logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline evil_genius  
#1 Оставлено : 31 мая 2018 г. 16:42:24(UTC)
evil_genius

Статус: Участник

Группы: Участники
Зарегистрирован: 28.05.2018(UTC)
Сообщений: 26
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
1) При переходе на новый ГОСТ 2012 по вашей инструкции: https://support.cryptopr...e-dlja-kkreditovnnykh-uc

я сменю ключ на том же самом ЦС (без создания отдельного ЦС)

далее при выпуске клиентских сертификатов на новом ГОСТе можно ли будет в случае необходимости выгрузить ключ в центре управления ключами, и загрузить старый (предыдущий) ключ на ГОСТе 2001, предположим для выпуска нескольких клиентских сертификатов на ГОСТе 2001, а затем обратно загрузить новый ключ и выпускать дальше продолжить клиентские ключи на новом ГОСТе?

Или для предусмотрения такой возможности лучше создать второй ЦС?

Интересуюсь для ситуации, когда клиенту потребуется ЭП для ИС, еще не готовой к новому ГОСТу

2) если в ЦС будет 2 ключа на разных гостах, и УЦ будет по вышеуказанной инструкции переведен командами на новый ГОСТ, сможет ли центр управления ключами загрузить предыдущий ключ?

3) Сможет ли ЦС работать одновременно с двумя ключами на разных ГОСТах для подписи издаваемых сертификатов?

4) сможет ли ЦС работать одновременно с двумя ключами на разных гостах для подписи СОС?
Offline Захар Тихонов  
#2 Оставлено : 19 июня 2018 г. 7:26:36(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,751
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 17 раз
Поблагодарили: 265 раз в 254 постах
Автор: evil_genius Перейти к цитате
1) При переходе на новый ГОСТ 2012 по вашей инструкции: https://support.cryptopr...e-dlja-kkreditovnnykh-uc

я сменю ключ на том же самом ЦС (без создания отдельного ЦС)

далее при выпуске клиентских сертификатов на новом ГОСТе можно ли будет в случае необходимости выгрузить ключ в центре управления ключами, и загрузить старый (предыдущий) ключ на ГОСТе 2001, предположим для выпуска нескольких клиентских сертификатов на ГОСТе 2001, а затем обратно загрузить новый ключ и выпускать дальше продолжить клиентские ключи на новом ГОСТе?

Или для предусмотрения такой возможности лучше создать второй ЦС?

Интересуюсь для ситуации, когда клиенту потребуется ЭП для ИС, еще не готовой к новому ГОСТу


Технически такая возможность есть. Но если ключ на ГОСТ 2001 уже истек - то нельзя.

Автор: evil_genius Перейти к цитате
2) если в ЦС будет 2 ключа на разных гостах, и УЦ будет по вышеуказанной инструкции переведен командами на новый ГОСТ, сможет ли центр управления ключами загрузить предыдущий ключ?


Этот вопрос такой же как и вопрос под номером 1.

Автор: evil_genius Перейти к цитате
3) Сможет ли ЦС работать одновременно с двумя ключами на разных ГОСТах для подписи издаваемых сертификатов?


Нет.

Автор: evil_genius Перейти к цитате
4) сможет ли ЦС работать одновременно с двумя ключами на разных гостах для подписи СОС?


Этот вопрос такой же как и вопрос под номером 3.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline evil_genius  
#3 Оставлено : 19 июня 2018 г. 8:28:01(UTC)
evil_genius

Статус: Участник

Группы: Участники
Зарегистрирован: 28.05.2018(UTC)
Сообщений: 26
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Правильно ли я понял смысл, что при переходе на новый ГОСТ на ПАК УЦ2.0 нужно однозначно создать отдельный ЦС? - так как после перехода на новый гост нужно еще будет какое-то время поддерживать уже изданные сертификаты старого госта и подписывать для них СОС.
Или, ключ на новом ГОСТе сможет подписать СОСы для предыдущих сертификатов?
Или может возникнуть нестыковка работ разных ИС из-за несоответствия алгоритма подписи сертификата и подписи СОС.?
Offline Захар Тихонов  
#4 Оставлено : 19 июня 2018 г. 8:31:37(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,751
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 17 раз
Поблагодарили: 265 раз в 254 постах
Автор: evil_genius Перейти к цитате
Правильно ли я понял смысл, что при переходе на новый ГОСТ на ПАК УЦ2.0 нужно однозначно создать отдельный ЦС? - так как после перехода на новый гост нужно еще будет какое-то время поддерживать уже изданные сертификаты старого госта и подписывать для них СОС.
Или, ключ на новом ГОСТе сможет подписать СОСы для предыдущих сертификатов?
Или может возникнуть нестыковка работ разных ИС из-за несоответствия алгоритма подписи сертификата и подписи СОС.?


Смена провайдера не запрещает выпускать на других ключах (с другими провайдерами) CRL. Это не MSCA. В УЦ 2.0. технически можно иметь три ключа и все на разных провайдерах (ГОСТ 2001, ГОСТ 2012, RSA).
Техническую поддержку оказываем тут.
Наша база знаний.
Offline evil_genius  
#5 Оставлено : 19 июня 2018 г. 8:36:58(UTC)
evil_genius

Статус: Участник

Группы: Участники
Зарегистрирован: 28.05.2018(UTC)
Сообщений: 26
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
как тогда понимать предыдущий ответ, что нельзя:

Цитата:
Автор: evil_genius Перейти к цитате
3) Сможет ли ЦС работать одновременно с двумя ключами на разных ГОСТах для подписи СОС?


Нет.

Отредактировано пользователем 19 июня 2018 г. 9:50:55(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#6 Оставлено : 19 июня 2018 г. 8:43:30(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,751
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 17 раз
Поблагодарили: 265 раз в 254 постах
Автор: evil_genius Перейти к цитате
как тогда понимать предыдущий ответ, что нельзя:

Цитата:
Автор: evil_genius Перейти к цитате
3) Сможет ли ЦС работать одновременно с двумя ключами на разных ГОСТах для подписи издаваемых сертификатов?


Нет.


Слово
Цитата:
одновременно
подразумевает работу одновременно обоих ключей. А технически можно загрузить только один, на ГОСТ 2001 или на ГОСТ 2012. Т.е. одновременно загрузить для работы два ключа - нельзя. Про возможность указано в первом ответе на первый ваш вопрос
Техническую поддержку оказываем тут.
Наша база знаний.
Offline evil_genius  
#7 Оставлено : 19 июня 2018 г. 9:12:03(UTC)
evil_genius

Статус: Участник

Группы: Участники
Зарегистрирован: 28.05.2018(UTC)
Сообщений: 26
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Для подписи СОС технически МОЖНО одновременно загрузить два ключа. Насчет трех не уверен. Кстати вопрос - можно ли больше двух?
Так вот если один ключ на гост-2001 а второй на 2012-м - будут они работать одновременно?
Offline Захар Тихонов  
#8 Оставлено : 19 июня 2018 г. 9:39:26(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,751
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 17 раз
Поблагодарили: 265 раз в 254 постах
Автор: evil_genius Перейти к цитате
Для подписи СОС технически МОЖНО одновременно загрузить два ключа. Насчет трех не уверен. Кстати вопрос - можно ли больше двух?
Так вот если один ключ на гост-2001 а второй на 2012-м - будут они работать одновременно?


Как говорилось и тут, смена провайдера не запрещает выпускать CRL на разных ключах. Да, для подписи CRL можно загрузить более одного ключа.

Речь выше шла про ключ подписи сертификатов конечно. Два ключа для подписи сертификатов загрузить нельзя.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
evil_genius оставлено 19.06.2018(UTC)
Offline evil_genius  
#9 Оставлено : 19 июня 2018 г. 10:45:12(UTC)
evil_genius

Статус: Участник

Группы: Участники
Зарегистрирован: 28.05.2018(UTC)
Сообщений: 26
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
Автор: evil_genius Перейти к цитате
Для подписи СОС технически МОЖНО одновременно загрузить два ключа. Насчет трех не уверен. Кстати вопрос - можно ли больше двух?
Так вот если один ключ на гост-2001 а второй на 2012-м - будут они работать одновременно?


Как говорилось и тут, смена провайдера не запрещает выпускать CRL на разных ключах. Да, для подписи CRL можно загрузить более одного ключа.

Речь выше шла про ключ подписи сертификатов конечно. Два ключа для подписи сертификатов загрузить нельзя.


спасибо за разъяснения.

1) Я оставлю для подписи СОС два ключа на разных ГОСТах на одном ЦС.
Что нужно будет сделать 31.12.2018 с ключом ГОСТ-2001 и с действующими сертификатами по тому же ГОСТу, учитывая, что подписывать СОСы ключом по ГОСТ-2001 после 31.12.2018 будет нельзя.?

2) есть ли какая-то принципиальная разница в связи с вышеизложенным, создавать или не создавать отдельный ЦС для нового ГОСТа?

3) если новый ЦС создавать, не будет ли накладок с именем ЦС (одинаковые реквизиты CN.)?
Offline Захар Тихонов  
#10 Оставлено : 19 июня 2018 г. 10:55:33(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,751
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 17 раз
Поблагодарили: 265 раз в 254 постах
Автор: evil_genius Перейти к цитате

1) Я оставлю для подписи СОС два ключа на разных ГОСТах на одном ЦС.
Что нужно будет сделать 31.12.2018 с ключом ГОСТ-2001 и с действующими сертификатами по тому же ГОСТу, учитывая, что подписывать СОСы ключом по ГОСТ-2001 после 31.12.2018 будет нельзя.?


Если регулирующие органы в этом направление ни чего не поменяют, то до 31.12.18 потребуется вывести из эксплуатации ключ ЦС на ГОСТ 2001 и выпустить финальный CRL.

Автор: evil_genius Перейти к цитате
2) есть ли какая-то принципиальная разница в связи с вышеизложенным, создавать или не создавать отдельный ЦС для нового ГОСТа?


Есть разница.

Автор: evil_genius Перейти к цитате
3) если новый ЦС создавать, не будет ли накладок с именем ЦС (одинаковые реквизиты CN.)?


Два ЦС с одинаковым CN в рамках одного сервера создать нельзя. Кто-то должен быть с другим именем (например первый с переименованным CN).
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
evil_genius оставлено 19.06.2018(UTC)
Offline evil_genius  
#11 Оставлено : 19 июня 2018 г. 11:04:07(UTC)
evil_genius

Статус: Участник

Группы: Участники
Зарегистрирован: 28.05.2018(UTC)
Сообщений: 26
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Цитата:
Если регулирующие органы в этом направление ни чего не поменяют, то до 31.12.18 потребуется вывести из эксплуатации ключ ЦС на ГОСТ 2001 и выпустить финальный CRL.

а для этого нельзя иметь действующие сертификаты, верно?
вообще действующие на всем ЦС или только те действующие, которые подписаны выводимым из эксплуатации ключом?
Offline Захар Тихонов  
#12 Оставлено : 19 июня 2018 г. 11:36:17(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,751
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 17 раз
Поблагодарили: 265 раз в 254 постах
Автор: evil_genius Перейти к цитате

а для этого нельзя иметь действующие сертификаты, верно?
вообще действующие на всем ЦС или только те действующие, которые подписаны выводимым из эксплуатации ключом?


Вот тут указано:
Цитата:
Использование схемы подписи ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года не допускается.


Более подробно, вам ответят в регулирующих органах.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline evil_genius  
#13 Оставлено : 19 июня 2018 г. 12:16:37(UTC)
evil_genius

Статус: Участник

Группы: Участники
Зарегистрирован: 28.05.2018(UTC)
Сообщений: 26
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
Автор: evil_genius Перейти к цитате

а для этого нельзя иметь действующие сертификаты, верно?
вообще действующие на всем ЦС или только те действующие, которые подписаны выводимым из эксплуатации ключом?


Вот тут указано:
Цитата:
Использование схемы подписи ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года не допускается.


Более подробно, вам ответят в регулирующих органах.


Чтобы избежать возможных технических и юридических проблем. что бы Вы посоветовали,- создавать отдельный ЦС под новый ГОСТ-2012 или продолжить выпуск таких новых сертификатов на текущем ЦС? (на текущем ЦС уже два ключа: один для создания+СОС, другой - только для СОС.)
Offline Захар Тихонов  
#14 Оставлено : 19 июня 2018 г. 12:19:52(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,751
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 17 раз
Поблагодарили: 265 раз в 254 постах
Вариант со сменой провайдера, по моему мнению, выглядит лучше.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline evil_genius  
#15 Оставлено : 19 июня 2018 г. 12:27:45(UTC)
evil_genius

Статус: Участник

Группы: Участники
Зарегистрирован: 28.05.2018(UTC)
Сообщений: 26
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
Вариант со сменой провайдера, по моему мнению, выглядит лучше.


говоря о новом ЦС, я имел ввиду тот же центр сертификации на том же сервере.
Вы тоже?
Если да, то какие у Вас аргументы за то, чтобы продолжить на текущем ЦС?

Отредактировано пользователем 19 июня 2018 г. 13:46:52(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#16 Оставлено : 20 июня 2018 г. 7:15:28(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,751
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 17 раз
Поблагодарили: 265 раз в 254 постах
Автор: evil_genius Перейти к цитате
Автор: Захар Тихонов Перейти к цитате
Вариант со сменой провайдера, по моему мнению, выглядит лучше.


говоря о новом ЦС, я имел ввиду тот же центр сертификации на том же сервере.
Вы тоже?
Если да, то какие у Вас аргументы за то, чтобы продолжить на текущем ЦС?


В каком контексте?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline evil_genius  
#17 Оставлено : 20 июня 2018 г. 7:45:37(UTC)
evil_genius

Статус: Участник

Группы: Участники
Зарегистрирован: 28.05.2018(UTC)
Сообщений: 26
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
Автор: evil_genius Перейти к цитате
Автор: Захар Тихонов Перейти к цитате
Вариант со сменой провайдера, по моему мнению, выглядит лучше.


говоря о новом ЦС, я имел ввиду тот же центр сертификации на том же сервере.
Вы тоже?
Если да, то какие у Вас аргументы за то, чтобы продолжить на текущем ЦС?


В каком контексте?


Цитата:
Чтобы избежать возможных технических и юридических проблем. что бы Вы посоветовали,- создавать отдельный ЦС под новый ГОСТ-2012 или продолжить выпуск таких новых сертификатов на текущем ЦС? (на текущем ЦС уже два ключа: один для создания+СОС, другой - только для СОС.)
Вверх

Цитата:
говоря о новом ЦС, я имел ввиду тот же центр сертификации на том же сервере.

Вы ответили:
Цитата:
Вариант со сменой провайдера, по моему мнению, выглядит лучше.

какие у Вас аргументы за то, чтобы продолжить на текущем ЦС?
Offline Захар Тихонов  
#18 Оставлено : 20 июня 2018 г. 7:48:43(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,751
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 17 раз
Поблагодарили: 265 раз в 254 постах
Меньше настроек.
Но решать конечно вам, как поступать.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline randomname  
#19 Оставлено : 3 августа 2018 г. 6:01:55(UTC)
randomname

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.08.2018(UTC)
Сообщений: 6

Сказал(а) «Спасибо»: 3 раз
Здравствуйте! Есть вопрос по переходу на новый ГОСТ с созданием второго экземпляра ЦС. Новый сертификат получен, второй экземпляр ЦС создан. Теперь необходим подключить ЦР ко второму ЦС. Вопрос по выпуску клиентского сертификата, правильно ли будет имя ЦР назначить таким же, как для ЦР первого экземпляра ЦС?
Offline Захар Тихонов  
#20 Оставлено : 3 августа 2018 г. 6:27:34(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,751
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 17 раз
Поблагодарили: 265 раз в 254 постах
Не имеет значение какое имя.
Но если хотите рекомендаций, то сделайте клиентский сертификат ЦР квалифицированным - ЖТЯИ.00078 01 90 03 ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
randomname оставлено 03.08.2018(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
4 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.