Статус: Участник
Группы: Участники
Зарегистрирован: 15.09.2017(UTC) Сообщений: 13  Откуда: Самара Сказал(а) «Спасибо»: 7 раз
|
Добрый день! У меня такая проблема: Необходимо провести плановую замену ключей пользователе(Админ ПАКМ, Аудитор, Админ резервного копирования, Админ сервера DSS и Админ удаленного доступа) на ПАКМ КриптоПро HSM. Данный ПАКМ используется множествами службами, в частности МФЦ которые работаю почти круглосуточно, и для них критична остановка ПАКМ HSM на один час и более. Можем ли мы используя криптоПро CSP, установленный на сервере подписи DSS, заменить HSM на время технических работ? На DSS установлена плата Соболя, ее хотим использовать в качестве аппаратного ДСЧ. В документации написано что такая возможность есть. Так ли это? Будет ли работать такая конфигурация?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,396  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
Мастер-ключ DSS же неизвлекаем и хранится в HSM. Как вы себе представляете использование CSP? |
|
 1 пользователь поблагодарил Максим Коллегин за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.09.2017(UTC) Сообщений: 13 Откуда: Самара Сказал(а) «Спасибо»: 7 раз
|
Автор: maxdm  Мастер-ключ DSS же неизвлекаем и хранится в HSM. Как вы себе представляете использование CSP? Извините за глупые вопросы, просто хочется во всем это разобраться. То есть чтобы использовать CSP придется генерировать новый мастер ключ который будет хранится уже в реестре Windows? И соответственно необходимо выпускать новые Ключи пользователей которые ранее использовали HSM а теперь будут использовать CSP?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,396 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
Ага, как-то так.
Кажется, что ваша задача не требует выключения HSM. Напишите, что требуется сделать, а мы постараемся предложить решение. |
|
1 пользователь поблагодарил Максим Коллегин за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.09.2017(UTC) Сообщений: 13 Откуда: Самара Сказал(а) «Спасибо»: 7 раз
|
Автор: maxdm Ага, как-то так.
Кажется, что ваша задача не требует выключения HSM. Напишите, что требуется сделать, а мы постараемся предложить решение. У нас скоро истекают сроки действия ключей привилегированных пользователей: 1. Ключ администратора ПАКМ (1002) 2. Ключ аудитора ПАКМ (1004) 3. Ключ администратора резервного копирования ПАКМ (1006) 4. Ключ Администратора удаленного доступа (1003) 5. Ключ Администратора сервера DSS (1001) Хотим первыпустить ключи для этих пользователей. Скажите пожалуйста как это сделать правильно.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.01.2014(UTC)
Сообщений: 28
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 6 раз в 6 постах
|
Увы, но для смены ключей привилегированных пользователей без деактивации HSM не обойтись, в среднем генерация новых ключей должна занять 10-15 мин.
1) В активном состоянии выполнить вход по карте администратора ПАКМ, в пункте меню "Change HSM state" выбрать "Inactive".
2) В неактивном состоянии выполнить вход по 3 из 5 (без карт в считывателе HSM дважды нажать любую кнопку LCD панели).
3) После входа по 3 из 5, перейти в меню "User managment" - "Change user card", будет нужно ввести UID пользователя, на LCD будет выглядеть так: 00001001, вставить чистую карту и ввести для неё пин-код.
4) Для остальных пользователей повторить "Change user card", указывая соответствующие UID'ы других пользователей.
5) Вернуться в основное меню в раздел "Change HSM state" и перевести в "Full active".
|
|
1 пользователь поблагодарил Константин Гаинцев за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.09.2017(UTC) Сообщений: 13 Откуда: Самара Сказал(а) «Спасибо»: 7 раз
|
Автор: Koss Увы, но для смены ключей привилегированных пользователей без деактивации HSM не обойтись, в среднем генерация новых ключей должна занять 10-15 мин.
1) В активном состоянии выполнить вход по карте администратора ПАКМ, в пункте меню "Change HSM state" выбрать "Inactive".
2) В неактивном состоянии выполнить вход по 3 из 5 (без карт в считывателе HSM дважды нажать любую кнопку LCD панели).
3) После входа по 3 из 5, перейти в меню "User managment" - "Change user card", будет нужно ввести UID пользователя, на LCD будет выглядеть так: 00001001, вставить чистую карту и ввести для неё пин-код.
4) Для остальных пользователей повторить "Change user card", указывая соответствующие UID'ы других пользователей.
5) Вернуться в основное меню в раздел "Change HSM state" и перевести в "Full active".
Огромное Вам спасибо! Последнее уточнение. Перед началом процедуры, на всякий случай, хотим сделать полную резервную копию ПАКМ. Как правильно это сделать?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.01.2014(UTC)
Сообщений: 28
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 6 раз в 6 постах
|
1)Перевести ПАКМ в неактивный режим с помощью карты администратора ПАКМ.
2)В неактивном режиме выполнить вход по карте администратора резервного копирования.
3)В основном меню найти пункт "Backups" и далее "Create new" (если уже имеются какие-либо резервные копии, то нужно нажать на любую и в контекстном меню выбрать пункт "Create new").
4)Перед созданием резервной копии нужно подготовить чистую карту, на неё будет записан ключ шифрования файла резервной копии (запросит после нажатия на "Create new") и эта карта понадобится при восстановлении.
5)После появления информации об успешном создании резервной копии можно выйти из меню на начальный экран и далее приступить к смене ключей пользователей с пункта 2.
Выгрузить файл резервной копии возможно через веб-интерфейс, в разделе "Резервные копии". Для выгрузки необходимо иметь карту администратора резервного копирования с пониженным уровнем защиты, с помощью которой будет осуществляться удалённое подключение к HSM. |
|
1 пользователь поблагодарил Константин Гаинцев за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.09.2017(UTC) Сообщений: 13 Откуда: Самара Сказал(а) «Спасибо»: 7 раз
|
Автор: Koss 1)Перевести ПАКМ в неактивный режим с помощью карты администратора ПАКМ.
2)В неактивном режиме выполнить вход по карте администратора резервного копирования.
3)В основном меню найти пункт "Backups" и далее "Create new" (если уже имеются какие-либо резервные копии, то нужно нажать на любую и в контекстном меню выбрать пункт "Create new").
4)Перед созданием резервной копии нужно подготовить чистую карту, на неё будет записан ключ шифрования файла резервной копии (запросит после нажатия на "Create new") и эта карта понадобится при восстановлении.
5)После появления информации об успешном создании резервной копии можно выйти из меню на начальный экран и далее приступить к смене ключей пользователей с пункта 2.
Выгрузить файл резервной копии возможно через веб-интерфейс, в разделе "Резервные копии". Для выгрузки необходимо иметь карту администратора резервного копирования с пониженным уровнем защиты, с помощью которой будет осуществляться удалённое подключение к HSM. Спасибо Вам большое! Будем пробовать! Надеюсь все получится без косяков.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 12.08.2016(UTC)
Сообщений: 1
Поблагодарили: 1 раз в 1 постах
|
Автор: Koss 1)Перевести ПАКМ в неактивный режим с помощью карты администратора ПАКМ.
2)В неактивном режиме выполнить вход по карте администратора резервного копирования.
3)В основном меню найти пункт "Backups" и далее "Create new" (если уже имеются какие-либо резервные копии, то нужно нажать на любую и в контекстном меню выбрать пункт "Create new").
4)Перед созданием резервной копии нужно подготовить чистую карту, на неё будет записан ключ шифрования файла резервной копии (запросит после нажатия на "Create new") и эта карта понадобится при восстановлении.
5)После появления информации об успешном создании резервной копии можно выйти из меню на начальный экран и далее приступить к смене ключей пользователей с пункта 2.
Выгрузить файл резервной копии возможно через веб-интерфейс, в разделе "Резервные копии". Для выгрузки необходимо иметь карту администратора резервного копирования с пониженным уровнем защиты, с помощью которой будет осуществляться удалённое подключение к HSM. Чтобы выгрузить файл через web нужно перевести HSM в Full active
|
1 пользователь поблагодарил k909 за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
