Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline DanilovOnline  
#1 Оставлено : 17 июня 2022 г. 13:47:50(UTC)
DanilovOnline

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.07.2018(UTC)
Сообщений: 4
Российская Федерация

Использую CoreFx.
Появилась потребность перевыпустить сертификат на существующей паре ключей.
Как это сделать?
Offline two_oceans  
#2 Оставлено : 20 июня 2022 г. 8:34:35(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Добрый день.
Технически возможно создать новый запрос на сертификат, используя существующую ключевую пару. Насколько помню, в большинстве интерфейсов это потребует указать существующий контейнер в том же параметре, где обычно указывается имя нового создаваемого контейнера. Также у меня есть опыт с создание запроса через связку openssl + gostengy + КриптоПро CSP 4.

Вот с юридической стороной проблема. Если на этот ключ гост уже был ранее выпущен сертификат в аккредитованном УЦ, то повторное использование ключа не предусматривается законом "Об электронной подписи". В случае повторной подачи в тот же УЦ, УЦ вправе расценить это как что 2 клиента имеют одинаковую ключевую пару, то есть произошла компрометация ключа. Это основание немедленно отозвать ранее выданные сертификат и отказать в обработке нового запроса. Каких-либо послаблений при поступлении 2 запросов от одного владельца не предусмотрено.

При подаче нового запроса в другой УЦ такая ситуация может не возникнуть, но со временем Минцифра все строже за этим следит, в частности сейчас уже есть единый реестр в который заносятся выданные сертификаты, то есть Минцифра в теории может отследить что на один ключ выдали сертификаты 2 УЦ и также инициировать процесс отзыва обоих сертификатов.

Кроме того, если прошлый сертификат был установлен в контейнер КриптоПро, то удаление сертификата штатно не предусмотрено, то есть даже если получите новый сертификат, его будет невозможно установить в контейнер взамен старого сертификата. Корректным способом замены является экспорт закрытого ключа в pfx/pз12 и импорт закрытого ключа в новый контейнер (без сертификата), затем повторная установка нового сертификата в контейнер.

В итоге, задачи требующие перевыпуска на том же ключе сводятся к собственному УЦ либо к тестовому УЦ, с юридически значимой ЭП перевыпуск несовместим.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.