса или пользователя (На практике очень часто случается появление пользователей с одинаковым именем (CommonName или Organization) отличить которые при отсутствии этих полей ("ИНН", "СНИЛС", "ОГРН(ОРГНИП)", "неструктурированное имя") такой информации просто будет не возможно).
  2. Несмотря на пункт 1 при получении списка сертификатов данные поля ("ИНН", "СНИЛС", "ОГРН(ОРГНИП)", "неструктурированное имя") в ответе от сервера присутствуют, но при этом в самом гриде "Консоль управления ЦР", их нельзя сделать видимыми.
  3. Не совсем понятен функционал получения одной записи чего либо и списка записей (например: GetUserRecord и GetUserRecorList). В первом присутствует выбор возвращаемых колонок в ответе, в другом такой функциональности нет. Причем совершенно понятно, что было бы более справедливо обратное ибо массив данных получаемый при вызове GetUserRecorList гораздо более тяжеловесный чем при получении одной единственной записи. И вот тут бы (GetUserRecorList) хотелось как раз и регулировать видимость колонок, а не при получении одной единственной записи (GetUserRecord). Данное утверждение справедливо и для всех остальных выборок.


Прошу прощения за данную критику, но возможна она позволит оптимизировать работу как операторов УЦ, так и самого софта. Возможно Вы видите работу оператора УЦ в консоли управления несколько иначе чем мы, но на практике (УЦ 1.5) работая в консоли администратора УЦ поиск по СНИЛС или ИНН - очень необходимый функционал, я бы сказал критичный.

Надеюсь Вы отнесетесь к критике как к руководству к действию.
thanks 1 пользователь поблагодарил IronRate за этот пост.
pavelvn оставлено 18.05.2016(UTC)
Offline pavelvn  
#2 Оставлено : 18 мая 2016 г. 18:50:59(UTC)
pavelvn

Статус: Эксперт

Группы: Администраторы, Участники
Зарегистрирован: 01.12.2008(UTC)
Сообщений: 54
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 14 раз в 9 постах
Для того, чтобы поля учётной записи пользователя, или субъекта/издателя сертификата, стали доступны а Консоли управления ЦР и через API, нужно выполнить следующие шаги:

  1. Разрешить использование нужных полей в учётной записи пользователя и/или субъекте сертификата (Руководство по эксплуатации, п. 2.2 Компоненты имён).
  2. В течение минуты ЦР перенесёт изменения в политике с ЦС. Также можно обновить политику на сервере ЦР вручную, выполнив команду Update-PkiPolicy из командной строки администратора УЦ.
  3. Перезапустить на сервере ЦР пул приложений RAAppPool из оснастки IIS.
  4. Перезапустить Консоль управления ЦР.

После этого добавленные колонки можно будет отображать, а также искать и сортировать по ним. В документацию данный список шагов добавим.

Кроме того, в УЦ 2.0 есть настройка контроля уникальности по отдельным полям (Руководство по эксплуатации, 3.6 Контроль уникальности пользователей). Позволяет, например, контролировать, что не будут созданы два пользователя с одинаковым СНИЛС, но с разным значением для другого поля, что было возможно для УЦ 1.5.

По пункту 3 замечание справедливое, постараемся реализовать в будущих версиях.

Спасибо, конструктивная критика очень приветствуется!
Offline IronRate  
#3 Оставлено : 19 мая 2016 г. 10:36:48(UTC)
IronRate

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2013(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ставрополь

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Спасибо за ответ - все заработало.
Но я не совсем согласен с утверждением:
Цитата:
Кроме того, в УЦ 2.0 есть настройка контроля уникальности по отдельным полям (Руководство по эксплуатации, 3.6 Контроль уникальности пользователей). Позволяет, например, контролировать, что не будут созданы два пользователя с одинаковым СНИЛС, но с разным значением для другого поля, что было возможно для УЦ 1.5.

Очень часто для одного и того же пользователя приходится заводить 2-е строчки, по причине того что в неструктурированное имя необходимо вносить различные данные. Пример тому может служить Росреестр и Торговые площадки.

Offline pavelvn  
#4 Оставлено : 19 мая 2016 г. 11:44:08(UTC)
pavelvn

Статус: Эксперт

Группы: Администраторы, Участники
Зарегистрирован: 01.12.2008(UTC)
Сообщений: 54
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 14 раз в 9 постах
Цитата:
Очень часто для одного и того же пользователя приходится заводить 2-е строчки, по причине того что в неструктурированное имя необходимо вносить различные данные. Пример тому может служить Росреестр и Торговые площадки.


Можно работать и так, по умолчанию уникальность пользователя контролируется по совокупности значений всех полей.

Другой вариант - сэкономить на лицензии и обойтись одним пользователем, если воспользоваться тем, что УЦ 2.0 позволяет настраивать в шаблоне сертификата правила формирования имени субъекта:
  1. Добавить в состав учётной записи пользователя ЦР два поля, для разных значений неструктурированного имени, назвать эти поля в соответствии с их смыслом.
  2. Настроить два шаблона сертификата таким образом, что в первом неструктурированное имя будет заполняться из одного поля учётной записи пользователя, во втором - из другого.
  3. При выпуске сертификата пользователю указывать тот или иной шаблон в зависимости от назначения сертификата.
Offline IronRate  
#5 Оставлено : 19 мая 2016 г. 16:39:16(UTC)
IronRate

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2013(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ставрополь

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Мы рассмотрим Ваше предложение, достаточно интересный вариант.
Тут есче коего нашлось, хотя наверно вы в курсе, на ЦС есть проблема при создании custom-шаблонов: Имя и краткое имя не применяется.
Offline Захар Тихонов  
#6 Оставлено : 20 мая 2016 г. 15:59:53(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,882
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 521 раз в 498 постах
Автор: IronRate Перейти к цитате
Мы рассмотрим Ваше предложение, достаточно интересный вариант.
Тут есче коего нашлось, хотя наверно вы в курсе, на ЦС есть проблема при создании custom-шаблонов: Имя и краткое имя не применяется.


Здравствуйте.
Не могли бы вы немного подробнее рассказать, где это встречается и как?

На сколько я понял вопрос, "ошибка" при создании нового шаблона. После его создании "краткое имя" остается именем от "старого шаблона" + ".1"
test shablon 1.PNG (32kb) загружен 49 раз(а).
Если, я правильно понял вопрос, то изменяется это "Короткое имя" в политиках (в Диспетчере УЦ)
test shablon 2.PNG (44kb) загружен 55 раз(а).
После изменения требуется нажать кнопку Применить
Техническую поддержку оказываем тут.
Наша база знаний.
Offline IronRate  
#7 Оставлено : 20 мая 2016 г. 16:14:27(UTC)
IronRate

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2013(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ставрополь

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Скорее я не понял природу ошибки. Исправляюсь.

Это скорее не ошибка а недочет, хотя может кому то и понравится.

Snimok.PNG (41kb) загружен 38 раз(а).

Мне кажется не стоит давать создавать шаблон без Короткого или Отображаемого имени.
Offline Захар Тихонов  
#8 Оставлено : 20 мая 2016 г. 16:22:49(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,882
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 521 раз в 498 постах
Автор: IronRate Перейти к цитате
Скорее я не понял природу ошибки. Исправляюсь.

Это скорее не ошибка а недочет, хотя может кому то и понравится.

Snimok.PNG (41kb) загружен 38 раз(а).

Мне кажется не стоит давать создавать шаблон без Короткого или Отображаемого имени.


Какую сборка УЦ 2.0 вы используете?

В сертифицированной сборке нет возможности создать шаблон без имени:
imja net.png (18kb) загружен 56 раз(а).
Техническую поддержку оказываем тут.
Наша база знаний.
Offline IronRate  
#9 Оставлено : 20 мая 2016 г. 16:43:48(UTC)
IronRate

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2013(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ставрополь

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
К сожалению мне не удается повторить эту фичу. Ну может быть в процессе работы она отловится.
Но обнаружилось другое - в качестве имени шаблона можно запросто использовать пробелы.
Номер билда не скажу, не знаю.
Offline Захар Тихонов  
#10 Оставлено : 20 мая 2016 г. 17:12:18(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,882
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 521 раз в 498 постах
Автор: IronRate Перейти к цитате
К сожалению мне не удается повторить эту фичу. Ну может быть в процессе работы она отловится.
Но обнаружилось другое - в качестве имени шаблона можно запросто использовать пробелы.
Номер билда не скажу, не знаю.


Да, с пробелом не очень хорошо выглядит. Но короткое имя все равно появляется:
test shablon 3.PNG (38kb) загружен 59 раз(а).

Сборку вы можете посмотреть в Панели управления -> удаление программ, выбрав КриптоПро УЦ 2.0.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline IronRate  
#11 Оставлено : 20 мая 2016 г. 17:25:56(UTC)
IronRate

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2013(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ставрополь

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Сборка 2.0.5938.0
Пытались повторить проблему, когда отображаемое имя пустое - удалось добиться того что вместо отображаемого имени начинал демонстрироваться оид шаблона, при этом краткое имя осталось неизменным. Баловались переименованием. Повторить ошибку более не удалось, как мы не старались. Есть предположение что длина имени виновата.

1. Также, при переименовании в списке шаблонов, наименование шаблона не сразу Обновляется. А только лишь тогда когда переименовываем есче раз. Происходит запаздывание на 1 шаг.
2. В мастере переименования, на последней стадии если нажать крестик (закрыть окно)
Snimok2.PNG (24kb) загружен 19 раз(а).
, а переименование уже произошло, то не происходит обновление имени в окне просмотра
3. А есче, когда я выполнял второй пункт, чтобы показать Вам, то после нажатия на крестик я увидел следующее:

Snimok3.PNG (34kb) загружен 19 раз(а)., а внутри ошибка об обращении к null объекту. Переоткрытие Диспетчера УЦ - отпустило это ошибку.

Отредактировано пользователем 20 мая 2016 г. 17:35:56(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#12 Оставлено : 20 мая 2016 г. 17:29:06(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,882
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 521 раз в 498 постах
Спасибо. с своей стороны мы попробуем выявить эту ошибку и постараемся ее устранить.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline IronRate  
#13 Оставлено : 20 мая 2016 г. 17:37:38(UTC)
IronRate

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2013(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ставрополь

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Если что обнаружатся есче ошибки, обязательно сообщю.
Offline IronRate  
#14 Оставлено : 25 мая 2016 г. 11:30:03(UTC)
IronRate

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2013(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ставрополь

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Нашлась "фича".

В Консоли ЦР, при просмотре запроса на сертификат или сертификат, не показываются ОИД'ы не зарегистрированные на машине, или не показываются если нет у
ОИД'а FrendlyName. Логично было бы показывать значение ОИД'а если нет FrendlyName

Snimok4.PNG (2kb) загружен 16 раз(а).

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.