Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline enum  
#1 Оставлено : 14 августа 2009 г. 18:42:59(UTC)
enum

Статус: Участник

Группы: Участники
Зарегистрирован: 16.04.2009(UTC)
Сообщений: 26

Согласно документации, при компрометации ключа ЦС необходимо выполнить ряд действий:
1) Генерация новой ключевой пары и выпуск СКП ЦС
2) Отозвать (поместить в CRL) СКП скомрометированного ключа.
...

Вопрос. Как отозвать СКП ЦС? (куда нажать Brick wall ) никак не могу найти в документации.
Offline Юрий Маслов  
#2 Оставлено : 14 августа 2009 г. 19:02:13(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
И не найдете :-)
Если ЦС у Вас корневой (сертфиикат ЦС самоподписанный), то Вы должны сообщить в ФАИТ (где регистрировали сертификат уполномоченного лица своего УЦ) о факте компрометации и потом произвести внеплановую смену ключей и сертификатов ЦС. Технически это означает поднять УЦ заново.
Если у Вас ЦС является подчиненным, то подаете в УЦ издателя и он (вышестоящий УЦ) аннулирует сертификат Вашего ЦС.
С уважением,
КРИПТО-ПРО
Offline enum  
#3 Оставлено : 14 августа 2009 г. 19:53:48(UTC)
enum

Статус: Участник

Группы: Участники
Зарегистрирован: 16.04.2009(UTC)
Сообщений: 26

Спасибо.

Как я понял поселдовательность дейтсвий для корневого УЦ:
1) Предупредить Уполномоченный орган о компрометации ключей
2) Осуществить генерацию нового СКП и ключевой пары уполномоченного лица (ЦС)
3) Перевыпусть все ранее выпущенные сертификаты - службебные и пользовательские.
Вопрос: Можно ли средствами КриптПро УЦ перевыпустить сертификаты пользователей без генерации ключевых пар?
4) Разместить в AIA новый новый сертификат УЦ
5) Издать CRL и подписать его новым ключом.

P.S.
Как понимать фразу
Цитата:
.. Технически это означает поднять УЦ заново...

Ведь в составе ПАК есть утилиты позволяющие перевыпустить технологические сертификаты (сертификаты Web-серверов, Администраторов и тд)
Offline Юрий Маслов  
#4 Оставлено : 14 августа 2009 г. 19:58:07(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
enum написал:
Вопрос: Можно ли средствами КриптПро УЦ перевыпустить сертификаты пользователей без генерации ключевых пар?

Нет, нельзя. Это вообще незаконно.
Сертификат содержит открытый ключ. В УЦ не может быть 2-х сертификатов с одинаковым открытым ключем. Это запрещается законом об ЭЦП и требованиями ФСБ.

enum написал:
Ведь в составе ПАК есть утилиты позволяющие перевыпустить технологические сертификаты (сертификаты Web-серверов, Администраторов и тд)

Я погорячился.
С уважением,
КРИПТО-ПРО
Offline enum  
#5 Оставлено : 14 августа 2009 г. 21:05:31(UTC)
enum

Статус: Участник

Группы: Участники
Зарегистрирован: 16.04.2009(UTC)
Сообщений: 26

Спасибо, все понятно.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.