Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline stempid468  
#1 Оставлено : 5 февраля 2020 г. 9:38:17(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Добрый день.
Прошу помочь в понимании логики формирования сроков действия закрытой и открытой части на УЦ. Ситуация следующая, на УЦ установлены следующие параметры формирования ключей - открытая - 2 года, расширение сертификата "Период использования закрытого ключа" - 2 года. Через CRM организации отправляется запрос на создание сертификата, после формирования срок действия открытой и закрытой составляет 1 год 3 месяца, но проблема в том что периодически иногда случается так что сроки действия обоих ключей не соответствуют друг другу (открытый - 1 год 3 месяца, закрытый - 1 год). Если посмотреть в запрос который отправляется на УЦ, то там присутствует параметр CpRaCertPeriod=15 и CpRaCertPeriodUnits=Months. По документации этот параметр запроса отвечает за срок действия открытой части. Также если верить ей, то срок действия обоих частей вычисляется из запроса и параметров установленных на УЦ и ставиться наименьшая из величин. Из этого возникает вопрос - может быть связано такое поведение УЦ с тем что в запросе отсутствуют параметр отвечающий за срок действия закрытой части (CpRaKeyPeriod и CpRaKeyPeriodUnits) ?
Дополню еще что изменение параметра "Период использования закрытого ключа" на 15 месяцев никак не помог, закрытая часть все равно формируется на 1 год. И еще момент - есть еще один УЦ с точно такими же параметрами описанными выше, но там подобных проблем со сроками не возникает.

Заранее благодарен за ответ.
Offline Захар Тихонов  
#2 Оставлено : 5 февраля 2020 г. 10:08:07(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,176
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Здравствуйте.

1. Сроки настраиваются на шаблоне и в свойствах ЦС. Приоритет в шаблоне, но не больше чем в свойствах ЦС. Пример, в шаблоне 2 года, в свойствах ЦС 1 год - выпуститься со сроком 1 год. В шаблоне 1 год, в свойствах ЦС 2 года - выпуститься со сроком 1 год.
2. Если в шаблоне установлены галки что допустимо передавать с запросом сроки, то в выпускаемом сертификате будут эти сроки, но также при условии что сроки в запросе не превышают сроки шаблона (если галка соответствующая установлена) и/или свойствах ЦС.
Т.е. сроки указанные в свойствах ЦС глобальные. В шаблоне локальные. Превысить глобальные сроки нельзя.

А также, при использовании просто КриптоПро CSP (например CSP 4.0) максимальный срок действия закрытого ключа пользователя составляет 15 месяцев (1 год и 3 месяца). Если использовать ФКН, в которых допустим срок 3 года, то требуется соответствующий провайдер (например CSP 5.0). Выпуская пользователям ЗК с большим сроком, при использовании провайдера не подходящего под такие сроки, вы нарушаете эксплуатационную документацию.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
stempid468 оставлено 05.02.2020(UTC)
Offline stempid468  
#3 Оставлено : 5 февраля 2020 г. 10:34:43(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Спасибо, да галки установлены (Срок действия сертификата и Срок действия в запросе обязателен), но все равно остается непонятным момент нужно ли указывать время действия закрытой части в запросе или он может и так брать этот параметр из настроек УЦ. Ниже скрин как выглядит тело запроса
uc_param
Offline Захар Тихонов  
#4 Оставлено : 5 февраля 2020 г. 10:39:31(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,176
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: stempid468 Перейти к цитате
Спасибо, да галки установлены (Срок действия сертификата и Срок действия в запросе обязателен), но все равно остается непонятным момент нужно ли указывать время действия закрытой части в запросе или он может и так брать этот параметр из настроек УЦ. Ниже скрин как выглядит тело запроса
uc_param


Если вы не укажите сроки в запросе, то и не будут они использоваться - их просто нет. Если укажите и разрешите в шаблоне, то будут они использоваться (если они не превышают максимум допустимый настройками). Это справедливо как для срока действия сертификата, так и для срока действия закрытого ключа.
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.