Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.05.2013(UTC) Сообщений: 103  Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186   Откуда: Калининград Сказал «Спасибо»: 38 раз
Поблагодарили: 568 раз в 545 постах
|
Автор: misteruic  1. спасибо Вам за оперативные ответы
2. Прошел создание роли ЦС, сохранил файл запроса. Он имеет формат .req
При создании указал все необходимые изменения, и Средство электронной подписи.. и Политики сертификата. Ограничение на длину - 0. Оно уже является критическим?
Из анкеты минкомсвязи:
"К анкете необходимо приложить файл с запросами на сертификаты в формате «DER» (по одному для каждого сертификата уполномоченного лица).
Внимание! При изготовлении запроса на сертификат в расширении 2.5.29.19 (Основные ограничения) необходимо указывать «Ограничение на длину пути=0». Данное расширение 2.5.29.19 должно быть "критическим". Так же в запросе на сертификат должно быть расширение 1.2.643.100.111."
Собственно сам вопрос - требуют формат .der и Главное что внутри. Можете отправлять .req Автор: misteruic полу-вопрос: расширение "Основные ограничения" - уже являются критическим? галочки там нет что-бы выбрать критическое или нет.
да, должно быть критическим. Галочки нет, т.к. это расширение по умолчанию считается критические, если есть какие либо ограничения. Самый простой способ это проверить, это в командной строке ввести certutil "файл запроса". Там будет все видно, например вот так: Цитата:2.5.29.19: Флаги = 1(Критический), Длина = 8
Основные ограничения
Тип субъекта=ЦС
Ограничение на длину пути=0 |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз
Поблагодарили: 568 раз в 545 постах
|
Автор: misteruic
P.S. В анкете Минкомвязи есть строка "Адрес веб-страницы с информацией по реестрам квалифицированных сертификатов". Каким образом ее указать? Если УЦ еще не работает, т.е. предполагается получить корневой от Минкомсвязи и продолжить разворачивать УЦ 2.0 Странное требование, Практически на 1 шаге останавливаемся, делаем им запрос и отправляем анкету, где надо указать информацию, которую реально можно указать только после завершения установки и настройки всего ПАКа. Кто может поделиться опытом, как проходили этот момент?
Мы указываем адрес начальной страницы "https://dnsname/ui". Если вы будете использовать реестр сертификатов от УЦ 2.0 (не собственный, самописный), то адрес у него по умолчанию: https://dnsname/UI/1/Registry.aspx |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.05.2013(UTC) Сообщений: 103 Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Вопрос, в процессе установки роли ЦС, предлагает выбрать носитель для контейнера закрытого ключа, можно выбрать Токен, Флеш или реестр (все имеется). Если выбрал реестр - потом из реестра можно будет через КриптоПро CSP скопировать ключ на носитель? для резервного хранения? Впоследствии при нештатных ситуациях (восстановлении) - ЦС сможет подцепить копию ключа с носителя? не будет никаких конфузов? Это на самый крайний вариант. Акронис приобрели, будем резервные копии делать согласно регламенту рез. копирования и средствами сервера и средстави акрониса. Но все же.. хотелось бы подстраховаться на все случаи жизни.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз
Поблагодарили: 568 раз в 545 постах
|
Да, ключ ЦС по умолчанию экспортируемый. Можно будет сделать копию и спрятать в сейф)
А также, реестр не самое привлекательное место хранения ключа ЦС. Т.к. есть требования к хранению ключей ЖТЯИ.00088-01 91 01. КриптоПро CSP. Руководство администратора безопасности |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.05.2013(UTC) Сообщений: 103 Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
В настройке ЦС для Минкомсвязи в 1.2.643.100.111 (Средство электронной подписи владельца) - указывать CSP 4.0 или CSP 3.9? Если на сервер перед установкой УЦ 2.0 была установлена версия CSP 4.0 (для сервера) и устанавливается 5 вариант исполнения. И на что влияет: 1. Указание в оиде 1.2.643.100.111, 3.9 или 4.0 ? 2. Установка на сервер CSP 4.0 (то что пользователи выпущенных ключей на данном УЦ смогут работать с этими ключами, только при установленном у них CSP 4.0 ? 3.9 уже не подойдет?) Отредактировано пользователем 6 апреля 2017 г. 13:17:02(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.11.2014(UTC) Сообщений: 219 Поблагодарили: 27 раз в 27 постах
|
Автор: misteruic В настройке ЦС для Минкомсвязи в 1.2.643.100.111 (Средство электронной подписи владельца) - указывать CSP 4.0 или CSP 3.9? Если на сервер перед установкой УЦ 2.0 была установлена версия CSP 4.0 (для сервера) и устанавливается 5 вариант исполнения.
И на что влияет:
1. Указание в оиде 1.2.643.100.111, 3.9 или 4.0 ?
2. Установка на сервер CSP 4.0 (то что пользователи выпущенных ключей на данном УЦ смогут работать с этими ключами, только при установленном у них CSP 4.0 ? 3.9 уже не подойдет?) 1) Какая версия CSP установлена на сервере такую и указываете. 2) Нет. Нужно указывать ту версию, которая используется при создании запроса. Если пользователь создает запрос у себя на компьютере и у него установлена версия 3.6, то в его сертификат добавляется версия 3.6.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.05.2013(UTC) Сообщений: 103 Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Простите за "глупые вопросы", но за это спасибо "умной инструкции" Значит создали запрос в минкомсвязи на выпуск корневого серта. Минком одобрил, выпустили корневой. А дальше? Вид Диспетчера УЦ  1.jpg (161kb) загружен 63 раз(а).надпись вышестоящий ЦС неизвестен - так и останется? Все что нашел во всех инструкциях в поставке с УЦ, только это: 2.jpg (188kb) загружен 71 раз(а).Но во первых, как добраться до этого шага? И более того, попробовал для эксперимента - создаю новый ЦС или новый Администратор ЦС - до этого шага дохожу и там нет раздела загрузить сертификат из запроса 3.jpg (110kb) загружен 60 раз(а).Ну добавьте Вы инструкцию как с подчиненным сервером работать, нет информации вообще - сделали запрос, что дальше делать с выпущенным по запросу корневым....
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз
Поблагодарили: 568 раз в 545 постах
|
Автор: misteruic Простите за "глупые вопросы", но за это спасибо "умной инструкции" Значит создали запрос в минкомсвязи на выпуск корневого серта. Минком одобрил, выпустили корневой. А дальше? Вид Диспетчера УЦ 1.jpg (161kb) загружен 63 раз(а).надпись вышестоящий ЦС неизвестен - так и останется? Все что нашел во всех инструкциях в поставке с УЦ, только это: 2.jpg (188kb) загружен 71 раз(а).Но во первых, как добраться до этого шага? И более того, попробовал для эксперимента - создаю новый ЦС или новый Администратор ЦС - до этого шага дохожу и там нет раздела загрузить сертификат из запроса 3.jpg (110kb) загружен 60 раз(а).Ну добавьте Вы инструкцию как с подчиненным сервером работать, нет информации вообще - сделали запрос, что дальше делать с выпущенным по запросу корневым.... Здравствуйте. ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации. Пункт 2.4.2 Создание подчинённого ЦС (с наличием соединения с вышестоящим и без наличия соединения. В частности абзац: Цитата:Если вышестоящий ЦС одобрил запрос, то для установки сертификата необходимо выбрать пункт «Установить ответ на запрос из файла» и указать файл с сертификатом в формате DER.
Вкратце: 1. Зайдите в свой ЦС -> Администратор ЦС. 2. Выберите в правом углу смена ключа. 3. Выберите не создать новый запрос, а «Установить ответ на запрос из файла» |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.05.2013(UTC) Сообщений: 103 Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
См. скрин 3. Нет там такого пункта выбора. Только "установить сертификат из файла". Но не "установить ответ на запрос из файла"... Возможно инструкции не обновленные... по сборку
Выбрал установить "сертификат из файла" - это и есть сертификат Администратора ЦС - т.е. подчиненный главный сертификат моего уц?) выданный на 10 лет....
кстати при его просмотре - не видит поставщика сертификата - в цепочке тоже не отображается. На другом цепочка есть, может его там выгрузить в формате der и установить на сервере? ГУЦ который минкомсвязи... ставить так-же в доверенные?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
