Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

5 Страницы<1234>»
Опции
К последнему сообщению К первому непрочитанному
Offline Евгений Пономаренко  
#11 Оставлено : 19 октября 2016 г. 15:10:48(UTC)
Евгений Пономаренко

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
Автор: tikhonov Перейти к цитате
Вы хотите, чтоб срок действия CRL был 3 часа, а интервал перекрытия 24 часа?


Нет. Я хочу, чтобы при любом, в т.ч внеплановом выпуске CRL, срок действия был 24 часа, интервал перекрытия 3 часа. Пока так не получается.
Offline Захар Тихонов  
#12 Оставлено : 19 октября 2016 г. 15:19:58(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
В Уц 2.0 немного другой принцип выпуска CRL, не как в УЦ 1.5.

В УЦ 2.0 CRL выпускаются не на какой-то срок, а выпускаются до какого-то срока.
Например:
Мы настроили выпуск нового CRL каждый день в 9 утра. Т.о. Наш CRl будет выпускаться на срок 24 часа + интервал перекрытия. Если мы в течении дня выпустим внеочередной CRL, то его срок будет до 9 утра следующего дня (+ срок перекрытия).
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Евгений Пономаренко  
#13 Оставлено : 19 октября 2016 г. 15:33:45(UTC)
Евгений Пономаренко

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
Автор: tikhonov Перейти к цитате
В Уц 2.0 немного другой принцип выпуска CRL, не как в УЦ 1.5.

В УЦ 2.0 CRL выпускаются не на какой-то срок, а выпускаются до какого-то срока.
Например:
Мы настроили выпуск нового CRL каждый день в 9 утра. Т.о. Наш CRl будет выпускаться на срок 24 часа + интервал перекрытия. Если мы в течении дня выпустим внеочередной CRL, то его срок будет до 9 утра следующего дня (+ срок перекрытия).


Это понятно. Отсюда проблема-
условно в 8 утра происходит отзыв сертификата, выпуск внеочередного CRL. в 8-30 некая ИС забирает этот CRL. Ее расписание-забирать раз в сутки. Этот CRL действует до 9 утра+перекрытие. результат понятен.
Так поступают многие (если не все) ОПФР, в частности. Сделать срок действия CRL больше 27 часов суммарно нельзя-это нарушит другие регламенты.
Соответственно я ищу вариант решения, при котором любой CRL будет иметь одинаковый срок действия, 24+3.
Offline Захар Тихонов  
#14 Оставлено : 19 октября 2016 г. 15:36:27(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
А почему "некая ИС" забирает это CRl раньше официального выпуска CRL?
Пускай забирает CRL в 9-30, как вариант.
Или настройте чтоб у Вас CRL официально публиковались не в 9:00, а в 8:00.
или в чем подвох?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Евгений Пономаренко  
#15 Оставлено : 19 октября 2016 г. 16:16:56(UTC)
Евгений Пономаренко

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
Автор: tikhonov Перейти к цитате
А почему "некая ИС" забирает это CRl раньше официального выпуска CRL?
Пускай забирает CRL в 9-30, как вариант.
Или настройте чтоб у Вас CRL официально публиковались не в 9:00, а в 8:00.
или в чем подвох?


воздействовать на ИС госструктур я не в состоянии. максимум-предупредят, что такая конструкция работать не будет.
настрою на 8:00.. да хоть на 22:00. В стране достаточное кол-во часовых поясов, чтобы получить эту проблему.
Да, меня вполне устраивает, как сейчас это сделано в 1.5.

Отредактировано пользователем 19 октября 2016 г. 16:24:27(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#16 Оставлено : 19 октября 2016 г. 17:07:45(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Тогда чем отличается работа УЦ 1.5 от УЦ 2.0, если не выпускать в не очередные CRL?
Что УЦ 1.5 настроено, что срок действия CRL 24 часа, что в УЦ 2.0 настроено, что срок действия CRL 24 часа. И как в этом случае Вы работали?

Техническую поддержку оказываем тут.
Наша база знаний.
Offline Евгений Пономаренко  
#17 Оставлено : 19 октября 2016 г. 17:16:26(UTC)
Евгений Пономаренко

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
Автор: tikhonov Перейти к цитате
Тогда чем отличается работа УЦ 1.5 от УЦ 2.0, если не выпускать в не очередные CRL?
Что УЦ 1.5 настроено, что срок действия CRL 24 часа, что в УЦ 2.0 настроено, что срок действия CRL 24 часа. И как в этом случае Вы работали?



Я и продолжаю так работать, писал выше-
Срок действия 24 часа; интервал перекрытия 3 часа; выпуск с периодом в 4 часа.
На УЦ 1.5 это сделано через модуль выхода и запуск certutil -CRL в планировщике задач.
Формально в этом случае все выпуски CRL-внеплановые.
Переход на 2.0 неизбежен-необходимо минимизировать последствия.
На УЦ 1.5 общий срок действия CRL получается 27 часов. 24+3. В случае отзыва сертификата и выпуска внеочередного CRL по этому поводу-тоже. В 2.0 поведение другое.

Отредактировано пользователем 19 октября 2016 г. 17:25:59(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#18 Оставлено : 19 октября 2016 г. 17:21:14(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Так ничего же и не меняется, теперь просто внеочередной CRL будет сроком меньше, до начала выпуска по расписанию.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Евгений Пономаренко  
#19 Оставлено : 19 октября 2016 г. 17:29:55(UTC)
Евгений Пономаренко

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
Автор: tikhonov Перейти к цитате
Так ничего же и не меняется, теперь просто внеочередной CRL будет сроком меньше, до начала выпуска по расписанию.


Они,формально, все внеочередные. В данном случае. Выпускаемые при помощи certutil -CRL.
Если эту логику изменить нельзя-есть какие-то методы редактирования расписания из скрипта перед выпуском? Без графического интерфейса, разумеется.

Пока остановился на таком варианте-
certutil2 -config 'localhost\<CA name>' -setentry CrlOverlapPeriodUnits 24
certutil2 -config 'localhost\<CA name>' -editschedule CRL -show
Каждые 3 час. с 0:00 по 23 час. ежедневно, начиная с 19.10.2016
Это не совсем то, конечно, но результат близок.

Отредактировано пользователем 19 октября 2016 г. 17:44:00(UTC)  | Причина: Не указана

Offline _alexander  
#20 Оставлено : 19 октября 2016 г. 18:12:56(UTC)
_alexander

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
certutil -config 'localhost\<CA name>' -crl 00:27
thanks 1 пользователь поблагодарил _alexander за этот пост.
Евгений Пономаренко оставлено 20.10.2016(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
5 Страницы<1234>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.