Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Срок действия списков отзыва на УЦ 2.0
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC) Сообщений: 171 Откуда: Екатеринбург
Сказал(а) «Спасибо»: 46 раз Поблагодарили: 23 раз в 19 постах
|
Автор: tikhonov Вы хотите, чтоб срок действия CRL был 3 часа, а интервал перекрытия 24 часа? Нет. Я хочу, чтобы при любом, в т.ч внеплановом выпуске CRL, срок действия был 24 часа, интервал перекрытия 3 часа. Пока так не получается.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
В Уц 2.0 немного другой принцип выпуска CRL, не как в УЦ 1.5.
В УЦ 2.0 CRL выпускаются не на какой-то срок, а выпускаются до какого-то срока. Например: Мы настроили выпуск нового CRL каждый день в 9 утра. Т.о. Наш CRl будет выпускаться на срок 24 часа + интервал перекрытия. Если мы в течении дня выпустим внеочередной CRL, то его срок будет до 9 утра следующего дня (+ срок перекрытия). |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC) Сообщений: 171 Откуда: Екатеринбург
Сказал(а) «Спасибо»: 46 раз Поблагодарили: 23 раз в 19 постах
|
Автор: tikhonov В Уц 2.0 немного другой принцип выпуска CRL, не как в УЦ 1.5.
В УЦ 2.0 CRL выпускаются не на какой-то срок, а выпускаются до какого-то срока. Например: Мы настроили выпуск нового CRL каждый день в 9 утра. Т.о. Наш CRl будет выпускаться на срок 24 часа + интервал перекрытия. Если мы в течении дня выпустим внеочередной CRL, то его срок будет до 9 утра следующего дня (+ срок перекрытия). Это понятно. Отсюда проблема- условно в 8 утра происходит отзыв сертификата, выпуск внеочередного CRL. в 8-30 некая ИС забирает этот CRL. Ее расписание-забирать раз в сутки. Этот CRL действует до 9 утра+перекрытие. результат понятен. Так поступают многие (если не все) ОПФР, в частности. Сделать срок действия CRL больше 27 часов суммарно нельзя-это нарушит другие регламенты. Соответственно я ищу вариант решения, при котором любой CRL будет иметь одинаковый срок действия, 24+3.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
А почему "некая ИС" забирает это CRl раньше официального выпуска CRL? Пускай забирает CRL в 9-30, как вариант. Или настройте чтоб у Вас CRL официально публиковались не в 9:00, а в 8:00. или в чем подвох?
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC) Сообщений: 171 Откуда: Екатеринбург
Сказал(а) «Спасибо»: 46 раз Поблагодарили: 23 раз в 19 постах
|
Автор: tikhonov А почему "некая ИС" забирает это CRl раньше официального выпуска CRL? Пускай забирает CRL в 9-30, как вариант. Или настройте чтоб у Вас CRL официально публиковались не в 9:00, а в 8:00. или в чем подвох?
воздействовать на ИС госструктур я не в состоянии. максимум-предупредят, что такая конструкция работать не будет. настрою на 8:00.. да хоть на 22:00. В стране достаточное кол-во часовых поясов, чтобы получить эту проблему. Да, меня вполне устраивает, как сейчас это сделано в 1.5. Отредактировано пользователем 19 октября 2016 г. 16:24:27(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Тогда чем отличается работа УЦ 1.5 от УЦ 2.0, если не выпускать в не очередные CRL? Что УЦ 1.5 настроено, что срок действия CRL 24 часа, что в УЦ 2.0 настроено, что срок действия CRL 24 часа. И как в этом случае Вы работали?
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC) Сообщений: 171 Откуда: Екатеринбург
Сказал(а) «Спасибо»: 46 раз Поблагодарили: 23 раз в 19 постах
|
Автор: tikhonov Тогда чем отличается работа УЦ 1.5 от УЦ 2.0, если не выпускать в не очередные CRL? Что УЦ 1.5 настроено, что срок действия CRL 24 часа, что в УЦ 2.0 настроено, что срок действия CRL 24 часа. И как в этом случае Вы работали?
Я и продолжаю так работать, писал выше- Срок действия 24 часа; интервал перекрытия 3 часа; выпуск с периодом в 4 часа. На УЦ 1.5 это сделано через модуль выхода и запуск certutil -CRL в планировщике задач. Формально в этом случае все выпуски CRL-внеплановые. Переход на 2.0 неизбежен-необходимо минимизировать последствия. На УЦ 1.5 общий срок действия CRL получается 27 часов. 24+3. В случае отзыва сертификата и выпуска внеочередного CRL по этому поводу-тоже. В 2.0 поведение другое. Отредактировано пользователем 19 октября 2016 г. 17:25:59(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Так ничего же и не меняется, теперь просто внеочередной CRL будет сроком меньше, до начала выпуска по расписанию. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC) Сообщений: 171 Откуда: Екатеринбург
Сказал(а) «Спасибо»: 46 раз Поблагодарили: 23 раз в 19 постах
|
Автор: tikhonov Так ничего же и не меняется, теперь просто внеочередной CRL будет сроком меньше, до начала выпуска по расписанию. Они,формально, все внеочередные. В данном случае. Выпускаемые при помощи certutil -CRL. Если эту логику изменить нельзя-есть какие-то методы редактирования расписания из скрипта перед выпуском? Без графического интерфейса, разумеется. Пока остановился на таком варианте- certutil2 -config 'localhost\<CA name>' -setentry CrlOverlapPeriodUnits 24 certutil2 -config 'localhost\<CA name>' -editschedule CRL -show Каждые 3 час. с 0:00 по 23 час. ежедневно, начиная с 19.10.2016 Это не совсем то, конечно, но результат близок. Отредактировано пользователем 19 октября 2016 г. 17:44:00(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC) Сообщений: 145
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 2 раз в 2 постах
|
certutil -config 'localhost\<CA name>' -crl 00:27
|
1 пользователь поблагодарил _alexander за этот пост.
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Срок действия списков отзыва на УЦ 2.0
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close