Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Руслан  
#1 Оставлено : 16 марта 2009 г. 20:08:08(UTC)
Руслан

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 43
Мужчина
Откуда: Казань

Здравствуйте.

На сегодняшний день имеется действующий корневой УЦ (развернут КриптоПро УЦ 1.4) и пользователи, которым уже выданы сертификаты от этого же УЦ.
В скором будущем планируется подчинение данного УЦ другому по иерархической моделе.
Возможно ли, чтобы переиздания сертификатов не было? Или же все равно надо еще раз регистрировать пользователей и заново выдавать им сертификаты?

Что будет, при той же схеме, если УЦ будут иметь одноуровневые отношения?
Offline Юрий Маслов  
#2 Оставлено : 17 марта 2009 г. 13:02:22(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Руслан написал:
Возможно ли, чтобы переиздания сертификатов не было? Или же все равно надо еще раз регистрировать пользователей и заново выдавать им сертификаты?

Нет, без переиздания сертификатов это невозможно сделать. Как только УЦ становится подчиненным, то у УЦ будет новый ключ и новый сертификат уполномоченного лица УЦ (ключ и сертификат ЦС), а старого не будет. А как тогда аннулировать сертификаты пользователей в случае отзыва? Поэтому применяют схему плавного перехода. УЦ старый остается (со средствами автоматизации на одном сервере и правом только аннулировать сертификаты, без изготовления новых) и создается новый, подчиненный УЦ. На новом регистрируются новые пользователи и старые, у которым пришло время менять ключи и сертификаты. Т.о. максимум через 1 год и 3 месяца Вы переведете всех пользователей на новый УЦ и реестрый старого сдадите в архив, а сам старый УЦ можно будет уничтожать..

Руслан написал:
Что будет, при той же схеме, если УЦ будут иметь одноуровневые отношения?

Не понял вопроса?! Пишите, что "При той же схеме". Но раньше Вы писали что подчиненный УЦ по иерархической модели. Тогда при чем тут "УЦ будут иметь одноуровневые отношения"?
С уважением,
КРИПТО-ПРО
Offline Руслан  
#3 Оставлено : 17 марта 2009 г. 14:14:08(UTC)
Руслан

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 43
Мужчина
Откуда: Казань

В последнем вопросе имеется ввиду следующее: есть действующий УЦ, которому необходимо установить одноуровневые отношения с другим УЦ))) Что в этом случае надо делать? надо ли переиздавать сертификаты и перерегистрировать пользователей?
Offline Юрий Маслов  
#4 Оставлено : 17 марта 2009 г. 14:35:21(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Это уже получается сетевая модель с помощью кросс-сертификации. В этом случае сертификатов переиздавать и перерегистрировать пользователей не надо.
С уважением,
КРИПТО-ПРО
Offline CryptoMan  
#5 Оставлено : 7 мая 2009 г. 17:55:11(UTC)
CryptoMan

Статус: Участник

Группы: Участники
Зарегистрирован: 30.04.2009(UTC)
Сообщений: 13
Откуда: Москва

Поясните, пожалуйста, процесс аннулирования сертификатов. Я правильно понял - внепланавая смена сертификата уполномоченного УЦ влечет перевыпуск сертификатов пользователей УЦ?
Offline Юрий Маслов  
#6 Оставлено : 7 мая 2009 г. 19:13:06(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Причиной внеплановой смены сертификата уполномоченного УЦ может быть только компрометация закрытого ключа уполномоченного УЦ либо его уничтожение (порча ключевого носителя или действия его владельца по уничтожения). В любом случае, ключа больше нет или им нельзя пользоваться. Если ключа нет, то Вы не можете аннулировать сертификат пользователя УЦ т.к. нечем подписать СОС. Если ключ скомпрометирован, то Вы тоже не можете аннулировать сертификат пользователя УЦ т.к. опять не можете воспользоваться ключем.
Поэтому в случае компрометации закрытого ключа уполномоченного УЦ делаются следующие действия:
1. Уведомляете Росинформтехнологии о факте компрометации и аннулировании сертификата уполномоченного УЦ
2. Уведомляете полтзователей УЦ (размещение информации о факте на сайте УЦ и/или в СМИ, письма шлёте и т.д.)
3. Делаете новый ключ и новый сертификат уполномоченного УЦ
4. Изготавливаете ВСЕМ пользователям УЦ новые сертификаты

Вы это хотели знать?

Если Вы хотели знать как проводится аннулировании сертификата пользователя УЦ, то почитайте соответствующий раздел Регламента УЦ ООО "КРИПТО-ПРО", опубликованного тут http://cpca.cryptopro.ru...ament/reglamentcentr.pdf
С уважением,
КРИПТО-ПРО
Offline CryptoMan  
#7 Оставлено : 7 мая 2009 г. 21:21:25(UTC)
CryptoMan

Статус: Участник

Группы: Участники
Зарегистрирован: 30.04.2009(UTC)
Сообщений: 13
Откуда: Москва

Не срвсем. Меня интересует техническая сторона процесса. Возьмём ситуацию, когда уполномоченный УЦ сломал токен. Ключа больше нет. Почему нельзя изготовить уполномоченному новый ключ (и сертификат), которым он будет аннулировать сертификаты пользователей?
Offline Юрий Маслов  
#8 Оставлено : 12 мая 2009 г. 14:00:15(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Технически есть одна проблема. Заключается она в том, что при проверке статуса сертификата по CRL на платформе Windows, проверяется, что CRL подписан именно тем же ключем, что сам сертификат пользователя. А в случае если, "изготовить уполномоченному новый ключ (и сертификат), которым он будет аннулировать сертификаты пользователей", то эта проверка не пройдет и CRL не будет использован для определения статуса сертификата пользователя.
С уважением,
КРИПТО-ПРО
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.