10.11.2004 6:09:37Имя файла CRL Ответов: 21
Vadim_K
Снова глупый вопрос:

Какой смысл в том, что CRL с красивым именем "Имя службы сертификации.crl" (..:\WINNT\system32\CertSrv\CertEnroll) при публикации в папку CDP виртуального каталога CA Web-узла ЦС переименовывается в "идентификатор ключа субъекта.crl"? Хотел настроить задачу переноса CRL c RA (или напрямую с CA) на внешнюю CDP, но оказывается его еще и переименовывать надо, а стандартная задача этого не делает. Зачем это и как попроще вернуть файлу его первоначальное имя?

Или расскажите как обычно делают эту публикацию именно на внешнюю CDP (не CA и не RA)?

Попутный вопрос: Если АРМ Администратора все равно работает с CRL’ями, которые лежат на CA, то зачем RA хочет видеть CRL обязательно в виртуальном каталоге CDP _СВОЕГО_ Web-узла? (иначе возникает "ошибка проверки цепочки сертификатов") Почему RA не может посмотреть его на аналогичном ресурсе CA? Или может? Просто надо правильно настроить? (Про то, что если настроить ту самую задачу переноса, все будет OK! - я знаю, и умею)
 
Ответы:
10.11.2004 15:00:05fav
В том случае, если у вас уже произошла плановая смена ключей уполномоченного лица УЦ (смена сертификата ЦС), то CRL будет два. Задачу для переноса CRL можно настроить так, чтобы переносились все CRL, либо некоторые. В параметрах этой задачи указываются сертификаты ЦС, CRL-ли которых требуется перенести - этому и "помогают" красивые имена файлов, содержащие идентификаторы ключей ЦС.

Эти файлы переименовывать не надо, а настройка задачи переноса CRL на внешний ресурс ничем принципиальным не отличается от переноса в ресурс RA. Просто в папке-приемник надо прописать новое, нужное вам, значение - сетевой путь - \\computer\folder, или даже http://a.b.ru/cdp

АРМ администратора не должен работать с CRL-ями, которые лежат на CA (поскольку CA должен быть недостопен с Арма - с CA может работать только RA), а RA не обязательно хочет видеть файлы CRL у себя в CDP. Задача переноса CRL помимо собственно переноса файлов CRL, устанавливает CRL локально и если расписание задачи настроена правильно, то все будет работать.
10.11.2004 15:20:30Василий
А Вы документацию на УЦ внимательно читали? Там всё подробно написано...
Тем не менее, отвечу:
Переименовывать CRL не надо. При указании в Модуле выхода Крипто-Про на ЦС галки "Включить публикацию" crl кладётся в веб-папку ЦС в виде ID_ключа.crl. Под тем же названием он Задачей переноса на ЦР переносится в веб-папку ЦР (или в любую другую расшаренную папку).
Разумеется, в Модуле политики на ЦС нужно указать действительную ссылку на то место, где есть файл crl.
Далее. АРМ администратора с CRL не работает, в смысле, не проверяет сертификаты на присутствие в CRL. Действия "Открыть текущий CRL", "Сохранить CRL", "Опубликовать CRL" работают непосредственно с ЦС, минуя веб-папки CDP.
На ЦР CRL используется из локального хранилища, куда его помещает Задача переноса.
11.11.2004 8:53:47Vadim_K
Да, документацию я читал, непонятные моменты даже очень внимательно, а чайник я пока только в вопросах УЦ, так что не наезжайте зря.

Давайте вернемся к понятиям (УЦ :-)) - CDP в сертификате (поле 2.5.29.31) - это должно быть указание на папку или на конкретный CRL?
Если на папку, то ДА, вопроса нет, я буду складывать туда тот самый "идентификатор ключа субъекта.crl", который к тому же при плановой смене сертификата УЦ тоже сменит имя.
Если же в этом поле надо указать местонахождение конкретного CRL, тогда таки придется переименовывать... Иначе как а пропишу в выдаваемые сертификаты имя файла CRL, которое может меняться?

После ваших ответов начал думать, что это поле должно указывать на папку, но вот кусок сертификата, выданного реальным работающим УЦ:

2.5.29.31: Флаги = 0, Длина = 34
Точки распространения списков отзыва (CRL)
[1]Точка распределения списка отзыва (CRL)
Имя точки распространения:
Полное имя:
URL=http://ca.skbkontur.ru/cdp/UCSKBKontur.crl
11.11.2004 9:57:10Василий
1. В cdp пишется полный путь, с указанием файла.
2. Я всё-таки не понимаю, зачем хотите переименовывать. Пока действует один сертификат ЦС, cdp настраивается под него. Когда сертификат ЦС заменяется, поменяйте и cdp (это событие не такое уж и частое).
11.11.2004 12:58:03Vadim_K
А что будет если я выдам клиенту сертификат на 1 год за 1 месяц до плановой смены сертификата УЦ? В первый месяц он будет знать откуда брать CRL, а в последующие 11? Ведь у него в сертификате прописан путь к старому CRL.
11.11.2004 14:46:19fav
В последующие 11 месяцев он будет брать оттуда откуда и брал - по тому URL, который прописан у него в сертификате в CDP. Старый CRL будет издаваться так же, как и раньше и храниться там же, где и раньше.
12.11.2004 14:40:37Vadim_K
Уже становится понятнее, по крайней мере с теорией. Вот бы еще с практикой разобраться.

Значит сделал следующее: Перемотал на машинах CA, RA и АРМах время на дату издания сартификата СА + 1 год и 2 дня с желанием провести плановую смену сертификатов.

Первое, что выяснилось - это что сертификат на Web-сервер CA был издан ровно на 1 год, а не на 1 год и 3 месяца, как сертификаты на RA и его Web-сервер. Это так и должно быть?

Отмотал время везде на 3 дня назад, перезагрузился, сменил по инструкции сертификат и ключи СА. Всё, теперь у меня на CA лежат 2 сертификата и 2 CRL. Отзываю старый сертификат какого-нибудь клиента - он появляется в старом CRL, новый - в новом, все OK! Захожу на RA, вручную запускаю задачу переноса CRL с CA на RA и получаю сообщение, что задача выполнена, но в процессе ее выполнения произошли ошибки. Заглядываю в папку CDP на RA, там лежит только один CRL - первый (предварительно руками очистил эту папку), смотрю журнал, там написано, что один CRL перенесен нормально, а дальше десяток сообщений об ошибках суть которых в том, что система не смогла доставить какие-то сообщения (ну да, так наверное и надо - я не настраивал рассылку сообщений). А почему у меня не перенеслись другие CRL’и?

И еще: на днях я настроил CA, чтобы он прописывал в выдаваемые сертификаты CDP. Так вот, при переиздании сертификата CA в нем тоже появилось это поле, правда certutil говорит, что оно "EMPTY", а при просмотре этого поля виндовым просмотрщиком сертификатов выскакивает ошибка и просмотрщик закрывается. Это так тоже надо? Убрал галочку, заставляющую вписывать в сертификаты CDP, еще раз переиздал сертификат CA - он издался как и самый первый раз - вообще без поля CDP. Что, при смене сертификата CA эти галки надо снимать?
Теперь у меня уже 3 сертификата CA и 3 CRL. Хорошо, что УЦ тестовый. :-) Но и с тремя CRL’ями на RA переносится только один. :-(

Ну и на закуску: как заменяются сертификаты на CA, RA и их Web-серверах - это все хорошо описано в руководствах, а вот в какой последовательности это должно проделываться при плановой замене? Да еще и с учетом того, что описано в первом вопросе.
12.11.2004 18:03:46Василий
Вообще-то есть учебный курс, посетив который, Вы сможете получить ответы на все Ваши вопросы (как по теории, так и по практике) - http://www.itsecurity.ru/edu/kurs/t0_10.html
Что касается переноса СОС. Для того, чтобы преносить более одного СОС, нужно сказать об этом задаче переноса. Там в окне настройки свойств есть кнопочка "Добавить", где и выбираются нужные для переноса сертификаты. Список сертификатов берется с ЦР, поэтому, естественно, сразу после перевыпуска сертификата ЦС, он должен быть Вами вручную перенесён в файле и установлен на сервере ЦР (в хранилище Доверенные корневые центры Локального компьютера). Либо, при перевыпуске остальных сертификатов ЦР (нашими утилитами), новый корневой сам установится куда надо.
Далее. При перевыпуске сертификата ЦС наш модуль политики не используется. Стало быть, будете Вы ставить галки в поле cdp или нет - на результат это не повлияет. MS CA при этой процедуре использует настройки собственного модуля политики и файл (если он есть) capolicy.inf.
13.11.2004 23:32:43Vadim_K
Вообще-то я на этом курсе был в августе, о чем и сертификаты имею. Тогда я не мог оценить его качество, а вот сейчас готов это сделать - это всего лишь обзорный курс без малейших углублений в технику дела. Преподаватель (Беленький) при каждом затыке, которых у него случилось 5-7, бежал за помощь к Маслову :-(. К тому же, из-за совмещения курсов КП06 и T010, изучением собственно УЦ занимались только 2 последних дня из 4-х. Вы думете за 2 дня можно научить всем нюансам вашего продукта? Из практики была только инсталляция.
В понедельник попробую воспользоваться Вашими советами и, если снова будут трудности и недопонимания, буду звонить по телефону живьем. Думаю, что заплатив $7000, я имею на это право.
15.11.2004 11:52:36Василий
Я, честно говоря, был лучшего мнения об этих курсах. Хотя, готов согласиться, за два (и даже за четыре) дня не рассмотришь все нюансы.
15.11.2004 11:54:09Сергей
По поводу курса, я тоже его посетил, - были представлены только базовые варианты настройки УЦ. Вопросы вроде указанных выше не рассматривались.
15.11.2004 12:43:43Александр
Т.е. если я правильно понял, то при генерации новой пары ключей ЦС надо сразу после получения серификата на них, сразу обновить сертификат ЦС, прописав в него новый путь к CRL?!
15.11.2004 13:27:17Василий
Александр, эти действия выполняются так:
1. Установка MS CA. При этом, в cdp корневого сертификата записывается информация из файла capolicy.inf (если он есть) или, если его нет - информация о пути по умолчанию (http://DNS-имя сервера/CertEnroll/имя ЦС.crl и file://\\DNS-имя сервера\CertEnroll\имя ЦС.crl). Примеры - 1) http://ca-server.cryptopro.ru/CertEnroll/Vas%20Test%20CA.crl или 2) отсутствующее поле, при соответствующей настройке capolicy.inf. Вот содержимое файла в этом случае:
[Version]
Signature="$Windows NT$"

[CRLDistributionPoint]
URL=""

2. Установка ПО "КриптоПро УЦ. Центр Сертификации"
3. Занесение в насройки пути к СОС нужной информации. Во всех клиентских сертификатах будет прописываться настроенный путь. Пример: http://ra-server.cryptopro.ru/RA/CDP/e39a5fba3b15e080cae19e2506e353a2edd7f22c.crl
4. Смена ключа и сертификата ЦС. При этом модуль политики КриптоПро не используется, путь к cdp в новом корневом сертификате ЦС будет взят из capolicy.inf или, если его нет, из настроек модуля политики MS.
5. Занесение в насройки пути к СОС новой информации о месте публикации СОС. Во всех новых клиентских сертификатах будет прописываться настроенный путь. Пример: http://ra-server.cryptopro.ru/RA/CDP/673ff9e4f8634dc518bc585d3439fa6393e60c72.crl
15.11.2004 14:29:36Vadim_K
Однако процесс установки описан в инструкциях хорошо - чукча помет :-), и про capolicy.inf тоже написано, а вот пошагогво процедура ОБЩЕЙ плановой смены сертификатов - нет, хотя отдельная сменя сертификатов тоже описана.

Сегодня перематывал дату с 2005 года обратно на настоящее время. При этом перевыпустил все сертификаты. Нормальный capolicy.inf как лежал, так и лежит в нужном месте. Результаты схоны со вчерашними:
Если в настройках CA стоит указатель на CDP (причем _НЕВАЖНО_, стоит перед ним галочка или нет) - при перевыпуске сертификата CA в него попадает пустое поле 2.5.29.31, на котором стандартный просмоторщик сертификатов Windows ведет себя неадекватно. Это поле _НЕ_ появляется только если перед перевыпуском сертификата CA _ПОЛНОСТЬЮ_ очистить окошко с CDP. Поэтому перед сменой сертификата CA наверное надо сначала очистить это окно (что логично - при смене сертификата поменяется и имя файла), затем переиздать сертификат, а затем приписать новую CDP в настройки CA. По крайней мере у меня это вариант сработал нормально, а другие нет.

Настройку задачи переноса CRL’ей с CA на RA сделал - действительно надо было просто вручную довавить в список новый CRL. Кстати, эту процедуру тоже надо не забыть сделать после смены сертификата CA.

Кстати, если сертификат при отзыве попадает только в свой CRL, тогда действительно понятно, что в CDP должно лежать несколько файлов (если не ошибаюсь, то максимум штук 7, а затем закончится первый сертификат CA и CRL для него публиковаться перестанет и т.д.) Вопрос в следующем: КАК МОЖНО при этом обходится одним файлом? Смотрите http://tax.skbkontur.ru/cdp/UCSKBKontur.crl
Там лежит только последний, а как же уважаемые господа из Контура обеспесивают проверку сертификатов, изданных при прошлом сертификате CA? Понимаю, что вопрос к Контуру, но там же стоит КриптоПро УЦ.
15.11.2004 15:24:14Василий
Вадим, совершенно верно Вы описали процедуру плановой смены в случае, если не хочется cdp в корневом сертификате - нужно убирать все записи о cdp в MS модуле политики. Но это особенность работы MS CA, колторый и без всяких продуктов Крипто-Про ведёт себя так же.

По поводу Контура - вопрос, как справедливо было замечено, к Контуру. Мы даём средства для возможности сделать правильные настройки, а использовать их или нет - дело того, кто эксплуатирует УЦ...
15.11.2004 15:34:07Сергей
А как объявить отозванным, т.е. отозвать сертификат СА?
15.11.2004 15:35:28Сергей
Имеется в виду, как об этом узнают абоненты?
15.11.2004 18:47:13fav
А чем вам не нравится CRL по URL http://tax.skbkontur.ru/cdp/UCSKBKontur.crl. Там версия ЦС 0.0 - значит плановой смены ключей уполномоченного лица УЦ еще не было. CRL должен быть один.
Как объявить аннулированным - взять и объявить, что сертификат (серийный номер такой-то) аннулирован с (дата аннулирования) Удостоверяющим центром по причине ... Все сертификаты изданные с использованием ЗК, соотв. этому сертификату также считаются аннулированными.
Как до всех пользователей это довести - должно быть определено Регламентом УЦ
(почтовая рассылка по e-mail, официальное сообщение на сайте компании, звонок каждому пользователю и т.д. и т.п.)
Уведомить всех можно, "запихнув" сертификат уполномоченного лица УЦ в CRL, но это не всегда можно сделать (например, если носитель закрытого ключа у вас украли).
16.11.2004 12:37:30Vadim_K
> Вадим, совершенно верно Вы описали процедуру плановой смены
> ...
> Но это особенность работы MS CA

Я что-то недочитал в документации? Смену сертификата CA можно провести какими-нибудь другими средствами?

> А чем вам не нравится CRL по URL ...
> Там версия ЦС 0.0 - значит плановой смены ключей уполномоченного лица УЦ еще не было.
> CRL должен быть один.

Что не нравится? Знаю, что они работают уже несколько лет, может быть просто УЦ полностью сменили. У меня есть типографский вариант их регламента, где пропечатана эта CDP, в CRL нашел самую старую дату отзыва 03.12.2003, значит сертификату CA скоро год. Они что, все печатные материалы перепечатывать будут или всё таки сумеют после смены сертификата CA вести _ЕДИНЫЙ_ CRL? Как?
16.11.2004 13:24:36Василий
> Я что-то недочитал в документации?
> Смену сертификата CA можно провести какими-нибудь другими средствами?

Раз уж используется MS CA, то смена сертификата ЦС осуществляется средствами, предоставляемыми MS CA.
16.11.2004 14:55:18fav
Я не имею в наличии вариант контуровского регламента УЦ поэтому все мои высказывания - это только предположения. Возможно, при внимательном прочтении регламента, все прояснится и встанет на свои места. Также возможно, что в регламенте допущена ошибка, которая выявится после плановой смены ключей УЛ УЦ, но как и в любой документ в Регламент УЦ всегда можно внести изменения в соответствии с установленным порядком (кстати, этот порядок может быть отражен непосредственно в Регламенте УЦ).