Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline lukin  
#1 Оставлено : 3 мая 2011 г. 17:48:56(UTC)
lukin

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.04.2011(UTC)
Сообщений: 6

ТРЕБОВАНИЯ К ЕДИНОЙ СТРУКТУРЕ СЕРТИФИКАТА КЛЮЧА ПРОВЕРКИ ЭЛЕКТРОННОЙ ПОДПИСИ

1. Общие требования.

Сертификат ключа проверки электронной подписи (далее - СКП) представляет собой электронный документ с электронной подписью уполномоченного лица удостоверяющего центра.
Структура и содержание СКП определяются:
Федеральным законом Российской Федерации от 6 апреля 2010 г. № 1 ФЗ «Об электронной цифровой подписи»;
настоящим документом;
международными рекомендациями RFC 5280 «Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile»;
международными рекомендациями RFC 4491 «Using the GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure Certificate and CRL Profile».
СКП должен содержать:
обязательные поля СКП;
расширения СКП.

2. Требования к составу и содержанию обязательных полей СКП.

В состав обязательных полей СКП входят следующие поля:
поле «Версия»;
поле «Серийный номер»;
поле «Издатель сертификата»;
поле «Срок действия сертификата»;
поле «Владелец сертификата»;
поле «Открытый ключ»;
2.1. Поле «Версия» (version) должна быть не ниже 3.
2.2. Поле «Серийный номер» (serialNumber) должно содержать серийный номер СКП, уникальный в пределах серийных номеров всех сертификатов, выданных УЦ, издавшего СКП.
2.3. Поле «Издатель сертификата» (issuer) должно содержать фамилию, имя, отчество (при наличии) уполномоченного лица УЦ либо псевдоним издателя сертификата.
2.4. Поле «Срок действия сертификата» должно содержать дату начала и дату истечения срока действия СКП в формате UTC;
2.5. Поле «Владелец сертификата» (Subject) содержит следующие компоненты имени и формируется следующим образом:
Обязательный компонент «Общее имя» (CN, Common Name), содержащий фамилию, имя, отчество (при наличии) владельца СКП – физического лица;
компонента «Должность»;
компонента «Структурное подразделение»;
компонента «Организация»;
компонента «Город»;
компонента «Страна»;
компонента «Адрес электронный почты»;
компонента «Основной государственный регистрационный номер владельца СКП – юридического лица, OGRN»;
компонента «Идентификационный номер налогоплательщика владельца СКП – юридического лица, INN»;
компонента «Страховой номер индивидуального лицевого счета владельца СКП сертификата – физического лица, СНИЛС».
2.5.1. Формат компоненты «Общее имя».
Длина текста не более 255 символов
ФИО должно быть указано полностью так, как оно указано в документе, удостоверяющем личность владельца (например, паспорт).
Формат:
первое слово - Фамилия;
1 символ «#»;
второе слово - Имя;
1 символ «#»;
третье слово – Отчество (при наличии);
остальные слова (если есть) могут быть отнесены к отчеству, в зависимости от контекста обработки;
каждое слово в тексте должно быть отделено одним символом «#»;
не разрешается использовать пробел в начале и в конце текста;
разрешается использовать только один атрибут CN в DN владельца.
2.5.2. Компонента «Должность» (T, Title), содержащий должность владельца СКП для юридических лиц. Длина текста не более 64 символов.
2.5.3. Компонента «Структурное подразделение» (OU, OrgUnit), содержащий подразделение организации владельца сертификата для юридических лиц. Длина текста не более 64 символов.
2.5.4. Компонента «Организация» (O, Organization), содержащая название юридического лица. Длина текста не более 1024 символов.
2.5.5. Компонента «Город» (L, Locality), содержащий название населенного пункта, в котором расположена организация владельца сертификата. Длина текста не более 128 символов.
2.5.6. Компонента «Страна» (С), содержащая название страны, в которой расположена организация владельца сертификата.
2.5.7. Компонента «Адрес электронной почты» (E, EMail), содержащая адрес электронной почты владельца сертификата ключа подписи. Длина текста не более 255 символов.
2.5.8. Компонента «Идентификационный номер налогоплательщика владельца СКП – юридического лица, INN» (OID: 1.2.643.3.131.1.1) (для владельца СКП юридического лица). Текст длиной до 12 цифр, содержащий ИНН юридического лица.
2.5.9. Компонента «Основной государственный регистрационный номер владельца СКП – юридического лица, OGRN» (OID: 1.2.643.100.1) (для владельца СКП юридического лица). Текст длиной до 10 цифр, содержащий ОГРН юридического лица.
2.5.10. Компонента «Cтраховой номер индивидуального лицевого счета владельца СКП сертификата – физического лица, СНИЛС» (OID:2.5.4.5) «SerialNumber» - (для физического лица) страховой номер индивидуального лицевого счета владельца сертификата, содержащий уникальный идентификатор владельца сертификата ключа подписи.
2.6. Поле «Открытый ключ» должно содержать:
название и алгоритм формирования открытого ключа. (Для формирования открытого ключа в соответствии с государственными стандартами Российской Федерации – ГОСТ Р 34.11/34.10-2001 (OID 1.2.643.2.2.3);
параметры и значение открытого ключа уполномоченного лица УЦ.

3. Требования к составу и содержанию расширений СКП.

В состав расширений СКП входят следующие расширения:
расширение «Использование ключа»;
расширение «Улучшенный ключ»;
расширение «Идентификатор ключа владельца»;
расширение «Идентификатор ключа издателя»;
расширение «Политики применения сертификата»;
расширение «Точки распространения списков отзыва»;
расширение «Доступ к информации издателя сертификата».
3.1. Расширение «Использование ключа» (обязательное поле) содержит набор областей использования ключа: Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных.
3.2. Расширение «Улучшенный ключ» содержит набор областей использования ключа. Набор областей является расширяемым в зависимости от области использования ключа.
3.3. Расширение «Идентификатор ключа субъекта» содержит идентификатор ключа владельца СКП.
3.4. Расширение «Идентификатор ключа центра сертификатов» содержит идентификатор ключа уполномоченного лица УЦ.
3.5. Расширение «Политики применения сертификата» содержит описание политик применения сертификата, описывающих юридическую сферу применения СКП. В состав политик может входить описание использования СКП в различных информационных системах и др.
3.6. Расширение «Точки распространения списков отзыва» содержит URL-адрес точек распространения списков отозванных сертификатов по протоколу «http» или «ldap».
3.7. Расширение «Доступ к информации издателя сертификата» содержит URL-адрес официального сайта удостоверяющего сайта, выпустившего СКП, а также набор адресов OCSP-сервисов, с помощью которых может быть проверен СКП.

4. Подпись Удостоверяющего центра.

Поле «Подпись Удостоверяющего центра» содержит:
алгоритм подписи, включающий идентификатор в соответствии с которыми сформирована подпись;
значение подписи удостоверяющего центра.

Отсюда следующие вопросы:

1. Когда будет сертификат ФСБ на версию 1.5?
2. Когда будет патч к УЦ 1.5, чтобы можно было вводить новые поля?
3. Есть ли возможность при выпущенном корневом сертификате от версии 1.4 подсунуть для версии 1.5(или нужно его перевыпускать)?

Отредактировано пользователем 3 мая 2011 г. 17:51:41(UTC)  | Причина: Не указана

Offline Femi  
#2 Оставлено : 10 мая 2011 г. 14:11:06(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
1. Когда будет сертификат ФСБ на версию 1.5?
Есть заключение ФСБ от 31.12.2010 г. Бумажку (сам сертификат) оформляют и ждем до конца июня 2011.

2. Когда будет патч к УЦ 1.5, чтобы можно было вводить новые поля?
Это реализовано в сборке 1.5.986 , которая уже доступна для скачивания с сайта.

3. Есть ли возможность при выпущенном корневом сертификате от версии 1.4 подсунуть для версии 1.5(или нужно его перевыпускать)?
Конечно есть! Вам нужно просто деинсталлировать "КриптоПро УЦ" версии 1.4 и установить "КриптоПро УЦ" версии 1.5.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline Юрий Маслов  
#3 Оставлено : 20 мая 2011 г. 19:16:21(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
lukin написал:
1. Когда будет сертификат ФСБ на версию 1.5?


Получены сертификаты соответствия на УЦ 1.5 (варианты исполнения 1 и 2).
Номер сертифицированной сборки ПАК "КриптоПро УЦ" - 1.5.986.

Сертификаты соответствия СФ/128-1657 и СФ/128-1658 от 1 мая 2011, действительны до 15 апреля 2014.
С уважением,
КРИПТО-ПРО
Offline gippoboy  
#4 Оставлено : 25 мая 2011 г. 15:35:48(UTC)
gippoboy

Статус: Участник

Группы: Участники
Зарегистрирован: 03.03.2011(UTC)
Сообщений: 10

Сказал(а) «Спасибо»: 1 раз
Установил КриптоПро УЦ версии 1.5 сборка 1.05.0986
Компонента «Основной государственный регистрационный номер владельца СКП – юридического лица, OGRN» (OID: 1.2.643.100.1) отсутствует в списке настройки политики имен.

Будет ли этот ОИД включен в очередной сборке КриптоПро УЦ?
Если будет, то когда?
Offline Femi  
#5 Оставлено : 25 мая 2011 г. 16:04:43(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
Добавить ОГРН в данной сборке можно, выполнив некоторые дополнительные действия.

У нас выложен дистрибутив новой сборки 1.05.0997 - в ней ОРГН уже добавлен.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline gippoboy  
#6 Оставлено : 25 мая 2011 г. 20:12:54(UTC)
gippoboy

Статус: Участник

Группы: Участники
Зарегистрирован: 03.03.2011(UTC)
Сообщений: 10

Сказал(а) «Спасибо»: 1 раз
Можно подробнее об этих некоторых дополнительных действиях?
Или лучше сразу сборку 1.05.0997 поставить?
И как сборку 1.05.0997 ставить? Сначала сносить сборку 1.05.0986 или можно поверх поставить?


P.S. Кстати, желательно написать в инструкции по переходу с 1.4 на 1.5 о том, что для установки SQL 2005 предварительно нужно поставить Microsoft .NET Framework 2.0

Отредактировано пользователем 26 мая 2011 г. 7:21:49(UTC)  | Причина: Не указана

Offline Femi  
#7 Оставлено : 26 мая 2011 г. 14:52:42(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
Можно сразу поставить 1.05.0997, если для Вас не критично что он еще не сертифицирован

Если 1.05.0986, то на каждой машине с ЦС,ЦР, АРМ нужно:
Зарегистрировать ОИД в реестре
Выполнить скрипт
Добавить в Политике имен на ЦР
(На клиентских машинах нужна только регистрация в реестре)
Подробную инструкцию со скриптами и оег-файлами можем выслать по запросу на support@cryptopro.ru
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline MZed  
#8 Оставлено : 17 июня 2011 г. 21:25:21(UTC)
MZed

Статус: Участник

Группы: Участники
Зарегистрирован: 07.10.2010(UTC)
Сообщений: 14
Откуда: Волгоград

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Из ТРЕБОВАНИЙ К ЕДИНОЙ СТРУКТУРЕ СЕРТИФИКАТА КЛЮЧА ПРОВЕРКИ ЭЛЕКТРОННОЙ ПОДПИСИ:

"2.5.4. Компонента «Организация» (O, Organization), содержащая название юридического лица. Длина текста не более 1024 символов.
2.5.7. Компонента «Адрес электронной почты» (E, EMail), содержащая адрес электронной почты владельца сертификата ключа подписи. Длина текста не более 255 символов."

В связи с этим возник вопрос. Как в Политике имён КриптоПро УЦ 1.5 поменять разрешённую длину имён? Сейчас, например, в поле "Организация" максимально разрешённая длина 64 символа, а в поле "Электронная почта" - 128 и изменению эти параметры не поддаются.
Offline Femi  
#9 Оставлено : 20 июня 2011 г. 14:10:33(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
Поменять не получится и дело тут не в КриптоПро УЦ:
http://msdn.microsoft.co...ary/aa386991(VS.85).aspx
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline MZed  
#10 Оставлено : 20 июня 2011 г. 19:29:25(UTC)
MZed

Статус: Участник

Группы: Участники
Зарегистрирован: 07.10.2010(UTC)
Сообщений: 14
Откуда: Волгоград

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Femi написал:
Поменять не получится и дело тут не в КриптоПро УЦ:
http://msdn.microsoft.co...ary/aa386991(VS.85).aspx


Ограничение Майкрософтовского УЦ как раз получается снять заменой 1 на 0 в одном из параметров реестра и выпустить на нём сертификат через запрос с названием превосходящим длину в 64 символа.

Остаётся вопрос. Как убрать такие ограничения на АРМ Администратора ЦР, на ЦР и на ЦС КриптоПро?

И если нет возможности обойти эту проблему на данном этапе, то разработчикам нужно срочно заняться решением этой проблемы. Иначе КриптоПро УЦ в скором будущем не сможет выпускать сертификаты отвечающие объявленным требованиям...


Ещё один вопрос.
Каким образом можно поменять значение "Дополнительное имя субъекта" (OID 2.5.29.17)?

Есть возможность загружать это значение из файла, но нужно, чтобы он содержал "закодированное ASN.1 значение". Может кто подскажет, как такой файл сформировать?
Offline Василий Дементьев  
#11 Оставлено : 20 июня 2011 г. 19:48:06(UTC)
Василий Дементьев

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 348
Откуда: ООО "КРИПТО-ПРО"

Поблагодарили: 5 раз в 4 постах
Цитата:
Ограничение Майкрософтовского УЦ как раз получается снять заменой 1 на 0 в одном из параметров реестра и выпустить на нём сертификат через запрос с названием превосходящим длину в 64 символа


Да ладно. Пример можете привести?
У меня не получилось на чистом MS CA без модулей КриптоПро.

Отредактировано пользователем 20 июня 2011 г. 19:54:04(UTC)  | Причина: Не указана

Offline MZed  
#12 Оставлено : 20 июня 2011 г. 19:56:01(UTC)
MZed

Статус: Участник

Группы: Участники
Зарегистрирован: 07.10.2010(UTC)
Сообщений: 14
Откуда: Волгоград

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Василий Дементьев написал:
Цитата:
Ограничение Майкрософтовского УЦ как раз получается снять заменой 1 на 0 в одном из параметров реестра и выпустить на нём сертификат через запрос с названием превосходящим длину в 64 символа


Да ладно. Пример можете привести?
У меня не получилось на чистом MS CA без модулей КриптоПро.


Для отключения контроля длины имён зайти в
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\"ВАШ УЦ"
и изменить параметр
EnforceX500NameLengths
На ноль
Offline Василий Дементьев  
#13 Оставлено : 20 июня 2011 г. 20:19:47(UTC)
Василий Дементьев

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 348
Откуда: ООО "КРИПТО-ПРО"

Поблагодарили: 5 раз в 4 постах
Чего только не узнаешь :)
Спасибо за информацию, реально работает.

А на нашем УЦ расширить ограничение на длину компонента имени очень просто - в БД ЦР таблица NameProperties, столбец MaxLen для нужного компонента имени.
Поправить можно вручную с помощью SQL Server Management Studio или скриптом.

Если будет актуально - скрипт можем предоставить.

P.S. Вот пример только что выпущенного на стенде сертификата:
CN = пользователь с длинной организацией
O = Супер-пупер длинное название организации, которая представляет интересы Удостоверяющего Центра ООО "КРИПТО-ПРО" в Московской области и Москве по предоставлению услуг выдачи и технического обслуживания сертификатов пользователей
т.е. длина названия организации 227 символов.
Offline MZed  
#14 Оставлено : 22 июня 2011 г. 21:02:32(UTC)
MZed

Статус: Участник

Группы: Участники
Зарегистрирован: 07.10.2010(UTC)
Сообщений: 14
Откуда: Волгоград

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
И вам спасибо, у нас тоже стал пропускать длинные названия.
Offline MACTEP  
#15 Оставлено : 29 июня 2011 г. 20:06:10(UTC)
MACTEP

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.10.2010(UTC)
Сообщений: 8
Откуда: 57 Орловская область

поставили версию 1.5.1000 там оида ОГРН нет, его добавлять выше описанным способом для 1.5.986?
Offline Femi  
#16 Оставлено : 29 июня 2011 г. 21:11:47(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
Его нужно зарегистрировать-рег-файл импортировать
http://www.cryptopro.ru/...products/ca/doc/ogrn.zip
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline MACTEP  
#17 Оставлено : 30 июня 2011 г. 19:56:07(UTC)
MACTEP

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.10.2010(UTC)
Сообщений: 8
Откуда: 57 Орловская область

спасибо помогло
Offline MACTEP  
#18 Оставлено : 1 июля 2011 г. 13:13:03(UTC)
MACTEP

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.10.2010(UTC)
Сообщений: 8
Откуда: 57 Орловская область

а для ИП надо заполнять огрн или это только для юр.лиц?
Offline Femi  
#19 Оставлено : 1 июля 2011 г. 13:28:56(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
Насколько мне известно, у ИП нет ОГРН...
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline lukin  
#20 Оставлено : 1 июля 2011 г. 15:54:52(UTC)
lukin

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.04.2011(UTC)
Сообщений: 6

Цитата:
Чего только не узнаешь :)
Спасибо за информацию, реально работает.

А на нашем УЦ расширить ограничение на длину компонента имени очень просто - в БД ЦР таблица NameProperties, столбец MaxLen для нужного компонента имени.
Поправить можно вручную с помощью SQL Server Management Studio или скриптом.

Если будет актуально - скрипт можем предоставить.

P.S. Вот пример только что выпущенного на стенде сертификата:
CN = пользователь с длинной организацией
O = Супер-пупер длинное название организации, которая представляет интересы Удостоверяющего Центра ООО "КРИПТО-ПРО" в Московской области и Москве по предоставлению услуг выдачи и технического обслуживания сертификатов пользователей
т.е. длина названия организации 227 символов.


Не могли бы выложить скрипт?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
4 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.