Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Миграция с УЦ 1.5, срок действия закрытых ключей
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
|
Тестирую близкую к реальной ситуации миграцию с 1.5 на 2.0
Тестовый стенд:
КриптоПро УЦ 2.0.6073.2300, CSP 4.0.9708
Четыре корневых сертификата, три ключа используются только для подписи СОС, четвертый текущий.
Миграция согласно текущей документации.
Проблема-CSP считает (и правильно), что для трех закрытых ключей срок действия истек. Но при этом их не удается загрузить в агенте для подписания СОС, и результат-
Certutil2: Изготовление CRL невозможно, поскольку не загружены все предназначенные для изготовления CRL ключи Администраторов ЦС
процесс на этом останавливается, дальнейшая работа невозможна.
Собственно вопрос: будет ли специальный билд CSP 4.0 для УЦ 2.0; или некие настройки, регулирующие это поведение; или такая миграция невозможна?
Попутно вопрос: если такое поведение сохранится-как подписывать СОС через 15 месяцев после генерации ключевой пары УЦ?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,314   Откуда: Калининград Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
|
Здравствуйте.
В Сборке УЦ 2.0 которая будет сертифицироваться с CSP 4.0 этот момент учтен, ошибок с выпуском CRL на старых ключах - не возникнет. |
|
 1 пользователь поблагодарил Захар Тихонов за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
|
Автор: tikhonov  Здравствуйте.
В Сборке УЦ 2.0 которая будет сертифицироваться с CSP 4.0 этот момент учтен, ошибок с выпуском CRL на старых ключах - не возникнет. Это учтено в сборке Исполнение 5 ПАК "КриптоПро УЦ" 2.0, на которую получено заключение, если я правильно понимаю. Дистрибутив мы увидим после получения сертификата ФСБ. До этого момента тестирование миграции на этом исполнении невозможно. Все верно? В таком случае, очень хотелось бы узнать предполагаемые сроки. Время поджимает, до конца года осталось совсем немного.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.05.2010(UTC)
Сообщений: 69
Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: tikhonov Здравствуйте.
В Сборке УЦ 2.0 которая будет сертифицироваться с CSP 4.0 этот момент учтен, ошибок с выпуском CRL на старых ключах - не возникнет. А в сертифицированной сборке ПАК 2.0 с CSP 3.9 этот момент учтен?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
|
Автор: Uatto Автор: tikhonov Здравствуйте.
В Сборке УЦ 2.0 которая будет сертифицироваться с CSP 4.0 этот момент учтен, ошибок с выпуском CRL на старых ключах - не возникнет. А в сертифицированной сборке ПАК 2.0 с CSP 3.9 этот момент учтен? Я сейчас вынужденно тестируюсь на сборке с CSP 3.9. Там этой проблемы нет-она не в УЦ, а именно в CSP. 3.9 не обращает внимания на срок действия закрытых ключей, по крайней мере если он не указан явно. Криптопровайдеру все равно, что пытаются подписать-сертификат или CRL. Именно в этом дело, как я понимаю.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,314 Откуда: Калининград Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
|
Да, это учтено в сборке Исполнение 5 ПАК "КриптоПро УЦ" 2.0
Эта ситуация возникает только с CSP 4.0, т.к. в ней есть контроль закрытых ключей. С CSP 3.9 такое не воспроизведется
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
|
Автор: tikhonov Да, это учтено в сборке Исполнение 5 ПАК "КриптоПро УЦ" 2.0
Проблема осталась. В документации ответа найти не смог.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,314 Откуда: Калининград Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
|
Поясните в чем возникает проблема? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
|
Все как в первом сообщении, только УЦ 2.0.6142.0100 и CSP 4.0.9842
Работает только в случае отключения проверки закрытого ключа. Что, судя по документации, при боевой эксплуатации запрещено.
Т.е. проблема решена не была.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,314 Откуда: Калининград Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
|
У Вас истек ключ, вы не хотите отключать контроль срока действия, ключи не грузятся - в этом проблема?
Вы смотрите тестируете какую сборку? Заново выполняли установку или просто обновляли УЦ? |
|
|
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Миграция с УЦ 1.5, срок действия закрытых ключей
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
