| 06.06.2006 12:28:11 | Лицензионная политика УЦ. | | Ответов: 15 |
|
 Вадим | | |
|
Привет всем из уже третий день солнечного Красноярска. :)
Особый привет Беленькому Николаю Ивановичу из Информзащиты, который почти 2 года назад читал курс по УЦ КриптоПро. При штатной установке/эксплуатации УЦ сразу же столкнулся с порядочной порцией дезинформации, полученной от него на курсе, чему подтверждение мои вопросы на этом форуме осенью 2004 года. Но самый серьёзный удар я получил сегодня.
На курсах у Николая Ивановича в открытую спрашивали: Как УЦ КриптоПро 1.2 проверяет, достигло ли предела, указанного в лицензии на УЦ, текущее количество пользователей УЦ и где это можно посмотреть? Ответ был четким и однозначным: В расчет берётся то количество пользователей, которое отображается в АРМе Администратора. На уточняющий вопрос относительно пользователей, у которых закончились или были отозваны сертификаты и которые были удалены, ответ был таким же четким: Эти пользователи в расчет не берутся, именно для этого на RA есть задача удаления неактивных пользователей. Последовал третий вопрос: А как тогда точно узнать, сколько ещё пользователей есть "в запасе"? Ответ на него был такой: В УЦ 1.2 - никак, только посчитать руками, в последующих версиях это будет возможно посмотреть. Четкие вопросы, четкие ответы. Искать опровержение всему, чему учили на курсах, нормальному человеку не придет в голову.
Но сегодня, при попытке выдать сертификат пользователю с абсолютным номером 501 (около 150 из ранее заведённых уже точно удалено задачей удаления неактивных пользователей) получаю сообщение о невозможности выдать такой сертификат! Приехали! Оказывается удалённые пользователи тоже считаются! Зачем же тогда "Задача удаления"?
Ещё раз привет Николаю Ивановичу! |
| |
Ответы:
|
|
| Упустил - у нас лицензия на УЦ на 500 пользователей. |
|
| 06.06.2006 15:00:24 | Василий |
|
| В КриптоПро УЦ не учитывается количесво пользователей ЦР. Их можно создать хоть сто тысяч. Учёт ведётся на ЦС. Учёту подлежат пользователи - владельцы выдаваемых сертификатов. При этом учитываются все компоненты имени субъекта. В новых версиях УЦ информация о числе пользователей доступна в свойствах КриптоПро ЦС ("Параметры Центра Сертификации" - Лицензия) и, дополнительно, в новых версиях УЦ не учитываются владельцы временных сертификатов. |
|
|
| Значит задача удаления неактивных пользователей не приности никакой пользы, окромя вреда! Закончился у пользователя сертификат, через какое-то время задача его удалила. Ещё через какое-то время я создаю его повторно и выдаю ему сертификат. Если бы его не удаляли - это был бы тот же пользователь, а так - новый! И минус ещё один пользователь из лицензии! А может я чего не так понимаю? Может я плохо искал и есть еще задача удаления неактивных пользователей на CA? |
|
| 06.06.2006 16:03:39 | Юрий Маслов |
|
Хотел бы отметить еще один факт из лицензионной политики ПАК "КриптоПро УЦ", который работает начиная с редакции 1.3 сборки 429: при подсчете на ЦС числа пользователей (владельцев сертификатов), не учитываются пользователи, являющиеся владельцами временных сертификатов, т.е. тех, где в EKU есть OID "Временный сертификат".
Также хотел отметить то, что удалять пользователей, являющихся пусть и отозванных, но рабочих сертификатов, НЕ РЕКОМЕНДУЕТСЯ, ибо эти пользователи и их отозванные сертификаты все равно остаются в юрисдикции УЦ как субъекта правоотношений. Т.е. из БД Вы их удаляете, а претензии могут быть сделаны к УЦ в течении всего срока исковой давности по документам, которые удостоверены ЭЦП. |
|
|
Осталось только выяснить:
Для каких ПОЛЕЗНЫХ целей в УЦ придумана задача удаления неактивных пользователей? |
|
| 06.06.2006 16:52:14 | Василий |
|
> Значит задача удаления неактивных пользователей не приности никакой пользы, окромя вреда! Закончился у пользователя сертификат, через какое-то время задача его удалила. Ещё через какое-то время я создаю его повторно и выдаю ему сертификат. Если бы его не удаляли - это был бы тот же пользователь, а так - новый! И минус ещё один пользователь из лицензии!
Неправда ваша. Если пользователя создать с теми же данными, из лицензии ничего не вычтется.
Удаление неактивных пользователей - просто одна из задач на УЦ. Кому-то она может быть полезной (например, пользователя зарегистрировали, о он не представил каких-то документов или не захотел получать сертификат). Если задача не нужна - её можно не запускать. |
|
|
И ещё: можно узнать, как в цифровом виде выглядит "OID "Временный сертификат""?
|
|
|
| Удалять тестовых пользователей. Вот как на практике: одна из схем обслуживания нашего Удостоверяющего центра -Распределенная с оператором (http://www.cryptopro.ru/CryptoPro/services/ca-service.htm). Естественно, организация хочет сначала потестироваться и посмотреть, как это будет работать, и мы предоставляем такую возможность не взимая вознаграждения за изданные сертификаты (сертификаты содержат в EKU специфический ОИД). После так называемого тестового режима, мы переводим организацию в боевой. Этой задачей удаляем тестовых. У обслуживающейся организации перед глазами в АРМ администратора чистая консоль. |
|
|
| Оид такой: Временный доступ к Центру Hегистрации - 1.2.643.2.2.34.2 |
|
|
| Опечатка - Регистрации |
|
|
| То есть, если у меня УЦ 1.4, то пользователь, имеющий исключительно сертфикаты, у которых СРЕДИ ПРОЧИХ "в EKU есть OID "Временный сертификат" (Временный доступ к Центру Регистрации - 1.2.643.2.2.34.2)", то такой пользователь не "оттягивает" на себя ни одной цифирки из лицензии УЦ? |
|
|
| И ещё, если задача удаления неактивных пользователей существует чтобы "Удалять тестовых пользователей", то почему она удаляет ещё и НЕ тестовых? Как с её помощью удалить только тестовых и оставить обычных с просроченными или отозванными рабочими сертификатами? |
|
| 07.06.2006 8:09:33 | Юрий Маслов |
|
1. Да, если у Вас редакция 1.4, то пользователь, имеющий исключительно сертфикаты, у которых СРЕДИ ПРОЧИХ в EKU есть OID "Временный сертификат", не участвует в счетчике числа пользователей для лицензионного ограничения УЦ.
2. А как отделить зерна от плевел? Как отличить тестового от обычного пользователя? Мы это сделали по наличию OID "Временный сертификат" во всех сертификатах тестового пользователя либо по отсутствию сертификатов для зарегистрированного пользователя. А все остальные отличительные признаки понятий "тестовый", "обычный" только у администратора УЦ в голове, которая нам не доступна для программирования :-)
|
|
|
> 2. А как отделить зерна от плевел? Как отличить тестового от обычного пользователя? Мы это сделали по наличию OID "Временный сертификат" во всех сертификатах тестового пользователя либо по отсутствию сертификатов для зарегистрированного пользователя.
Дык, вот именно так. Пусть эта задача и удаляет только тех неактивных пользователей, которые "не оттягивают" на себя лицензий УЦ. Если вы говорите, что признак таких пользователей - это OID "Временный сертификат", пусть оно так и будет. Тех тестовых, что у администратора в голове, администратор удалит сам, взвесив заодно необходимость этого удаления.
Кстати, а просто неактивные в АРМе никак не подсвечены? |
|
| 08.06.2006 8:45:22 | Юрий Маслов |
|
1. Ну а мы пошли по пути следующей логики, что удалять - это в тестовом режиме. А после наступления времени "Ч" (перевод в боевой режим) удаления пользователей быть не должно. И владельца "боевого" сертификата НИКОГДА не надо удалять из базы на ЦР.
2. Нет, "неактивные" никак не подсвечены. |
|
