05.10.2006 12:05:10Перенос Центра Сертификации Ответов: 1
Игорь
1. Планируется переход на CryptoPro 2.0 Каким образом можно полностью перенести ЦС на другой компьютер? Используется CryptoPro 1.1 (buid 139)
2. Сохранится ли работоспособность ЦС при обновлении ОС (Win2K на Win2K3)
Ограничения описанные в ветке http://www.cryptopro.ru/CryptoPro/forum/view.asp?q=2482 устраивают. Но есть один вопрос: Если новая машина будет расположена вне домена, т.е. отдельно стоящей, как быть?
 
Ответы:
05.10.2006 17:49:58Юрий Маслов
1. Сначала выполните архивацию, а потом восстановление согласно инструкции, приведенной ниже...
2. Нет, не сохраниться, т.к. КриптоПро CSP версии 2.0 не работает на Win2003. На этой ОС только КриптоПро CSP версии 3.0


===== ИНСТРУКЦИЯ
Архивация:
1. Запустить “Архивация ЦС” из задач центра сертификации. Следуя выводимым подсказкам и инструкциям, сохранить “Журнал выданных сертификатов и очередь запросов на сертификаты”.
2. Если ключ ЦС хранится в реестре, сохранить его с помощью редактора реестра в файл. Он находится в реестре в разделе “HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Keys\<имя>”, где <имя> – имя ключа ЦС. Если при установке службы сертификации создавалась новая ключевая пара, то её имя совпадает с именем ЦС. В любом случае это имя можно посмотреть с помощью редактора реестра, открыв раздел “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\My\Certificates\<печать>”, где <печать> – сводка (или отпечаток) данных сертификата ЦС (в терминологии Microsoft), значение которой (которого) можно посмотреть в соответствующем поле сертификата. Необходимо открыть значение параметра “Blob” в этом разделе и найти в нём строку: “Crypto-Pro GOST R 34.10-94 Cryptographic Service Provider”. За 6 байт до её начала находится ссылка на секретный ключ, из которой и нужно узнать необходимое имя ключа.
Замечание: все символы в этом параметре представлены в Unicode, и на них отводится по 2 байта. Если в имени ЦС не применялись языки, использующие второй байт для записи своих символов, то он имеет значение 0. При этом в побайтном виде искомая строка выглядит так: “C.r.y.p.t.o.-.P.r.o. .G.O.S.T. ...”
3. Сохранить ссылку на ключ ЦС в файл. Она находится в реестре в разделе “HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\KeyDevices\passwords\<имя>”, где <имя> – имя ключа ЦС (см. п.2).
4. Сохранить цепочку сертификатов ЦС, в файл(ы).
5. Сохранить сертификат ЦС методом экспорта из реестра раздела “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\My\Certificates\<печать>” (см. п.2).
6. Сохранить списки отзыва сертификатов (CRL) всех ЦС, ниже которых находится архивируемый ЦС, в файлы.

Восстановление:
1. Если ключ ЦС был в реестре, то внести туда сохранённый ключ.
2. Внести в реестр ссылку на ключ ЦС.
3. Установить сертификат восстанавливаемого ЦС методом импорта сохранённого раздела реестра. Установленный таким образом сертификат попадает в хранилище “Личные” локального компьютера.
4. Если восстанавливаемый ЦС является подчинённым, установить цепочку сертификатов, кроме его собственного сертификата, в соответствующие хранилища локального компьютера (корневой – в “Доверенные корневые ЦС”, остальные – в “Промежуточные ЦС”). Установить сохранённые списки отзыва сертификатов в хранилище “Промежуточные ЦС” локального компьютера. Если восстанавливаемый ЦС является корневым, установить его сертификат в хранилище доверенных корневых ЦС локального компьютера.
5. Установить компонент “Службы сертификации” Windows. Если он уже был установлен, необходимо его удалить. При установке выбрать необходимый тип ЦС и включить галочку “Дополнительные возможности”. Выбрать поставщика CSP – КриптоПро, включить галочку “Использовать существующие ключи” и выбрать ключ ЦС. При этом должна появиться возможность нажать кнопку “Просмотр сертификата”. Убедиться, что предлагаемый сертификат выбран программой правильно, иначе удалить “мешающий” сертификат. Дальнейшая установка проводится согласно выводимым подсказкам.
6. Открыть консоль ЦС Microsoft и в задачах ЦС выбрать восстановление. При этом необходимо создать директорию с тем же именем и путём, что и та, в которой хранилась база сертификатов ранее и обеспечить наличие необходимого свободного места на диске. Возможно, придётся сохранить информацию оттуда в другое место. По умолчанию эта база хранится в директории %WINNT%/system32/certlog.
7. При выполнении п.5 все файлы базы кроме одного записываются в директорию, указанную при новой установке служб сертификации. Недостающий файл необходимо переместить из пути из п.5 в эту директорию. После это можно запустить службы сертификации. Если запуск производится успешно – центр готов к работе.