Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline ams  
#1 Оставлено : 23 мая 2011 г. 21:59:49(UTC)
ams

Статус: Участник

Группы: Участники
Зарегистрирован: 29.04.2011(UTC)
Сообщений: 16
Откуда: RR

Здравствуйте!

Для того, чтобы нормально выполнялась проверка ЭЦП документов системными функциями я устанавливаю корневой сертификат УЦ, которому я планирую доверять, в доверенные корневые сертификаты. (если я не прав, поправьте, пожалуйста)

Подскажите, пожалуйста,
нужно ли мне устанавливать также и сертификаты уполномоченных лиц УЦ в доверенные, чтобы нормально обрабатывались все ЭЦП документов, сделанные с помощью полученных от УЦ ключей?
Offline Юрий Маслов  
#2 Оставлено : 1 июня 2011 г. 15:18:47(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Здравствуйте!

Обычно считается, что корневой сертификат УЦ, сертификат ЦЕнтра Сертификации и сертификат уполномоченного лица УЦ - это одна и таже сущность! Разными словами, но об одном и том же :-) Так что сертификаты уполномоченных лиц УЦ нужно устанавливать в раздел "доверенные корневые сертификаты" хранилища сертификатов.
С уважением,
КРИПТО-ПРО
Offline maxx  
#3 Оставлено : 8 февраля 2012 г. 14:03:01(UTC)
maxx

Статус: Участник

Группы: Участники
Зарегистрирован: 18.11.2010(UTC)
Сообщений: 18
Мужчина
Откуда: Городок за МКАДом

Сказал «Спасибо»: 5 раз
Здравствуйте. прошу прощения если вопрос ранее поднимался.
Напомните пожалуйста, в каких случаях, кроме окончания срока действия необходимо перевыпускать корневой сертификат УЦ, и если я правильно понимаю. необходимо оповестить всех пользователей УЦ о смене корневого и необходимости установки нового?

Поиск пока не помог((
Offline Юрий Маслов  
#4 Оставлено : 8 февраля 2012 г. 15:57:32(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Здравствуйте!

Перевыпускать (изготавливать новый) корневой сертификат УЦ нужно в следующих случаях:
1. При плановой смене ключей уполномоченного лица УЦ, т.е. в случае, когда скоро закончится срок действия закрытого ключа уполномоченного лица УЦ.
2. При внеплановой смене ключей уполномоченного лица УЦ, а именно когда:
- закрытый ключ уполномоченного лица УЦ закончил свой срок действия, а плановая смена произведена не была;
- произошла компрометация закрытого ключа уполномоченного лица УЦ;
- есть подозрение, что закрытый ключ уполномоченного лица УЦ мог быть скомпрометирован;
- закрытый ключ уполномоченного лица УЦ не доступен (уронили в море ключевой носитель или ключевой носитель повреждён или забыли ПИН-код к ключевому контейнеру и т.д.);
- в связи с необходимостью внести изменение в содержимое сертификата открытого уполномоченного лица УЦ (переименование владельца, введение новых Требований к форме или формату сертификата и т.д.);
- по решению, вступившему в законную силу (по решению суда, по решению владельца удостоверяющего центра и т.д.).
С уважением,
КРИПТО-ПРО
Offline maxx  
#5 Оставлено : 8 февраля 2012 г. 17:27:31(UTC)
maxx

Статус: Участник

Группы: Участники
Зарегистрирован: 18.11.2010(UTC)
Сообщений: 18
Мужчина
Откуда: Городок за МКАДом

Сказал «Спасибо»: 5 раз
Благодарю за полноту и оперативность ответа.
Нашел на форуме ответ еще на один вопрос. О необходимости перевыпуска корневого сертификата при увольнении уполномоченного лица (Директора УЦ например). Если правильно понял, то перевыпуск не требуется если:
1. Ключ хранится с соблюдением требований безопасности;
2. Ключ неэкспортируемый;
3. Не утрачен, не скопрометирован, не заканчивается и т.д.

Offline Юрий Маслов  
#6 Оставлено : 8 февраля 2012 г. 17:34:58(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
maxx написал:
Благодарю за полноту и оперативность ответа.
Нашел на форуме ответ еще на один вопрос. О необходимости перевыпуска корневого сертификата при увольнении уполномоченного лица (Директора УЦ например). Если правильно понял, то перевыпуск не требуется если:
1. Ключ хранится с соблюдением требований безопасности;
2. Ключ неэкспортируемый;
3. Не утрачен, не скопрометирован, не заканчивается и т.д.



Вы попытались другими словами изложить выше приведённый перечень. Но сделали это не совсем полно. Я бы добавил:
4. В сертификат уполномоченного лица УЦ не занесена информация об уполномоченном лице (нет его ФИО, должности или иной информации, которая меняется);
5. Если не прошло переименование организации-УЦ или её реорганизации;
6. Если не произошло внешних причин, вызвавших необъодимость сменить информацию в сертификате уполномоченного лица УЦ.
С уважением,
КРИПТО-ПРО
Offline maxx  
#7 Оставлено : 8 февраля 2012 г. 18:00:14(UTC)
maxx

Статус: Участник

Группы: Участники
Зарегистрирован: 18.11.2010(UTC)
Сообщений: 18
Мужчина
Откуда: Городок за МКАДом

Сказал «Спасибо»: 5 раз
Юрий Маслов написал:
maxx написал:
Вы попытались другими словами изложить выше приведённый перечень. Но сделали это не совсем полно. Я бы добавил:
4. В сертификат уполномоченного лица УЦ не занесена информация об уполномоченном лице (нет его ФИО, должности или иной информации, которая меняется);
5. Если не прошло переименование организации-УЦ или её реорганизации;
6. Если не произошло внешних причин, вызвавших необъодимость сменить информацию в сертификате уполномоченного лица УЦ.


Теперь предельно понятно. В нашем случае директор УЦ более не работает в организации, КС не содержит ФИО и т.п. При соблюдении прочих условий сертификат можно не перевыпускать.
Еще раз СПАСИБО.
С Уважением...
Offline freecod  
#8 Оставлено : 10 февраля 2012 г. 16:21:43(UTC)
freecod

Статус: Активный участник

Группы: Участники
Зарегистрирован: 08.04.2010(UTC)
Сообщений: 57

maxx написал:
... При соблюдении прочих условий сертификат можно не перевыпускать.

Только не забывайте его раз в год перевыпускать, если у вас нет дорогущего шкафчика от КриптоПро ;)
Offline Юрий Маслов  
#9 Оставлено : 10 февраля 2012 г. 16:39:29(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
freecod написал:
maxx написал:
... При соблюдении прочих условий сертификат можно не перевыпускать.

Только не забывайте его раз в год перевыпускать, если у вас нет дорогущего шкафчика от КриптоПро ;)


А всё равно иных аналогов в России, кроме "дорогущего шкафчика " пока нет. Поэтому не надо говорить так... Мы сейчас ищем (уже практически нашли) иную аппаратную платформу, которая позволит существенно удешевить стоимость HSM. К сожалению, объем рынка HSMов в России не позволяет получить существенные скидки при приобретении комплектующих.
С уважением,
КРИПТО-ПРО
Offline Uatto  
#10 Оставлено : 17 сентября 2014 г. 13:19:37(UTC)
Uatto

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2010(UTC)
Сообщений: 69

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Здравствуйте!
1) А необходимо ли вообще официально назначать Уполномоченное лицо УЦ? Ведь в 63-ФЗ такое понятние отсутствует.
2) Поскольку ФСБ требует учитывать все ключевые документы, следовательно нужно учитывать и ключи ЦС, а значит и закреплять ответственность за конкретным лицом, которое будет хранить ключ ЦС (корневой ключ УЦ)?
3) Можно ли назначить Уполномоченным лицом директора (и нужно ли), если в документации на КриптоПро УЦ сказано:
"Описание ролей УЦ:
Администратор ЦС – уполномоченное лицо Удостоверяющего Центра, администратор специального программного обеспечения ЦС."
т.е. уполномоченным лицом следует назначать того, кто администрирует ЦС. А чтобы не считалось компрометацией увольнение этого лица - использовать неэкспортируемые ключи.
Поделитесь мнением, пожалуйста )
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
4 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.