Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Сертификат уполномоченного лица Удостоверяющего центра
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.04.2008(UTC) Сообщений: 85
Поблагодарили: 9 раз в 6 постах
|
Цитата:1) А необходимо ли вообще официально назначать Уполномоченное лицо УЦ? Ведь в 63-ФЗ такое понятние отсутствует.
Смотря что Вы понимаете под "уполномоченным лицом УЦ". Если Вы имеете ввиду понятие, определенное в 1-ФЗ, то, учитывая, что 1-ФЗ уже не действует, то в этом смысле понятия уполномоченного лица УЦ уже не существует. Цитата:2) Поскольку ФСБ требует учитывать все ключевые документы, следовательно нужно учитывать и ключи ЦС, а значит и закреплять ответственность за конкретным лицом, которое будет хранить ключ ЦС (корневой ключ УЦ)?
В соответствии со ст. 14, п. 3 63-ФЗ: Цитата:Допускается не указывать в качестве владельца сертификата ключа проверки электронной подписи физическое лицо, действующее от имени юридического лица, в сертификате ключа проверки электронной подписи, используемом для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе ....а также в иных случаях, предусмотренных федеральными законами ... Владельцем такого сертификата ключа проверки электронной подписи признается юридическое лицо, информация о котором содержится в таком сертификате. Таким образом, корневой сертификат УЦ принадлежит юридическому лицу УЦ и в нем не указывается ФИО. Цитата:3) Можно ли назначить Уполномоченным лицом директора (и нужно ли), если в документации на КриптоПро УЦ сказано: "Описание ролей УЦ: Администратор ЦС – уполномоченное лицо Удостоверяющего Центра, администратор специального программного обеспечения ЦС."
Можно, но зачем? В документации говорится об "уполномоченном лице" в смысле "сотрудника УЦ, уполномоченного приказом руководителя исполнять роль Администратора ЦС". Им может быть любой сотрудник УЦ, с соответствующей квалификацией.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.05.2010(UTC) Сообщений: 69
Сказал(а) «Спасибо»: 6 раз Поблагодарили: 1 раз в 1 постах
|
Автор: chomper Таким образом, корневой сертификат УЦ принадлежит юридическому лицу УЦ и в нем не указывается ФИО.
С этим согласен, но согласно инструкции ФАПСИ нужно учитывать все ключевые документы, а следовательно все-равно учитывать за каким работником закреплен ключ УЦ (как ключевой документ). И тогда увольнение такого лица будет считаться компрометацией ключа УЦ и потребуется перевыпуск всех сертификатов, если я правильно все понимаю. Автор: chomper Можно, но зачем? В документации говорится об "уполномоченном лице" в смысле "сотрудника УЦ, уполномоченного приказом руководителя исполнять роль Администратора ЦС". Им может быть любой сотрудник УЦ, с соответствующей квалификацией.
Верно, но в таком случае вероятность увольнения такого лица намного выше чем директора ) а значит и вероятность возникновения проблемы, описанной выше.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.04.2008(UTC) Сообщений: 85
Поблагодарили: 9 раз в 6 постах
|
Цитата:С этим согласен, но согласно инструкции ФАПСИ нужно учитывать все ключевые документы, а следовательно все-равно учитывать за каким работником закреплен ключ УЦ (как ключевой документ).
Форма журнала является типовой, т.е. образцовой, являющейся моделью. На базе этого образца можно утвердить форму журнала, которая будет применяться в УЦ. Тогда, в журнале ОКЗ (приложение 1) в столбце "От кого получены или Ф.И.О. сотрудника органа криптогра¬фической защиты, изготовившего ключевые документы" - указываете сотрудника УЦ, кто изготовил ключи для корневого сертификата, например, Администратор ЦС. А столбец "Кому разосланы (переданы)" может отсутствовать или можно оставить пустым, т.к. ключи в действительности никому и никуда не передавались, а были установлены в автоматизированную систему ЦС. Можно, конечно, указать ФИО того же Администратора ЦС, ведь он их сделал и он же установил в ЦС. В журнале обладателя (приложение 2) в столбце "Отметка о подключении (установке)" - указываете ФИО Администратора ЦС, который произвел установку ключей в автоматизированную систему ЦС, а столбец "Отметка о выдаче" может отсутствовать или оставляете пустым или опять указываете здесь Администратора ЦС, т.к. описано выше. Цитата:И тогда увольнение такого лица будет считаться компрометацией ключа УЦ и потребуется перевыпуск всех сертификатов, если я правильно все понимаю.
Владельцем корневого сертификата и ключей является юридическое лицо - удостоверяющий центр, а значит автоматически вся ответственность за их конфиденциальность лежит на единоличном исполнительном органе в соответствии с уставом (например, директор). Увольнение администратора ЦС или директора не будет являться компрометацией ключа УЦ, т.к. они не являются его владельцем, в соответствии с ст. 14 п. 3 63-ФЗ. Цитата:Верно, но в таком случае вероятность увольнения такого лица намного выше чем директора ) а значит и вероятность возникновения проблемы, описанной выше.
В таком случае, директор должен сам изготоавливать ключи и производить их установку в ЦС, публиковать списки отзыва и выпускать сертификаты клиентам :)
|
1 пользователь поблагодарил chomper за этот пост.
|
Uatto оставлено 19.09.2014(UTC)
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.05.2010(UTC) Сообщений: 69
Сказал(а) «Спасибо»: 6 раз Поблагодарили: 1 раз в 1 постах
|
chomper, пожалуй соглашусь, что ключ УЦ может выпускаться на ЮЛ. Единственное, что смущает, это цитата из Методических рекомендаций Минкомсвязи по составу КСКПЭП, о том что в поле CN пишется "Псевдоним удостоверяющего центра", а в примечании сказано: "Псевдоним аккредитованного удостоверяющего центра (псевдоним удостоверяющего центра) – наименование, идентифицирующее ДОВЕРЕННОЕ ЛИЦО аккредитованного УЦ, являющееся владельцем квалифицированного сертификата УЦ;". Хотя в требованиях фсб сказано: "Наименование удостоверяющего центра: <commonName>".
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,691 Сказал «Спасибо»: 500 раз Поблагодарили: 2045 раз в 1586 постах
|
Автор: Uatto chomper, пожалуй соглашусь, что ключ УЦ может выпускаться на ЮЛ. Единственное, что смущает, это цитата из Методических рекомендаций Минкомсвязи по составу КСКПЭП, о том что в поле CN пишется "Псевдоним удостоверяющего центра", а в примечании сказано: "Псевдоним аккредитованного удостоверяющего центра (псевдоним удостоверяющего центра) – наименование, идентифицирующее ДОВЕРЕННОЕ ЛИЦО аккредитованного УЦ, являющееся владельцем квалифицированного сертификата УЦ;". Хотя в требованиях фсб сказано: "Наименование удостоверяющего центра: <commonName>". Начните и закончите ответом на вопрос, что "выше". |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.04.2008(UTC) Сообщений: 85
Поблагодарили: 9 раз в 6 постах
|
Автор: Uatto Единственное, что смущает, это цитата из Методических рекомендаций Минкомсвязи по составу КСКПЭП... В последнем письме от Минсвязи они дали понять, что их "Методические рекомендации" более не действуют: Цитата:...в ЕСИА сохранена поддержка сертификатов, выпущенных УЦ с отклонением от требований Извещения ФСБ России, но в соответствии с действующим до публикации Извещения ФСБ России документом Минкомсвязи России "Методические рекомендации по составу квалифицированного сертификата ключа проверки электронной подписи"
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.08.2016(UTC) Сообщений: 76
Сказал(а) «Спасибо»: 8 раз
|
Здравствуйте! Заполняем анкету для получения корневого сертификата. Расскажите, пожалуйста, что писать в п. Программно-аппаратные комплексы и какие запросы на сертификаты необходимо создавать? Необходимо заново добавлять роли? Извиняюсь, если не по адресу или где-то уже это обсуждалось. Заранее спасибо.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.07.2014(UTC) Сообщений: 70
Сказал(а) «Спасибо»: 10 раз Поблагодарили: 9 раз в 8 постах
|
Автор: domnina Здравствуйте! Заполняем анкету для получения корневого сертификата. Расскажите, пожалуйста, что писать в п. Программно-аппаратные комплексы и какие запросы на сертификаты необходимо создавать? Необходимо заново добавлять роли? Извиняюсь, если не по адресу или где-то уже это обсуждалось. Заранее спасибо. В анкете указывается информация об использующемся ПАК например "КриптоПро УЦ 1.5 (вариант исполнения 1)", по адресам публикации СОС думаю понятно, что писать. Для каждого ПАК заполняется такая таблица. По генерации запроса на сертификата - если ранее уже проходили процедуру кроссертификации, то необходимо действовать по инструкции http://www.cryptopro.ru/...iles/docs/perevod-uc.pdf .
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.08.2016(UTC) Сообщений: 76
Сказал(а) «Спасибо»: 8 раз
|
Автор: moremore Автор: domnina Здравствуйте! Заполняем анкету для получения корневого сертификата. Расскажите, пожалуйста, что писать в п. Программно-аппаратные комплексы и какие запросы на сертификаты необходимо создавать? Необходимо заново добавлять роли? Извиняюсь, если не по адресу или где-то уже это обсуждалось. Заранее спасибо. В анкете указывается информация об использующемся ПАК например "КриптоПро УЦ 1.5 (вариант исполнения 1)", по адресам публикации СОС думаю понятно, что писать. Для каждого ПАК заполняется такая таблица. По генерации запроса на сертификата - если ранее уже проходили процедуру кроссертификации, то необходимо действовать по инструкции http://www.cryptopro.ru/...iles/docs/perevod-uc.pdf . Спасибо за ответ, только УЦ с нуля создается. Как действовать тогда?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.07.2014(UTC) Сообщений: 70
Сказал(а) «Спасибо»: 10 раз Поблагодарили: 9 раз в 8 постах
|
Автор: domnina Автор: moremore Автор: domnina Здравствуйте! Заполняем анкету для получения корневого сертификата. Расскажите, пожалуйста, что писать в п. Программно-аппаратные комплексы и какие запросы на сертификаты необходимо создавать? Необходимо заново добавлять роли? Извиняюсь, если не по адресу или где-то уже это обсуждалось. Заранее спасибо. В анкете указывается информация об использующемся ПАК например "КриптоПро УЦ 1.5 (вариант исполнения 1)", по адресам публикации СОС думаю понятно, что писать. Для каждого ПАК заполняется такая таблица. По генерации запроса на сертификата - если ранее уже проходили процедуру кроссертификации, то необходимо действовать по инструкции http://www.cryptopro.ru/...iles/docs/perevod-uc.pdf . Спасибо за ответ, только УЦ с нуля создается. Как действовать тогда? При установке ПАК на этапе "Установка службы сертификации" какую роль ЦС выбирали? Отредактировано пользователем 13 сентября 2016 г. 12:19:52(UTC)
| Причина: Не указана
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Сертификат уполномоченного лица Удостоверяющего центра
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close