Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.05.2018(UTC) Сообщений: 31 Сказал(а) «Спасибо»: 5 раз Поблагодарили: 1 раз в 1 постах
|
1) При переходе на новый ГОСТ 2012 по вашей инструкции: https://support.cryptopr...e-dlja-kkreditovnnykh-ucя сменю ключ на том же самом ЦС (без создания отдельного ЦС) далее при выпуске клиентских сертификатов на новом ГОСТе можно ли будет в случае необходимости выгрузить ключ в центре управления ключами, и загрузить старый (предыдущий) ключ на ГОСТе 2001, предположим для выпуска нескольких клиентских сертификатов на ГОСТе 2001, а затем обратно загрузить новый ключ и выпускать дальше продолжить клиентские ключи на новом ГОСТе? Или для предусмотрения такой возможности лучше создать второй ЦС? Интересуюсь для ситуации, когда клиенту потребуется ЭП для ИС, еще не готовой к новому ГОСТу 2) если в ЦС будет 2 ключа на разных гостах, и УЦ будет по вышеуказанной инструкции переведен командами на новый ГОСТ, сможет ли центр управления ключами загрузить предыдущий ключ? 3) Сможет ли ЦС работать одновременно с двумя ключами на разных ГОСТах для подписи издаваемых сертификатов? 4) сможет ли ЦС работать одновременно с двумя ключами на разных гостах для подписи СОС?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Автор: evil_genius 1) При переходе на новый ГОСТ 2012 по вашей инструкции: https://support.cryptopr...e-dlja-kkreditovnnykh-ucя сменю ключ на том же самом ЦС (без создания отдельного ЦС) далее при выпуске клиентских сертификатов на новом ГОСТе можно ли будет в случае необходимости выгрузить ключ в центре управления ключами, и загрузить старый (предыдущий) ключ на ГОСТе 2001, предположим для выпуска нескольких клиентских сертификатов на ГОСТе 2001, а затем обратно загрузить новый ключ и выпускать дальше продолжить клиентские ключи на новом ГОСТе? Или для предусмотрения такой возможности лучше создать второй ЦС? Интересуюсь для ситуации, когда клиенту потребуется ЭП для ИС, еще не готовой к новому ГОСТу Технически такая возможность есть. Но если ключ на ГОСТ 2001 уже истек - то нельзя. Автор: evil_genius 2) если в ЦС будет 2 ключа на разных гостах, и УЦ будет по вышеуказанной инструкции переведен командами на новый ГОСТ, сможет ли центр управления ключами загрузить предыдущий ключ? Этот вопрос такой же как и вопрос под номером 1. Автор: evil_genius 3) Сможет ли ЦС работать одновременно с двумя ключами на разных ГОСТах для подписи издаваемых сертификатов? Нет. Автор: evil_genius 4) сможет ли ЦС работать одновременно с двумя ключами на разных гостах для подписи СОС? Этот вопрос такой же как и вопрос под номером 3. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.05.2018(UTC) Сообщений: 31 Сказал(а) «Спасибо»: 5 раз Поблагодарили: 1 раз в 1 постах
|
Правильно ли я понял смысл, что при переходе на новый ГОСТ на ПАК УЦ2.0 нужно однозначно создать отдельный ЦС? - так как после перехода на новый гост нужно еще будет какое-то время поддерживать уже изданные сертификаты старого госта и подписывать для них СОС. Или, ключ на новом ГОСТе сможет подписать СОСы для предыдущих сертификатов? Или может возникнуть нестыковка работ разных ИС из-за несоответствия алгоритма подписи сертификата и подписи СОС.?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Автор: evil_genius Правильно ли я понял смысл, что при переходе на новый ГОСТ на ПАК УЦ2.0 нужно однозначно создать отдельный ЦС? - так как после перехода на новый гост нужно еще будет какое-то время поддерживать уже изданные сертификаты старого госта и подписывать для них СОС. Или, ключ на новом ГОСТе сможет подписать СОСы для предыдущих сертификатов? Или может возникнуть нестыковка работ разных ИС из-за несоответствия алгоритма подписи сертификата и подписи СОС.? Смена провайдера не запрещает выпускать на других ключах (с другими провайдерами) CRL. Это не MSCA. В УЦ 2.0. технически можно иметь три ключа и все на разных провайдерах (ГОСТ 2001, ГОСТ 2012, RSA). |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.05.2018(UTC) Сообщений: 31 Сказал(а) «Спасибо»: 5 раз Поблагодарили: 1 раз в 1 постах
|
как тогда понимать предыдущий ответ, что нельзя: Цитата:Автор: evil_genius Перейти к цитате 3) Сможет ли ЦС работать одновременно с двумя ключами на разных ГОСТах для подписи СОС?
Нет.
Отредактировано пользователем 19 июня 2018 г. 12:50:55(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Автор: evil_genius как тогда понимать предыдущий ответ, что нельзя: Цитата:Автор: evil_genius Перейти к цитате 3) Сможет ли ЦС работать одновременно с двумя ключами на разных ГОСТах для подписи издаваемых сертификатов?
Нет.
Слово подразумевает работу одновременно обоих ключей. А технически можно загрузить только один, на ГОСТ 2001 или на ГОСТ 2012. Т.е. одновременно загрузить для работы два ключа - нельзя. Про возможность указано в первом ответе на первый ваш вопрос |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.05.2018(UTC) Сообщений: 31 Сказал(а) «Спасибо»: 5 раз Поблагодарили: 1 раз в 1 постах
|
Для подписи СОС технически МОЖНО одновременно загрузить два ключа. Насчет трех не уверен. Кстати вопрос - можно ли больше двух? Так вот если один ключ на гост-2001 а второй на 2012-м - будут они работать одновременно?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Автор: evil_genius Для подписи СОС технически МОЖНО одновременно загрузить два ключа. Насчет трех не уверен. Кстати вопрос - можно ли больше двух? Так вот если один ключ на гост-2001 а второй на 2012-м - будут они работать одновременно? Как говорилось и тут, смена провайдера не запрещает выпускать CRL на разных ключах. Да, для подписи CRL можно загрузить более одного ключа. Речь выше шла про ключ подписи сертификатов конечно. Два ключа для подписи сертификатов загрузить нельзя. |
|
1 пользователь поблагодарил Захар Тихонов за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.05.2018(UTC) Сообщений: 31 Сказал(а) «Спасибо»: 5 раз Поблагодарили: 1 раз в 1 постах
|
Автор: Захар Тихонов Автор: evil_genius Для подписи СОС технически МОЖНО одновременно загрузить два ключа. Насчет трех не уверен. Кстати вопрос - можно ли больше двух? Так вот если один ключ на гост-2001 а второй на 2012-м - будут они работать одновременно? Как говорилось и тут, смена провайдера не запрещает выпускать CRL на разных ключах. Да, для подписи CRL можно загрузить более одного ключа. Речь выше шла про ключ подписи сертификатов конечно. Два ключа для подписи сертификатов загрузить нельзя. спасибо за разъяснения. 1) Я оставлю для подписи СОС два ключа на разных ГОСТах на одном ЦС. Что нужно будет сделать 31.12.2018 с ключом ГОСТ-2001 и с действующими сертификатами по тому же ГОСТу, учитывая, что подписывать СОСы ключом по ГОСТ-2001 после 31.12.2018 будет нельзя.? 2) есть ли какая-то принципиальная разница в связи с вышеизложенным, создавать или не создавать отдельный ЦС для нового ГОСТа? 3) если новый ЦС создавать, не будет ли накладок с именем ЦС (одинаковые реквизиты CN.)?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Автор: evil_genius 1) Я оставлю для подписи СОС два ключа на разных ГОСТах на одном ЦС. Что нужно будет сделать 31.12.2018 с ключом ГОСТ-2001 и с действующими сертификатами по тому же ГОСТу, учитывая, что подписывать СОСы ключом по ГОСТ-2001 после 31.12.2018 будет нельзя.?
Если регулирующие органы в этом направление ни чего не поменяют, то до 31.12.18 потребуется вывести из эксплуатации ключ ЦС на ГОСТ 2001 и выпустить финальный CRL. Автор: evil_genius 2) есть ли какая-то принципиальная разница в связи с вышеизложенным, создавать или не создавать отдельный ЦС для нового ГОСТа? Есть разница. Автор: evil_genius 3) если новый ЦС создавать, не будет ли накладок с именем ЦС (одинаковые реквизиты CN.)? Два ЦС с одинаковым CN в рамках одного сервера создать нельзя. Кто-то должен быть с другим именем (например первый с переименованным CN). |
|
1 пользователь поблагодарил Захар Тихонов за этот пост.
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close