04.11.2002 14:01:17Резервное копирование секретного ключа ЦС Ответов: 1
Катерина
Каким образом можно создать резервную копию секретного ключа и сертификата центра сертификации? Заранее благодарю за ответ.
 
Ответы:
05.11.2002 9:44:06kure
Архивация:
1. Запустить "Архивация ЦС" из задач центра сертификации. Следуя
выводимым подсказкам и инструкциям, сохранить "Журнал выданных
сертификатов и очередь запросов на сертификаты".
2. Если ключ ЦС хранится в реестре, сохранить его с помощью редактора
реестра в файл. Он находится в "HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\
Settings\Keys\<имя>", где <имя> -- имя ключа ЦС. Если при установке службы
сертификации создавалась новая ключевая пара, то её имя совпадает с именем
ЦС. В любом случае это имя можно посмотреть с помощью редактора реестра,
открыв раздел "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\My\
Certificates\<печать>", где <печать> -- сводка (или отпечаток) данных
сертификата ЦС (в терминологии Microsoft), значение которой (которого)
можно посмотреть в соответствующем поле сертификата. Необходимо открыть
значение параметра "Blob" в этом разделе и найти в нём строку:
"Crypto-Pro GOST R 34.10-94 Cryptographic Service Provider". За 6 байт до
до её начала находится ссылка на секретный ключ, из которой и нужно узнать
необходимое имя ключа.
Замечание: все символы в этом параметры представлены в Unicode, и на них
отводится по 2 байта. Если в имени ЦС не применялись языки, использующие
второй байт для записи своих символов, то он имеет значение 0. При этом в
побайтном виде искомая строка выглядит так:
"C.r.y.p.t.o.-.P.r.o. .G.O.S.T. ..."
3. Сохранить цепочку сертификатов ЦС в файл(ы).
4. Сохранить списки отзыва сертификатов (CRL) всех ЦС, ниже которых
находится архивируемый ЦС, в файлы.



Восстановление:
1. Если ключ ЦС был в реестре, то внести туда сохранённый ключ.
2. Установить сертификат восстанавливаемого ЦС с помошью кнопки
"Установить личный сертификат" вкладки "Сервис" из приложения
"КриптоПро CSP" панели управления в хранилище "Личные". При этом
связать этот сертификат с ключом ЦС.
3. Если восстанавливаемый ЦС является подчинённым, установить цепочку
сертификатов, кроме его собственного сертификата, в хранилища, пользуясь
автоматическим выбором хранилища на основе типа сертификата. То же самое
проделать с сохранёнными списками отзыва сертификатов.
Если восстанавливаемый ЦС является корневым, установить его сертификат в
хранилище доверенных корневых ЦС локального компьютера.
4. Установить компонент "Службы сертификации" Windows. Если он уже был
установлен, необходимо его удалить. При установке выбрать необходимый
тип ЦС и включить галочку "Дополнительные возможности". Выбрать
поставщика CSP -- Крипто-Про, включить галочку "Использовать
существующие ключи" и выбрать ключ ЦС. При этом должна появиться
возможность нажать кнопку "Просмотр сертификата". Убедиться, что
предлагаемый сертификат выбран программой правильно, иначе удалить
"мешающий" сертификат. Дальнейшая установка проводится согласно
выводимым подсказкам.
5. Открыть консоль ЦС Microsoft и в задачах ЦС выбрать восстановление.
При этом необходимо создать директорию с тем же именем и путём, что и
та, в которой хранилась база сертификатов ранее и обеспечить наличие
необходимого свободного места на диске. При необходимости сохранить
информацию оттуда в другое место. По умолчанию эта база хранится в
директории %WINNT%/system32/certlog.
6. При выполнении п.5 все файлы базы кроме одного записываются в
директорию, указанную при новой установке служб сертификации.
Недостающий файл необходимо переместить из пути из п.5 в эту директорию.
После это можно запустить службы сертификации. Если запуск производится
успешно -- центр готов к работе.