Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.07.2019(UTC) Сообщений: 31
Сказал(а) «Спасибо»: 7 раз
|
Я обновил сертификат ЦС, теперь все новые сертификаты в пути сертификации указывают последний актуальный сертификат ЦС, при этом предыдущие сертификаты ЦС не аннулируются, а висят в списках сертификатов ЦС Вопросы:1. Правильно ли я понял, что все пользовательские сертификаты, подписанные более ранним сертификатом ЦС окажутся "без доверия" (или как-то так), если я аннулирую этот предыдущий сертификат ЦС? 2. Как поступить, если ЦС оказался скомпрометирован: - компрометация актуального сертификата ЦС
- компрометация вообще всех сертификатов ЦС
3. Я сделал самый свежий сертификат (см фото выше) со сроком годности 3 года - до 2023. Предыдущие сертификаты имели срок годности 5 лет, т.е. до 2025. Логически такая ситуация возможна (проверено, проблем с этим нет ) но как это можно интерпретировать физически и в условиях реального УЦ? 4. Как правильно выпускать новый сертификат ЦС и аннулировать скомпрометированный? АХТУНГ! Когда я пишу сертификат ЦС я имею в виду самоподписный сертификат, который ЦС выдает сам себе.Отредактировано пользователем 10 апреля 2020 г. 15:29:17(UTC)
| Причина: 4.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,177 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 567 раз в 544 постах
|
Здравствуйте. 1. Если у вас подчинённый, то да есть возможность аннулировать предыдущий сертификат ЦС и тогда все пользовательские подписанные им превратятся в тыкву. Если ЦС корневой - то нет кнопки отозвать сертификат ЦС. 2. Если вопрос юридического характера, то направьте такой вопрос по адресу info@cryptopro.ru. Технически - отзыв всех пользовательских сертификатов. Если это подчиненный ЦС, то отзыв скомпрометированного сертификата ЦС. 3. Не понял вопроса. Сделали 3, сделали 5 лет, ни имеет значение. Это все допустимо, согласно формуляру на КриптоПро УЦ 2.0. Главное максимальные сроки не нарушайте. 4. Если у вас подчинённый, то обращаетесь к вышестоящему с просьбой отозвать. У корневого нет такой кнопки. |
|
1 пользователь поблагодарил Захар Тихонов за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.07.2019(UTC) Сообщений: 31
Сказал(а) «Спасибо»: 7 раз
|
Автор: Захар Тихонов Здравствуйте. 1. Если у вас подчинённый, то да есть возможность аннулировать предыдущий сертификат ЦС и тогда все пользовательские подписанные им превратятся в тыкву. Если ЦС корневой - то нет кнопки отозвать сертификат ЦС. 2. Если вопрос юридического характера, то направьте такой вопрос по адресу info@cryptopro.ru. Технически - отзыв всех пользовательских сертификатов. Если это подчиненный ЦС, то отзыв скомпрометированного сертификата ЦС. 3. Не понял вопроса. Сделали 3, сделали 5 лет, ни имеет значение. Это все допустимо, согласно формуляру на КриптоПро УЦ 2.0. Главное максимальные сроки не нарушайте. 4. Если у вас подчинённый, то обращаетесь к вышестоящему с просьбой отозвать. У корневого нет такой кнопки. 3. Я имею в виду ситуацию, когда, например, изменился регламент УЦ, и сертификат будет иметь срок годности 3 года, а не 5 лет, такое имеет место быть? Обязательно ли вообще при проектировании архитектуры УЦ создавать подчиненный ЦС? Достаточно ли будет одного корневого ЦС для выпуска сертификатов, если они будут нужны только для поддержки документооборота внутри небольшой организации/небольшого количества пользователей документооборота?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,177 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 567 раз в 544 постах
|
Автор: EEElice 3. Я имею в виду ситуацию, когда, например, изменился регламент УЦ, и сертификат будет иметь срок годности 3 года, а не 5 лет, такое имеет место быть? Если в вашей организации такое придумают, то почему бы и нет. Обычно все хотят сроки большие иметь, а не уменьшать. Автор: EEElice Обязательно ли вообще при проектировании архитектуры УЦ создавать подчиненный ЦС? Не обязательно. Автор: EEElice Достаточно ли будет одного корневого ЦС для выпуска сертификатов, если они будут нужны только для поддержки документооборота внутри небольшой организации/небольшого количества пользователей документооборота? Достаточно. |
|
1 пользователь поблагодарил Захар Тихонов за этот пост.
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close