Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline Devalant  
#1 Оставлено : 6 сентября 2016 г. 18:47:40(UTC)
Devalant

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2015(UTC)
Сообщений: 316

Сказал(а) «Спасибо»: 111 раз
Поблагодарили: 4 раз в 4 постах
Доброго времени суток!
Подскажите пожалуйста как можно изменить срок действия CRL?
Offline Захар Тихонов  
#2 Оставлено : 7 сентября 2016 г. 8:54:27(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,567
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 452 раз в 436 постах
Здравствуйте.

В УЦ 2.0 немного другой принцип публикации CRL.
Как такового понятия срока действия CRL (как было в УЦ 1.5) нет. Есть настройка до какого числа действует CRL. И Все выпущенные CRL (не дельта CRL), вне очередные тоже, будут иметь срок до указанного в настройке.
Настраивается все в Диспетчере УЦ, на вкладке вашего ЦС.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
Devalant оставлено 07.09.2016(UTC)
Offline Devalant  
#3 Оставлено : 8 сентября 2016 г. 14:35:37(UTC)
Devalant

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2015(UTC)
Сообщений: 316

Сказал(а) «Спасибо»: 111 раз
Поблагодарили: 4 раз в 4 постах
Автор: tikhonov Перейти к цитате
Здравствуйте.

В УЦ 2.0 немного другой принцип публикации CRL.
Как такового понятия срока действия CRL (как было в УЦ 1.5) нет. Есть настройка до какого числа действует CRL. И Все выпущенные CRL (не дельта CRL), вне очередные тоже, будут иметь срок до указанного в настройке.
Настраивается все в Диспетчере УЦ, на вкладке вашего ЦС.


а как настроить дату, до которой он будет действовать? в расписании что-то ничего похожего нет.
Offline Захар Тихонов  
#4 Оставлено : 8 сентября 2016 г. 14:40:03(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,567
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 452 раз в 436 постах
Просто указываете когда выпускать CRL. CRL будет действовать до следующего выпуска.
Например, по умолчанию CRL выпускается каждую пятницу в 18:00. Т.е. CRL будет действовать 1 неделю.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
Devalant оставлено 08.09.2016(UTC)
Offline Devalant  
#5 Оставлено : 27 сентября 2016 г. 15:37:34(UTC)
Devalant

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2015(UTC)
Сообщений: 316

Сказал(а) «Спасибо»: 111 раз
Поблагодарили: 4 раз в 4 постах
Подскажите пожалуйста, нормально ли то, что при каждом выпуске CRL номер перескакивает через один, т.е. сегодня утром был 71-й, а новый выпустился под номером 73?
УЦ настроен в подчиненном режиме.

Отредактировано пользователем 27 сентября 2016 г. 15:38:08(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#6 Оставлено : 11 октября 2016 г. 12:37:50(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,567
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 452 раз в 436 постах
нет, это не нормальное поведение.
требуется разбираться локально. Создавайте по этой проблеме заявку на портале ТП https://support.cryptopro.ru
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Евгений Пономаренко  
#7 Оставлено : 19 октября 2016 г. 11:03:48(UTC)
Евгений Пономаренко

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
Пытаюсь настроить следующее расписание выпуска CRL-
Срок действия 24 часа; интервал перекрытия 3 часа; выпуск с периодом в 4 часа.
На УЦ 1.5 это сделано через модуль выхода и запуск certutil -CRL в планировщике задач.
В 2.0 такое сделать не получается. Подскажите,пожалуйста, как.
PS. Это не моя блажь, есть ряд сторонних служб, которые забирают CRL раз в сутки, но в произвольное время (разбросаны по стране, разные часовые пояса). Из-за этого возникают проблемы с недействительностью CRL.
Offline Захар Тихонов  
#8 Оставлено : 19 октября 2016 г. 11:37:15(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,567
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 452 раз в 436 постах
Автор: Евгений Пономаренко Перейти к цитате
Пытаюсь настроить следующее расписание выпуска CRL-
Срок действия 24 часа; интервал перекрытия 3 часа; выпуск с периодом в 4 часа.
На УЦ 1.5 это сделано через модуль выхода и запуск certutil -CRL в планировщике задач.
В 2.0 такое сделать не получается. Подскажите,пожалуйста, как.
PS. Это не моя блажь, есть ряд сторонних служб, которые забирают CRL раз в сутки, но в произвольное время (разбросаны по стране, разные часовые пояса). Из-за этого возникают проблемы с недействительностью CRL.


Здравствуйте.

Настраивается расписание выпуска CRL через диспетчер УЦ.
Настройка перекрытия и точность часов - автоматически.

Если Вы хотите установить свои значения, то настройка осуществляется с помощью "Командная строка управления УЦ (Администратор)"

Интервал перекрытия:

Код:
certutil2 -config 'localhost\<Имя ЦС>' -setentry CrlOverlapPeriodUnits <число> // это изменение количества
certutil2 -config 'localhost\<Имя ЦС>' -setentry CrlOverlapPeriod <единица измерения> // часы, минуты, дни


Точность часов:

Код:
certutil2 -config 'localhost\<Имя ЦС>' -setentry ClockSkewMinutes <число>


После изменения, необходимо применить настройки
Код:

certutil2 -config 'localhost\<Имя ЦС>' -control ApplyConfiguredSettings

Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
Евгений Пономаренко оставлено 19.10.2016(UTC)
Offline Евгений Пономаренко  
#9 Оставлено : 19 октября 2016 г. 12:37:27(UTC)
Евгений Пономаренко

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
Автор: tikhonov Перейти к цитате
Настраивается расписание выпуска CRL через диспетчер УЦ.
Настройка перекрытия и точность часов - автоматически.

Если Вы хотите установить свои значения, то настройка осуществляется с помощью "Командная строка управления УЦ (Администратор)"


Добрый день.
Получилось несколько не то, чего я добиваюсь.
В расписании- выпуск ежедневно, в 0:00
certutil2 -config 'localhost\<CA name>' -setentry CrlOverlapPeriodUnits 3
certutil2 -config 'localhost\<CA name>' -setentry CrlOverlapPeriod Hours
certutil2 -config 'localhost\<CA name>' -setentry ClockSkewMinutes 5
certutil2 -config 'localhost\<CA name>' -control ApplyConfiguredSettings
В планировщике-
certutil2 -config 'localhost\<CA name>' -CRL
Результат:
This update <текущее время-5 мин>
Next update <2016-10-20 03:05>
т.е срок действия при внеочередном выпуске не 24 часа + интервал перекрытия.
Хочется так-
This update <2016-10-19 14:20>
Next update <2016-10-20 17:30>

Как все-таки решить проблему?
Возможно решение-установка периода выпуска в 3 часа, а интервала в 24?

Отредактировано пользователем 19 октября 2016 г. 12:40:07(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#10 Оставлено : 19 октября 2016 г. 14:17:23(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,567
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 452 раз в 436 постах
Вы хотите, чтоб срок действия CRL был 3 часа, а интервал перекрытия 24 часа?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Евгений Пономаренко  
#11 Оставлено : 19 октября 2016 г. 15:10:48(UTC)
Евгений Пономаренко

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
Автор: tikhonov Перейти к цитате
Вы хотите, чтоб срок действия CRL был 3 часа, а интервал перекрытия 24 часа?


Нет. Я хочу, чтобы при любом, в т.ч внеплановом выпуске CRL, срок действия был 24 часа, интервал перекрытия 3 часа. Пока так не получается.
Offline Захар Тихонов  
#12 Оставлено : 19 октября 2016 г. 15:19:58(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,567
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 452 раз в 436 постах
В Уц 2.0 немного другой принцип выпуска CRL, не как в УЦ 1.5.

В УЦ 2.0 CRL выпускаются не на какой-то срок, а выпускаются до какого-то срока.
Например:
Мы настроили выпуск нового CRL каждый день в 9 утра. Т.о. Наш CRl будет выпускаться на срок 24 часа + интервал перекрытия. Если мы в течении дня выпустим внеочередной CRL, то его срок будет до 9 утра следующего дня (+ срок перекрытия).
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Евгений Пономаренко  
#13 Оставлено : 19 октября 2016 г. 15:33:45(UTC)
Евгений Пономаренко

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
Автор: tikhonov Перейти к цитате
В Уц 2.0 немного другой принцип выпуска CRL, не как в УЦ 1.5.

В УЦ 2.0 CRL выпускаются не на какой-то срок, а выпускаются до какого-то срока.
Например:
Мы настроили выпуск нового CRL каждый день в 9 утра. Т.о. Наш CRl будет выпускаться на срок 24 часа + интервал перекрытия. Если мы в течении дня выпустим внеочередной CRL, то его срок будет до 9 утра следующего дня (+ срок перекрытия).


Это понятно. Отсюда проблема-
условно в 8 утра происходит отзыв сертификата, выпуск внеочередного CRL. в 8-30 некая ИС забирает этот CRL. Ее расписание-забирать раз в сутки. Этот CRL действует до 9 утра+перекрытие. результат понятен.
Так поступают многие (если не все) ОПФР, в частности. Сделать срок действия CRL больше 27 часов суммарно нельзя-это нарушит другие регламенты.
Соответственно я ищу вариант решения, при котором любой CRL будет иметь одинаковый срок действия, 24+3.
Offline Захар Тихонов  
#14 Оставлено : 19 октября 2016 г. 15:36:27(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,567
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 452 раз в 436 постах
А почему "некая ИС" забирает это CRl раньше официального выпуска CRL?
Пускай забирает CRL в 9-30, как вариант.
Или настройте чтоб у Вас CRL официально публиковались не в 9:00, а в 8:00.
или в чем подвох?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Евгений Пономаренко  
#15 Оставлено : 19 октября 2016 г. 16:16:56(UTC)
Евгений Пономаренко

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
Автор: tikhonov Перейти к цитате
А почему "некая ИС" забирает это CRl раньше официального выпуска CRL?
Пускай забирает CRL в 9-30, как вариант.
Или настройте чтоб у Вас CRL официально публиковались не в 9:00, а в 8:00.
или в чем подвох?


воздействовать на ИС госструктур я не в состоянии. максимум-предупредят, что такая конструкция работать не будет.
настрою на 8:00.. да хоть на 22:00. В стране достаточное кол-во часовых поясов, чтобы получить эту проблему.
Да, меня вполне устраивает, как сейчас это сделано в 1.5.

Отредактировано пользователем 19 октября 2016 г. 16:24:27(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#16 Оставлено : 19 октября 2016 г. 17:07:45(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,567
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 452 раз в 436 постах
Тогда чем отличается работа УЦ 1.5 от УЦ 2.0, если не выпускать в не очередные CRL?
Что УЦ 1.5 настроено, что срок действия CRL 24 часа, что в УЦ 2.0 настроено, что срок действия CRL 24 часа. И как в этом случае Вы работали?

Техническую поддержку оказываем тут.
Наша база знаний.
Offline Евгений Пономаренко  
#17 Оставлено : 19 октября 2016 г. 17:16:26(UTC)
Евгений Пономаренко

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
Автор: tikhonov Перейти к цитате
Тогда чем отличается работа УЦ 1.5 от УЦ 2.0, если не выпускать в не очередные CRL?
Что УЦ 1.5 настроено, что срок действия CRL 24 часа, что в УЦ 2.0 настроено, что срок действия CRL 24 часа. И как в этом случае Вы работали?



Я и продолжаю так работать, писал выше-
Срок действия 24 часа; интервал перекрытия 3 часа; выпуск с периодом в 4 часа.
На УЦ 1.5 это сделано через модуль выхода и запуск certutil -CRL в планировщике задач.
Формально в этом случае все выпуски CRL-внеплановые.
Переход на 2.0 неизбежен-необходимо минимизировать последствия.
На УЦ 1.5 общий срок действия CRL получается 27 часов. 24+3. В случае отзыва сертификата и выпуска внеочередного CRL по этому поводу-тоже. В 2.0 поведение другое.

Отредактировано пользователем 19 октября 2016 г. 17:25:59(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#18 Оставлено : 19 октября 2016 г. 17:21:14(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,567
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 452 раз в 436 постах
Так ничего же и не меняется, теперь просто внеочередной CRL будет сроком меньше, до начала выпуска по расписанию.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Евгений Пономаренко  
#19 Оставлено : 19 октября 2016 г. 17:29:55(UTC)
Евгений Пономаренко

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
Автор: tikhonov Перейти к цитате
Так ничего же и не меняется, теперь просто внеочередной CRL будет сроком меньше, до начала выпуска по расписанию.


Они,формально, все внеочередные. В данном случае. Выпускаемые при помощи certutil -CRL.
Если эту логику изменить нельзя-есть какие-то методы редактирования расписания из скрипта перед выпуском? Без графического интерфейса, разумеется.

Пока остановился на таком варианте-
certutil2 -config 'localhost\<CA name>' -setentry CrlOverlapPeriodUnits 24
certutil2 -config 'localhost\<CA name>' -editschedule CRL -show
Каждые 3 час. с 0:00 по 23 час. ежедневно, начиная с 19.10.2016
Это не совсем то, конечно, но результат близок.

Отредактировано пользователем 19 октября 2016 г. 17:44:00(UTC)  | Причина: Не указана

Offline _alexander  
#20 Оставлено : 19 октября 2016 г. 18:12:56(UTC)
_alexander

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 143

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 2 раз в 2 постах
certutil -config 'localhost\<CA name>' -crl 00:27
thanks 1 пользователь поблагодарил _alexander за этот пост.
Евгений Пономаренко оставлено 20.10.2016(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.