Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Алексей_К77  
#1 Оставлено : 13 мая 2019 г. 20:10:13(UTC)
Алексей_К77

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.05.2019(UTC)
Сообщений: 2
Российская Федерация

Доброго времени суток!

Возникла проблема. Есть сервер УЦ с Microsoft Certification Authority и КриптоПро CSP 4.
На Microsoft Certification Authority выполнена команда продления сертификата CA с созданием новых ключей. Выпустился новый сертификат и создался контейнер ключей. Проверку проходит.

Во всех хранилищах сертификат отображается.

После того как истек срок действия закрытого ключа старого сертификата УЦ перестал запускаться. Ошибка: Access denied. 0x80090010 (-2146893808 NTE_PERM)

Запустить УЦ могу только при установке ControlKeyTimeValidity равным 0 (нуль)

Ощущение что КриптоПро не видит преемственности ключей.

Как можно исправить ситуацию?
Offline two_oceans  
#2 Оставлено : 15 мая 2019 г. 6:43:19(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Конкретно с такой ситуацией не сталкивался (у меня Microsoft CA в домене на зарубежных алгоритмах - не на всех компьютерах домена стоит КриптоПро - и сроки еще не вышли), но предполагаю нужно как-то выбрать новый ключ в качестве основного, чтобы CA не пытался подписать сертификаты или списки отзыва старым ключом.

Для ясности - новый сертификат самоподписанный (то есть корневой) с информацией о прошлом сертификате? Новый сертификат проверку проходит при ненулевом значении ControlKeyTimeValidity?
Offline Алексей_К77  
#3 Оставлено : 15 мая 2019 г. 19:25:16(UTC)
Алексей_К77

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.05.2019(UTC)
Сообщений: 2
Российская Федерация

Добрый день!

Спасибо за ответ.
Все дело в том, что CA выпускает сертификаты и подписывает списки отзыва правильным ключом. Это я проверил.

Но для того чтобы CA начал работать в КриптоПРО надо отключить контроль ControlKeyTimeValidity (присвоить ему значение 0).

Т.е. дело явно в КриптоПро. Надо именно в КриптоПро указать новый сертификат CA
Offline Константин Маслов  
#4 Оставлено : 17 мая 2019 г. 7:03:52(UTC)
Константин Маслов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.08.2014(UTC)
Сообщений: 271
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 34 раз в 33 постах
Автор: Алексей_К77 Перейти к цитате
Добрый день!

Спасибо за ответ.
Все дело в том, что CA выпускает сертификаты и подписывает списки отзыва правильным ключом. Это я проверил.

Но для того чтобы CA начал работать в КриптоПРО надо отключить контроль ControlKeyTimeValidity (присвоить ему значение 0).

Т.е. дело явно в КриптоПро. Надо именно в КриптоПро указать новый сертификат CA


Для КриптоПро CSP значение ControlKeyTimeValidity влияет на работу с просроченными ключами. Если в этом случае продолжает работу с значением 0, значит что-то со сроком действия закрытых ключей (контейнеров).

Отредактировано пользователем 17 мая 2019 г. 8:39:24(UTC)  | Причина: Не указана

Техническую поддержку оказываем на Портале технической поддержки.
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.