Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Как выпустить сертификат с полем: "Ограничения исп-я квал. сертификата"?
Статус: Участник
Группы: Участники
Зарегистрирован: 17.11.2017(UTC) Сообщений: 14
|
Согласно пп. 7 п. 2 ст. 17 63-фз квалифицированный сертификат должен содержать информацию об ограничениях использования квалифицированного сертификата. И в приказе ФСБ (№ 795) тоже указано, что должен. Возникает вопрос, как это реализовать на УЦ 2.0, там ведь набор шаблонов сертификатов, который не предусматривает такое поле. Еще в приказе ФСБ (п. 23) указано, что для включения в квалифицированный сертификат иной информации о владельце квалифицированного сертификата, для которой не предусмотрены соответствующие стандартные атрибуты имени, в том числе информации о правомочиях владельца квалифицированного сертификата и сроке их действия, рекомендуется использовать дополнение subjectAlternativeName. Я так понимаю, что кроме как в subjectAlternativeName некуда пихать эту информацию об ограничениях. Но почему при попытке создать новый шаблон, предлагается выбрать из уже сформированных? А в уже сформированных нет subjectAlternativeName.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.11.2014(UTC) Сообщений: 219 Поблагодарили: 27 раз в 27 постах
|
Относительно: «Согласно пп. 7 п. 2 ст. 17 63-фз квалифицированный сертификат должен содержать информацию об ограничениях использования квалифицированного сертификата. И в приказе ФСБ (№ 795) тоже указано, что должен. Возникает вопрос, как это реализовать на УЦ 2.0, там ведь набор шаблонов сертификатов, который не предусматривает такое поле.»
1. Не должен, а может. 2. Приказ ФСБ «О форме квалифицированного сертификата» не устанавливает, куда и в каком виде сведения об ограничениях нужно класть. Так что это сейчас - не нормативно не регламентировано. 3. Часто кладут в расширение Extended Key Usage, и кладут ОИДы. Но такие ограничения будут работать в рамках какой-то конкретной информационной системы, участники которой о таких ограничениях знают.
Относительно: «Еще в приказе ФСБ (п. 23) указано, что для включения в квалифицированный сертификат иной информации о владельце квалифицированного сертификата, для которой не предусмотрены соответствующие стандартные атрибуты имени, в том числе информации о правомочиях владельца квалифицированного сертификата и сроке их действия, рекомендуется использовать дополнение subjectAlternativeName. Я так понимаю, что кроме как в subjectAlternativeName некуда пихать эту информацию об ограничениях.»
В SubjAltName сведения об ограничениях применения сертификата класть не нужно, поскольку ограничения применения - это не информация о владельце сертификата.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.11.2017(UTC) Сообщений: 14
|
Автор: skorolev Относительно: 3. Часто кладут в расширение Extended Key Usage, и кладут ОИДы. Но такие ограничения будут работать в рамках какой-то конкретной информационной системы, участники которой о таких ограничениях знают.
В смысле не будут работать? Технически что-ли ограничения не будет? Это понятно. Юридически они работать будут. Никого не волнует, знал или не знал. Все уже знают о том, что такие ограничения возможны согласно 63-фз, закон опубликован, все прочитали, кто не прочитал - его проблемы. Так вот, если документ подписан КЭП, а лицо, проверяя подпись в документе не обратило внимание на ограничения, указанные в сертификате, подпись недействительна в силу 63-фз, это есть проблемы проверяющего. Автор: skorolev Относительно: «Еще в приказе ФСБ (п. 23) указано, что для включения в квалифицированный сертификат иной информации о владельце квалифицированного сертификата, для которой не предусмотрены соответствующие стандартные атрибуты имени, в том числе информации о правомочиях владельца квалифицированного сертификата и сроке их действия, рекомендуется использовать дополнение subjectAlternativeName. Я так понимаю, что кроме как в subjectAlternativeName некуда пихать эту информацию об ограничениях.»
В SubjAltName сведения об ограничениях применения сертификата класть не нужно, поскольку ограничения применения - это не информация о владельце сертификата.
Конечно это не информация о владельце сертификата, я по-другому написал, я написал: "информации о правомочиях владельца квалифицированного сертификата". А информация о правомочиях владельца квалифицированного сертификата - это и есть ограничения использования сертификата. Допустим КЭП на юр. лицо. Представитель юр. лица действует на основании доверенности. В доверенности указаны правомочия представителя. Если в доверенности не указаны определенные права представителя, то его у них нет. Значит правомочия представителя ОГРАНИЧЕНЫ доверенностью. Очевидно, что представитель не вправе подписывать с помощью КЭП документы за пределами своих полномочий, а значит ограничения использования сертификата - это и есть правомочия представителя.
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Как выпустить сертификат с полем: "Ограничения исп-я квал. сертификата"?
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close