| ||||
| ||||
| Здавствуйте. Я тестирую работу УЦ с подчиненным и корневым ЦС, и меня смущают следующие вещи: 1. В подчиненном УЦ перенос CRL, выше стоящего ЦС, из папки incoming в папку CDP происходит только в том случае, если данный CRL уже помещен в хранилище промежуточных центров. В последствии для публикации на ЦР также должны быть в первую очередь установлены CRL. Вопрос должно ли это быть так и, если это так, то почему не сделать размещение CRL в хранилище автоматическим? 2. Что подразумевается под репликацией? Должен ли осуществляться перенос списка CRL из файла корневого ЦС в файл подчиненного ЦС (или наоборот)? И если не должен, то как пользователь может получить список CRL корневого ЦС, ведь он через и-нет забирает только список CRL ЦС, выдавшего ему сертификат? 3. Если сушествуют несколько параллельных ЦС, то получается, что пользователь УЦ, должен иметь как минимум временный доступ к каждому УЦ, чтобы получить списки отзывов других УЦ(если он работает с пользователем других УЦ). Правильно ли это и возможно ли это как-нибудь упростить. Заранее спасибо. | ||||
| Ответы: | ||||
| ||||
| Все несколько не так... 1. Задания по переносу СОС сами, т.е. АВТОМАТИЧЕСКИ, устанавливают CRL в хранилище сертификатов, а именно в раздел "Промежуточные ЦС" хранилища сертификатов локального компьютера. Это справедливо и для ЦР и для ЦС. Ничего руками делать не надо. 2. А где вы взяди такой термин "репликация"? У нас есть понятие "публикация СОС". Поэтому вопрос не совсем понятен. 3. Ответ на этот вопрос пересекается с подвопросом из вопроса 2. Тот кто строит систему с применением сертификатов САМ должен спроектировать систему, в том числе и как пользователям получать CRL для всех сертификатов из цепочки. Мы, как создатели продукта, даем инструменты, реализованные в наших продуктах. Их много. Например, самый тривиальный: использование расширения CDP, заносимое в изготавливаемые сертификаты. В этом расширении лежит URL, по которому доступен CRL. А в ресурс, определяемый URL, задачами переноса СОС автоматически размещаются файлы с CRL. Таким образом, в каждом сертификате д.б. CDP. И не надо пользователю брать CRL через свое рабочее место. Программа, производящая проверку цепочки сертификата, должна сама слазить по URL и взять оттуда список отозванных сертификатов. | ||||
| ||||
| Термин "Репликация" встречается в руководстве по эксплуатации ЦС в пукте "Настройка публикации СОС в режиме подчиненного изолированного ЦС" (пункт 8.3.2). В настоящее время я столкнулся со следующей проблемой: Я хочу заменить СОС до окончания его срока действия: сначала я публикую СОС в корневом ЦС, и перекладываю файл в папку incoming подчиненного ЦС. Затем публикую СОС в подчиненном ЦС и запускаю задачу публикации СОС. Машина говорит об удачном завершении задачи, однако в жюрнале событий появляется следующая ошибка: The VB Application identified by the event source logged this Application JobsEditor: Thread ID: 1496 ,Logged: Ошибка выполнения задачи переноса СОС. Код ошибки: 80040201 (-2147220991) Истчочник: {JOBTCRLLib}JobTCRLLibCommon.Execute Возникла непредвиденная ошибка. Оригинальное сообщение: Object required Задача: Задание копирования СОС из локальной папки incoming в локальную папку CDP. Действие: Удаление СОС из интернет-кэша СОС: F:\Documents and Settings\All Users\Application Data\Crypto Pro\CA\Inetpub\1\CA\incoming/8537C7640632AEFBE14205DF380E0E1AED4631E3.crl Причем файлы в папке incoming и CDP оказываются разными (изначально CDP была пуста) и файл СОС из CDP не удается открыть, ошибка "Неправильный файл Список отзыва сертификатов". В разделе "Промежуточные ЦС" остается старый СОС. Однако, если руками установить новый СОС и еще раз запустить задачу публикации, файлы в папке incoming и CDP оказываются одинаковыми, привдо в жюрнале событий все равно возникает ошибка. Подскажите, пожалуйста, что я делаю не правильно? | ||||
| ||||
| А как файл с CRL вышестоящего ЦС попал в папку incoming подчиненного ЦС? Он не должен попадать туда путем копированием "руками". Для этого есть соответствующая задача на ЦР. | ||||
| ||||
| Имеет ли значение с вэб папки CDP ЦР или ЦС забирать СОС? Если нет, то при публикации в папку incoming своего ЦС СОС перестает открываться, ссылаясь на то, что файл неверен, и, соответвтвенно, из папки incoming не публикуется в папку CDP | ||||
| ||||
| Вы спрашивали: "Имеет ли значение с вэб папки CDP ЦР или ЦС забирать СОС?" Ответ: Да имеет, но не совсем понятен вопрос. Кто забирает? Куда забирает? Зачем забирает? От ответа на эти вопросы зависит ответ "почему имеет". По ошибке... Трудно понять из описания, но судя по всему, у Вас ПАК "КриптоПро УЦ" сборки 1.02.0212. В этой сборке есть ошибка, связанная с выполнением задач по переносу СОС. Если Ваша организация приобрела ПАК "КриптоПро УЦ", то обратитесь в нашу службу техподдержки и мы вышлем Вам исправление данной ошибки. | ||||
| ||||
| test | ||||
| ||||
| Здравствуйте еще раз. У нас действительно версия 1.02.0212. Наша организация является вашим официальным диллером. Можем ли мы каким либо образом получить для тестирования версию 1.2. А также скажите пожалуйста адресс вашей тех. поддержки и каким образом мы можем туда обратиться. | ||||
| ||||
| Напишите письмо на адрес support@cryptopro.ru и укажите в нем, что нужны исправления, утраняющие ошибку переноса СОС. Вам вышлют их по почте. Если хотите получить редакцию 1.3 ПАК "КриптоПро УЦ", то ее мы предоставляем в рамках договора на техподдержку и сопровождения комплекса. | ||||
| ||||
| Здравствуйте еще раз, После установки новой библиотеки все заработало. Но не могли бы вы ответить на вопрос, зачем при переносе СОС вышестояшего ЦР в папку incoming своего ЦС у СОС меняеться код? Ведь при запуске задачи переноса СОС на ЦС код файла СОС переписываеться и этот файл становиться таким же как и в выше стоящем УЦ | ||||
| ||||
| Не могли бы вы поподробнее рассказать о последнем вопросе? | ||||
| ||||
| Для переноса СОС с выше стоящего УЦ (далее УЦ1) используем задачи ЦР подчиненного УЦ (далее УЦ2).: 1. Сначала на ЦР УЦ1 запускается задача публикации СОС из своего ЦР. при этом в папке CDP на ЦР формируется (записывается) СОС ЦС УЦ1, причем коды файлов на ЦР и ЦС полностью савподают. 2. Далее на ЦР УЦ2 запускаем задачу "Публикации СОС из сетевого ресурса CDP ЦР выщестоящего ЦС на сетевой ресурс incoming...". При этом в папке incoming на ЦС УЦ2 формируется файл СОС, код которого отличаеться от кода файла СОС расположенного на ЦР УЦ1. 3. Запускаем Задачу на ЦС УЦ2 "перенос СОС из папки incoming...". При этом в папку CDP пишется файл СОС УЦ1, код которого идентичен коду файла СОС на ЦР УЦ1. Вопрос: Зачем на этапе 2 меняется код файла (+ размер файла увеличивается), если на этапе 3 мы его восстанавливаем и что мы пытаемся этим добиться. Заранее спасибо. | ||||
| ||||
| Для переноса СОС с выше стоящего УЦ (далее УЦ1) используем задачи ЦР подчиненного УЦ (далее УЦ2).: 1. Сначала на ЦР УЦ1 запускается задача публикации СОС из своего ЦР. при этом в папке CDP на ЦР формируется (записывается) СОС ЦС УЦ1, причем коды файлов на ЦР и ЦС полностью савподают. 2. Далее на ЦР УЦ2 запускаем задачу "Публикации СОС из сетевого ресурса CDP ЦР выщестоящего ЦС на сетевой ресурс incoming...". При этом в папке incoming на ЦС УЦ2 формируется файл СОС, код которого отличаеться от кода файла СОС расположенного на ЦР УЦ1. 3. Запускаем Задачу на ЦС УЦ2 "перенос СОС из папки incoming...". При этом в папку CDP пишется файл СОС УЦ1, код которого идентичен коду файла СОС на ЦР УЦ1. Вопрос: Зачем на этапе 2 меняется код файла (+ размер файла увеличивается), если на этапе 3 мы его восстанавливаем и что мы пытаемся этим добиться. Заранее спасибо. | ||||
| ||||
| Для переноса СОС с выше стоящего УЦ (далее УЦ1) используем задачи ЦР подчиненного УЦ (далее УЦ2).: 1. Сначала на ЦР УЦ1 запускается задача публикации СОС из своего ЦР. при этом в папке CDP на ЦР формируется (записывается) СОС ЦС УЦ1, причем коды файлов на ЦР и ЦС полностью савподают. 2. Далее на ЦР УЦ2 запускаем задачу "Публикации СОС из сетевого ресурса CDP ЦР выщестоящего ЦС на сетевой ресурс incoming...". При этом в папке incoming на ЦС УЦ2 формируется файл СОС, код которого отличаеться от кода файла СОС расположенного на ЦР УЦ1. 3. Запускаем Задачу на ЦС УЦ2 "перенос СОС из папки incoming...". При этом в папку CDP пишется файл СОС УЦ1, код которого идентичен коду файла СОС на ЦР УЦ1. Вопрос: Зачем на этапе 2 меняется код файла (+ размер файла увеличивается), если на этапе 3 мы его восстанавливаем и что мы пытаемся этим добиться. Заранее спасибо. | ||||
Алексей