Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline winni-pyx  
#1 Оставлено : 11 октября 2012 г. 19:48:19(UTC)
winni-pyx

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.03.2009(UTC)
Сообщений: 105
Мужчина
Откуда: Пермь

Сказал «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Добрый день\вечер\ночь!

Согласно вот этому приказу (часть III пункт 23) в сертификат по требованию заказчика должно быть включено поле subjectAlternativeName и заполнено различными данными.
Вопрос: как это сделать?

на ЦС я добавил на вкладке "Расширения Х-509" этот ОИД. Но не настраивал никак

UserPostedImage

на ЦР поставил галки в разделах "обработка неподписанных и подписанных запросов"

UserPostedImage

но при изготовлении сертификата это поле не появляется и не понятно как туда вообще можно записать какие либо данные.

на подобии этого

UserPostedImage


Offline Femi  
#2 Оставлено : 11 октября 2012 г. 20:19:26(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
А Вам какие именно данные нужно туда записать?
DNS имя?
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline winni-pyx  
#3 Оставлено : 11 октября 2012 г. 20:21:38(UTC)
winni-pyx

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.03.2009(UTC)
Сообщений: 105
Мужчина
Откуда: Пермь

Сказал «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Femi написал:
А Вам какие именно данные нужно туда записать?
DNS имя?


Для включения в квалифицированный сертификат иной информации о владельце квалифицированного сертификата, для которой не предусмотрены соответствующие стандартные атрибуты имени, в том числе информации о правомочиях владельца квалифицированного сертификата и сроке их действия, рекомендуется использовать дополнение subjectAlternativeName.

например ДОВЕРЕННОСТЬ
Offline Femi  
#4 Оставлено : 11 октября 2012 г. 20:25:55(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
Так средств нет, кодирующих такое расширение с такой информацией.
Можете написать утилиту, которая делала бы запрос, кодировала это расширение и помещала туда нужную инфу.


Приведенный пример сертификат с DNS - не в тему, заполянется это поле в таком случае иначе.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline winni-pyx  
#5 Оставлено : 11 октября 2012 г. 20:58:41(UTC)
winni-pyx

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.03.2009(UTC)
Сообщений: 105
Мужчина
Откуда: Пермь

Сказал «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
А есть возможность просто добавить пустое поле?
Offline Femi  
#6 Оставлено : 12 октября 2012 г. 13:49:37(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
Нельзя.
А зачем оно там пустое?
Если речь именно о доверенности, то как вариант - прямо в CN в скобочках
Иванов Иван Иванович (доверенность № 47 от 15 октября 2011, до 12 марта 2012)
Или в неструктурированное имя.
Но сколько УЦ было - еще никому такое не понадобилось.

Отредактировано пользователем 12 октября 2012 г. 14:23:45(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline winni-pyx  
#7 Оставлено : 12 октября 2012 г. 14:48:21(UTC)
winni-pyx

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.03.2009(UTC)
Сообщений: 105
Мужчина
Откуда: Пермь

Сказал «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Femi написал:
Нельзя.

Но сколько УЦ было - еще никому такое не понадобилось.



да я очень надеюсь, что и нам такое не потребуется. Просто в требованиях есть и мало ли что..........вдруг кому приспичит
Offline Laroux  
#8 Оставлено : 12 октября 2012 г. 14:59:31(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
winni-pyx написал:
да я очень надеюсь, что и нам такое не потребуется. Просто в требованиях есть и мало ли что..........вдруг кому приспичит
стопудово найдется какое-нить ведомство с какой-нить супермегаультраинформационной системой, которое че-нить подобное потребует. Я почти не сомневаюсь))

Но до этого момента я дергаться не собираюсь, например... Если потребуется - будет реализовано..
Offline stamp-online  
#9 Оставлено : 12 октября 2012 г. 16:39:01(UTC)
stamp-online

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.05.2011(UTC)
Сообщений: 58
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 7 раз в 6 постах
Femi написал:

Приведенный пример сертификат с DNS - не в тему, заполянется это поле в таком случае иначе.


Можете подсказать как оно заполняется?
Offline Femi  
#10 Оставлено : 12 октября 2012 г. 16:53:40(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
В свойствах пользователя(Дополнительно) на АРМе заполняется DNS имя компьютера.
В расширениях Х.509 добавляете 2.5.29.17
Разрешаете обработку подписанных\неподписанных запросов(расширения)
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline Cobra  
#11 Оставлено : 23 августа 2016 г. 12:57:23(UTC)
Cobra

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.06.2010(UTC)
Сообщений: 32

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 1 раз в 1 постах
Подскажите где и что еще нужно добавить:
Выпускаю сертификат для сервера, необходимо указать dns-имя (OID 2.5.29.17 - Дополнительное имя субъекта).

в настройках:
На ЦС на вкладке "Расширения X.509" в "Свойства Модуля политики..." расширение 2.5.29.17 добавлено.
На ЦС на вкладке "Прочие настройки" в "Свойства Модуля политики..." установлен флаг "Добавлять расширение 2.5.29.17".

На ЦР обработка подписанных/неподписанных запросов для 2.5.29.17 разрешена.
В АРМ Администратора создан пользователь, в дополнительно в поле DNS имя компьютера заполнено имя.

Но в сертификате Дополнительное имя субъекта не появляется.
Offline Xendar  
#12 Оставлено : 23 августа 2016 г. 14:55:53(UTC)
Xendar

Статус: Активный участник

Группы: Участники
Зарегистрирован: 30.07.2014(UTC)
Сообщений: 117
Российская Федерация

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 12 раз в 12 постах
Автор: Cobra Перейти к цитате

На ЦС на вкладке "Расширения X.509" в "Свойства Модуля политики..." расширение 2.5.29.17 добавлено.

На ЦР обработка подписанных/неподписанных запросов для 2.5.29.17 разрешена.

А у меня эти настройки выключены и проблем не возникает Think В остальном там особых-то хитростей и нет, странно, что не получается.
Offline Cobra  
#13 Оставлено : 23 августа 2016 г. 15:10:37(UTC)
Cobra

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.06.2010(UTC)
Сообщений: 32

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 1 раз в 1 постах
Версия УЦ 1.05.1072

сертификат выпускается, но расширение 2.5.29.17 отсутствует в нем.
А в шаблоне сертификата в улучшенном ключе расширения не влияют?

В запросе DNS имя присутствует в строке имя шаблона сертификата, вместе с шаблоном сертификата.

Отредактировано пользователем 23 августа 2016 г. 15:18:28(UTC)  | Причина: Не указана

Offline Xendar  
#14 Оставлено : 23 августа 2016 г. 15:29:54(UTC)
Xendar

Статус: Активный участник

Группы: Участники
Зарегистрирован: 30.07.2014(UTC)
Сообщений: 117
Российская Федерация

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 12 раз в 12 постах
Расширения не влияют, они за это не отвечают.

Цитата:
В запросе DNS имя присутствует в строке имя шаблона сертификата, вместе с шаблоном сертификата.

Все верно, аналогично.

А DNS имя у вас одно или их несколько?
Offline Cobra  
#15 Оставлено : 23 августа 2016 г. 16:04:26(UTC)
Cobra

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.06.2010(UTC)
Сообщений: 32

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 1 раз в 1 постах
Автор: Xendar Перейти к цитате
Расширения не влияют, они за это не отвечают.

Цитата:
В запросе DNS имя присутствует в строке имя шаблона сертификата, вместе с шаблоном сертификата.

Все верно, аналогично.

А DNS имя у вас одно или их несколько?


два имени.

Пробовала одно, все равно не появляется расширение

Отредактировано пользователем 23 августа 2016 г. 16:06:44(UTC)  | Причина: Не указана

Offline Xendar  
#16 Оставлено : 23 августа 2016 г. 17:27:02(UTC)
Xendar

Статус: Активный участник

Группы: Участники
Зарегистрирован: 30.07.2014(UTC)
Сообщений: 117
Российская Федерация

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 12 раз в 12 постах
Попробуйте в конце каждого имени поставить точку с запятой без пробела.
Offline Cobra  
#17 Оставлено : 24 августа 2016 г. 8:23:45(UTC)
Cobra

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.06.2010(UTC)
Сообщений: 32

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 1 раз в 1 постах
Автор: Xendar Перейти к цитате
Попробуйте в конце каждого имени поставить точку с запятой без пробела.


попробовала, не помогло.
И одно имя и два пробовала

Offline Kirill Sobolev  
#18 Оставлено : 24 августа 2016 г. 11:03:20(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,731
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 176 раз в 167 постах
Настройка про добавление SAN в модуле политики включена?
Техническую поддержку оказываем тут
Наша база знаний
Offline Cobra  
#19 Оставлено : 24 августа 2016 г. 12:43:40(UTC)
Cobra

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.06.2010(UTC)
Сообщений: 32

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 1 раз в 1 постах
Автор: Kirill Sobolev Перейти к цитате
Настройка про добавление SAN в модуле политики включена?



в настройках:
На ЦС на вкладке "Расширения X.509" в "Свойства Модуля политики..." расширение 2.5.29.17 добавлено.
На ЦС на вкладке "Прочие настройки" в "Свойства Модуля политики..." установлен флаг "Добавлять расширение 2.5.29.17".

На ЦР обработка подписанных/неподписанных запросов для 2.5.29.17 разрешена.
В АРМ Администратора создан пользователь, в дополнительно в поле DNS имя компьютера заполнено имя.


Где еще надо добавить, подскажите
Offline Kirill Sobolev  
#20 Оставлено : 24 августа 2016 г. 13:20:43(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,731
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 176 раз в 167 постах
Этих должно быть достаточно.
Выложите запрос, пожалуйста.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.