Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline andrew321456  
#11 Оставлено : 16 августа 2020 г. 7:17:29(UTC)
andrew321456

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Санчир Момолдаев Перейти к цитате
Добрый день!
у вас закончился срок действия закрытого ключа.
вам необходимо:
либо выпустить новый ключ ЦС
либо отключить контроль сроков действия ЗК согласно статьи


1. Каким образом контроль оказался в контейнере СА включен, если флажок не установлен (в предыдущем сообщении скрин показан), а установка КриптоПро производилась "по умолчанию" и никакого дополнительных настроек КриптоПро не производилось?
2. Каким образом будут взаимодействовать VPN-клиенты, для которых был ранее сгенерирован/подписан ключ/контейнер на основе старого сертификата СА с новыми клиентами, для которых будет выпущен ключ/контейнер с новым сертификатом СА? Что требуется сделать, чтобы они нормально взаимодействовали между собой?
В качестве клиентов - STerra VPN Gate, Cterra VPN Client.

Отредактировано пользователем 16 августа 2020 г. 7:19:01(UTC)  | Причина: Не указана

Offline Санчир Момолдаев  
#12 Оставлено : 16 августа 2020 г. 7:34:17(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
Автор: andrew321456 Перейти к цитате

1. Каким образом контроль оказался в контейнере СА включен, если флажок не установлен (в предыдущем сообщении скрин показан), а установка КриптоПро производилась "по умолчанию" и никакого дополнительных настроек КриптоПро не производилось?

ключ ЦС был загружен до того как он "протух". проверка срока происходит только при первой загрузке ключа. пока жив объект провайдера ключ был в нем. ребут - объект провайдера был уничтожен, соответственно загрузка заново ключа.
Усиленный режим работы - это нечто другое.

Автор: andrew321456 Перейти к цитате

2. Каким образом будут взаимодействовать VPN-клиенты, для которых был ранее сгенерирован/подписан ключ/контейнер на основе старого сертификата СА с новыми клиентами, для которых будет выпущен ключ/контейнер с новым сертификатом СА? Что требуется сделать, чтобы они нормально взаимодействовали между собой?
В качестве клиентов - STerra VPN Gate, Cterra VPN Client.

все клиенты же подсоединяются к какой-то точке/серверу?
необходимо чтобы указанный сервер доверял как старому, так и новому издателю. и отправлял Cert Authorities клиентам, чтобы они могли аутентифицироваться
между клиентами полагаю никакого tls взаимодействия нет.
если вас устраивает отклонение от эксплуатационной документации, то вы можете отключить контроль сроков действия закрытого ключа согласно статьи в предыдущем сообщении
Техническую поддержку оказываем тут
Наша база знаний
Offline andrew321456  
#13 Оставлено : 16 августа 2020 г. 7:55:27(UTC)
andrew321456

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity (для 32-битных операционных систем);



Какого типа должен быть параметр?

В статье не увидел.



Уточню, после добавления данного ключа в реестр и перезапуска Microsoft CA можно продолжить пользоваться текущим сертификатом СА?
Перевыпуск нового сертификата СА не требуется?

Отредактировано пользователем 16 августа 2020 г. 8:28:22(UTC)  | Причина: Не указана

Offline Санчир Момолдаев  
#14 Оставлено : 16 августа 2020 г. 9:22:41(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
Dword32
Все верно. Перевыпускать не понадобится. Пока не истечет срок действия самого сертификата.
Вы только сервер ребутните еще раз после установки параметра
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Санчир Момолдаев за этот пост.
andrew321456 оставлено 16.08.2020(UTC)
Offline andrew321456  
#15 Оставлено : 16 августа 2020 г. 16:22:31(UTC)
andrew321456

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Санчир Момолдаев Перейти к цитате
Dword32
Все верно. Перевыпускать не понадобится. Пока не истечет срок действия самого сертификата.
Вы только сервер ребутните еще раз после установки параметра


Сервер перезапустил первым шагом для проверки.
Вроде бы работает. Надо будет проверить на новых клиентах/сертификатах.

Спасибо.
Offline two_oceans  
#16 Оставлено : 17 августа 2020 г. 6:46:59(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Автор: Санчир Момолдаев Перейти к цитате
либо выпустить новый ключ ЦС
либо отключить контроль сроков действия ЗК согласно
Тут бы еще добавить что отключенным сроком получается СКЗИ не соответствующее требованиям сертификации. На самом деле, список решений далеко не полный:
3) удалить из контейнера расширение со сроком действия закрытого ключа. Это можно сделать утилитой CSPtest. Cработает если в сертификате УЦ есть аналогичный параметр со сроком действия закрытого ключа и он выставлен по действию сертификата. Предпочтительный вариант для УЦ.
4) изменить расширение со сроком. К сожалению, штатного способа сделать это нет. Утилита CSPtest дает возможность замены, но что записать в файл замены официальной документации нет.
5) пересоздать контейнер с тем же ключом: экспортировать в PFX - импортировать в новый контейнер - установить сертификат с привязкой к новому контейнеру. Для своего внутреннего УЦ я выбрал такой вариант, неудобство только в необходимости проделывать это каждые 15 месяцев.

Во случаях 3,4,5 не потребуется отключать контроль и соответственно это не повлияет на эксплуатацию других программ на основе ключей КриптоПро на том же сервере.
Offline andrew321456  
#17 Оставлено : 17 августа 2020 г. 10:07:35(UTC)
andrew321456

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: two_oceans Перейти к цитате
Автор: Санчир Момолдаев Перейти к цитате
либо выпустить новый ключ ЦС
либо отключить контроль сроков действия ЗК согласно
Тут бы еще добавить что отключенным сроком получается СКЗИ не соответствующее требованиям сертификации. На самом деле, список решений далеко не полный:
3) удалить из контейнера расширение со сроком действия закрытого ключа. Это можно сделать утилитой CSPtest. Cработает если в сертификате УЦ есть аналогичный параметр со сроком действия закрытого ключа и он выставлен по действию сертификата. Предпочтительный вариант для УЦ.
4) изменить расширение со сроком. К сожалению, штатного способа сделать это нет. Утилита CSPtest дает возможность замены, но что записать в файл замены официальной документации нет.
5) пересоздать контейнер с тем же ключом: экспортировать в PFX - импортировать в новый контейнер - установить сертификат с привязкой к новому контейнеру. Для своего внутреннего УЦ я выбрал такой вариант, неудобство только в необходимости проделывать это каждые 15 месяцев.

Во случаях 3,4,5 не потребуется отключать контроль и соответственно это не повлияет на эксплуатацию других программ на основе ключей КриптоПро на том же сервере.


Честно, половину из Вами описанного просто не понял :) Я не настолько глубоко разбираюсь в теме. Пользуемся КриптоПро в качестве необходимого инструмента, т.к. альтернативы особенно нет.


Но, описанное Вами, в нашем случае ни разу, видимо, не актуально в плане "требований сертификации".

В нашем случае ЦА только и исключительно подписывает ключи ГОСТовским алгоритмом. Сами ключи генерируются на клиентах, а в ЦА засылается только запрос на сертификат.

А вот срок действия ключа ЦА в 15 месяцев - это ОГРОМНАЯ диверсия.

А со стороны клиентов у нас ни разу не КриптоПро. Там встроенный крипто-провайдер, что называется "от производителя". И там отдельная сертификация на продукт.

Отредактировано пользователем 17 августа 2020 г. 10:16:20(UTC)  | Причина: Не указана

Offline Санчир Момолдаев  
#18 Оставлено : 17 августа 2020 г. 12:41:55(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
Все в соответствии с документацией.
Если вам не важна сертифицированность можно игнорировать сроки действия ЗК
Техническую поддержку оказываем тут
Наша база знаний
Offline andrew321456  
#19 Оставлено : 17 августа 2020 г. 14:13:09(UTC)
andrew321456

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Санчир Момолдаев Перейти к цитате
Все в соответствии с документацией.


Возможно и так, но когда поведение продукта меняется с новой версией, а документация где-нить на сайте производителя, то получается очень "интересно" в самый неожиданный момент.

А вопрос об этом конкретном изменении вообще было бы хорошо вынести куда-нить на момент установки в виде вопроса "Желает ли пользователь использовать ограниченные по времени ключи?". И справочку дать рядом, что и почему.


Хочется использовать продукт как продукт, а не как набор инструкций по обходу разложенных грабель.

Отредактировано пользователем 17 августа 2020 г. 14:20:26(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.