Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.02.2008(UTC)
Сообщений: 35
|
помогите разобраться с именем веб-сервера ЦС.
при установке УЦ необходимо было ввести имена компьютеров для ЦС и ЦР.
с ЦР все понятно - там имя компьютера должно быть aaa.bbb, что соответствует веб-серверу aaa.bbb.ru, который виден извне, и на который обращаются пользователи по распределенной схеме регистрации.
ЦС у меня поименован как cs2 - без привязки к домену второго уровня
руководствовался я тем, что ЦС извне не виден вообще, а только центром регистрации, и имя ЦС соответственно может быть каким угодно (что и прописывается явно на ЦР), и это не повлияет на работу УЦ в общем и на распространение СОС в частности.
верны ли эти соображения?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
идея такова:
на ЦС есть веб-сервер, с которым работает центр регистрации. Имя в сертификате этого веб-сервера должно совпадать с тем именем, по которому к нему обращается центр регистрации.
Если ЦС извне не виден, то СОС обычно помещается на сервер ЦР(или другом сервере, доступном всем пользователям). Для осуществления переноса СОС с сервера ЦС на сервер ЦР(или другой сервер) можно использовать задание переноса СОС, входящее в дистрибутив УЦ.
Чтобы в сертификаты пользователей попала правильная информация о точке распространения списков отзыва, отредактируйте на ЦС следующие настройки:
свойства - расширения - точки распространения списка отзыва. Туда нужно ввести ссылку, соответствующую адресу, по которому будет доступен СОС из внешней сети.
Желательно, отредактировать эти настройки как можно раньше(в идеальном случае -- до выпуска сертификатов ЦР, ЦС и веб серверов) -- чтобы во всех сертификатах была правильная информация о расположении списка отзыва. |
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.02.2008(UTC)
Сообщений: 35
|
Татьяна, спасибо за быстрый ответ! Татьяна написал:Если ЦС извне не виден а разве не оговаривается при установке, что ЦС не должен быть виден извне? на страничке зарегистрированного пользователя можно скачать просроченный СОС. не могу понять, откуда берется этот файл и как подсунуть туда актуальный СОС?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.02.2008(UTC)
Сообщений: 35
|
Alex написал:откуда берется этот файл и как подсунуть туда актуальный СОС? разобрался с этим. расшарил на ЦС папку "all users\application data\...\cdp", после чего на ЦР при помощи пакета заданий настроил перенос СОС с ЦС на ЦР в специально созданную папку. после установки на ЦР нового СОС на странице Зарег. пользователя доступен актуальный СОС. Возможно намудрил с созданием папок? как это сделать оптимальнее всего? теперь, если не сложно, объясните пожалуйста, каким образом обычно распространяется СОС при использовании распределенной схемы? я так понимаю, СОС сам устанавливаться на компы пользователей не сможет без предворительной установки спец. ПО? получается, что оптимальная точка распространения списков отзыва - и есть страничка зарегистрированного пользователя! тогда в этом Татьяна написал:
Чтобы в сертификаты пользователей попала правильная информация о точке распространения списков отзыва, отредактируйте на ЦС следующие настройки:
свойства - расширения - точки распространения списка отзыва. Туда нужно ввести ссылку, соответствующую адресу, по которому будет доступен СОС из внешней сети.
Желательно, отредактировать эти настройки как можно раньше(в идеальном случае -- до выпуска сертификатов ЦР, ЦС и веб серверов) -- чтобы во всех сертификатах была правильная информация о расположении списка отзыва.
надобности нет никакой?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
Обычно для проверки статуса сертификатов используется так называемый revocation provider -- специальное ПО, которое находит в сертификате CDP, выкачивает оттуда CRL, проверяет, что CRL принадлежит тому же центру что и сертификат пользователя, проверяет отсутствие сертификата в списке отозванных. В состав Windows входит revocation provider, но при желании можно использовать альтернативный.
Использование этого ПО позволяет работать с сертификатами и при этом не заниматься постоянным выкачиванием и установкой CRL(на некоторых УЦ CRL обновляется раз в час или чаще -- постоянно выкачивать и устанавливать было бы очень неудобно).
Необходимость установки CRL вручную появляется в основном в тех случаях, когда работа производится при помощи нестандартного ПО, которое использует нестандартную для ОС проверку на отзыв или когда у пользователя, от имени которого запущено ПО нет прав на то, чтобы вылезти в сеть и скачать оттуда CRL.
Таким образом, исключительно важно чтобы в поле "точка распространения списка отзыва" была актуальная информация о том, откуда можно выкачать CRL.
|
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.06.2009(UTC)
Сообщений: 19
Откуда: Ufa
|
Татьяна написал:идея такова:
на ЦС есть веб-сервер, с которым работает центр регистрации. Имя в сертификате этого веб-сервера должно совпадать с тем именем, по которому к нему обращается центр регистрации.
Если ЦС извне не виден, то СОС обычно помещается на сервер ЦР(или другом сервере, доступном всем пользователям). Для осуществления переноса СОС с сервера ЦС на сервер ЦР(или другой сервер) можно использовать задание переноса СОС, входящее в дистрибутив УЦ.
Чтобы в сертификаты пользователей попала правильная информация о точке распространения списков отзыва, отредактируйте на ЦС следующие настройки:
свойства - расширения - точки распространения списка отзыва. Туда нужно ввести ссылку, соответствующую адресу, по которому будет доступен СОС из внешней сети.
Желательно, отредактировать эти настройки как можно раньше(в идеальном случае -- до выпуска сертификатов ЦР, ЦС и веб серверов) -- чтобы во всех сертификатах была правильная информация о расположении списка отзыва. Помогите, пожалуйста, разобраться с определением точек распространения CDP. В свойствах ЦС у меня определена точка рапространения списков отзыва, находящаяся на ЦС: http://ServerCP/CertEnroll/CA.crl или file://\\ServerCP\CertEnroll\CA.crl. Так было задано по умолчанию. Но в документации прописано, что ЦС не должен быть доступен извне. Серитификаты ЦС, ЦР и web-серверов уже выпущены. Можно ли сейчас изменить точку CDP? будут ли при этом действительны уже выпущенные сертификаты? этой точкой распространения должна быть папка на ЦР, в которую по заданию переносится СОС с ЦС?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 519  Откуда: Крипто-Про
|
Julia написал: Серитификаты ЦС, ЦР и web-серверов уже выпущены. Можно ли сейчас изменить точку CDP? Можно, именно для сертификатов ЦС(не корневой) и ЦР, не имеет большого значения наличие действующей CDP, т.к. на ЦС актуальный СОС всегда, а на ЦР он переносится в хранилище компьютера после выполнения задания. Главное настроить CDP на ЦС до выпуска сертификатов Привелегированных пользователей. Отредактировано пользователем 23 июня 2009 г. 15:12:23(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.06.2009(UTC)
Сообщений: 19
Откуда: Ufa
|
Julia написал:этой точкой распространения должна быть папка на ЦР, в которую по заданию переносится СОС с ЦС? А где лучше создавать эту точку распространения?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 519 Откуда: Крипто-Про
|
Проще на ЦР, только CDP это не папка, а прямая ссылка на crl.
По умолчанию(на ЦС) имя.crl - это "идентификатор ключа цс", которым подписан crl. Получается, например, так : http://Имя_ЦР/ra/cdp/6D66E680F67E84BAA4E8D33685AEFDCE9705954B.crl
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.06.2009(UTC)
Сообщений: 19
Откуда: Ufa
|
IvanZzz написал:Получается, например, так : http://Имя_ЦР/ra/cdp/6D66E680F67E84BAA4E8D33685AEFDCE9705954B.crl То есть, это должна быть жестко заданная ссылка в расширених свойств ЦС? Без переменных (как по умолчанию)?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
