28.12.2004 16:25:49Плановая смена ключей Удостоверяющего Центра Ответов: 6
Сергей
Регламент, п.7.11.1: "...Старый закрытый ключ уполномоченного лица Удостоверяющего Центра используется в течении 1 года с момента изготовления сертификата нового открытого ключа уполномоченного лица Удостоверяющего Центра для формирования списков отозванных сертификатов в электронной форме, изданных Удостоверяющим Центром в период действия старого закрытого ключа уполномоченного лица Удостоверяющего Центра......".
1. Каким образом происходит обработка старых СОСов, ведь ключи грузятся в момент запуска ЦС?
2. Каким образом ЦС узнает, на каком из ключей подписывать СОС?
 
Ответы:
29.12.2004 9:44:12Василий
MS CA издаёт столько СОСов, сколько есть действующих корневых сертификатов.
Если для некоторого корневого сертификата все подписанные на нём клиентские сертификаты истекли (или были [планово] сменены - что и будет через период, определённый для смены, например, год), то этот СОС никто не будет использовать, и его можно не выкладывать на доступный для клиентов интернет-ресурс.
29.12.2004 11:42:10Сергей
" .... Если для некоторого корневого сертификата все подписанные на нём клиентские сертификаты истекли (или были [планово] сменены - что и будет через период, определённый для смены, например, год),"
- а если не истекли ?
"...то этот СОС никто не будет использовать, и его можно не выкладывать на доступный для клиентов интернет-ресурс."

- Речь идёт о ситуации, когда произошла смена ключей ЦС (к примеру через год), а СОС изданный на старом ключе необходимо поддерживать, т.к., например, возможна ситуация когда пользователь получивший свой сертификат в последний день действия старого ключа ЦС, захочет его отозвать. А данное действие возможно уже в период после проведения смены ключей. Значит обновление СОСа будет актуально два года, при условии, что срок действия секретного ключа пользователя равен одному году и смена ключа ЦС будет проводиться 1 раз в год. Вопросы №1 и №2 всё те же (см.выше).
29.12.2004 14:24:21Василий
Тогда и ответ всё тот же: "MS CA издаёт столько СОСов, сколько есть действующих корневых сертификатов." И это его забота, как определять, какие клиентские сертификаты в какой СОС включать при отзыве. Равно как и какие просить секретные ключи (соответствующие корневым сертификатам) при запуске MS CA (нужны будут все). Каждый СОС при публикации будет подписан соответствующим ему ключом.
29.12.2004 14:36:10Сергей
Ради любопытства.... Секретные ключи загружаются при запуске ЦС. Получается после смены ключей, должны загружаться как минимум два комплекта ключей?
29.12.2004 14:44:49Василий
точно
29.12.2004 14:47:36Василий
если, конечно, при смене был сделан новый ключ и новый сертификат