Статус: Новичок
Группы: Участники
Зарегистрирован: 03.08.2018(UTC) Сообщений: 6
Сказал(а) «Спасибо»: 3 раз
|
Если у нас аккредитованный ЦС, то разве клиентский сертификат не будет квалифицированным без доп настроек? Не возникнет ли конфликтов на ЦР при добавлении подключения к ЦС с повторяющимся именем ЦР?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,177 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 567 раз в 544 постах
|
Автор: randomname Если у нас аккредитованный ЦС, то разве клиентский сертификат не будет квалифицированным без доп настроек? Конечно нет. Все требует настройки. Автор: randomname Не возникнет ли конфликтов на ЦР при добавлении подключения к ЦС с повторяющимся именем ЦР? нет. |
|
1 пользователь поблагодарил Захар Тихонов за этот пост.
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.08.2018(UTC) Сообщений: 6
Сказал(а) «Спасибо»: 3 раз
|
Квалифицированный сертификат ЦР можно выпустить только с помощью консольного интерфейса?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,177 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 567 раз в 544 постах
|
Описанного другого способа нет. |
|
1 пользователь поблагодарил Захар Тихонов за этот пост.
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.08.2018(UTC) Сообщений: 6
Сказал(а) «Спасибо»: 3 раз
|
Спасибо! Наверное, глупые вопросы, просто не хочется проблем с УЦ.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC) Сообщений: 145
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 2 раз в 2 постах
|
Автор: Захар Тихонов Не имеет значение какое имя. Но если хотите рекомендаций, то сделайте клиентский сертификат ЦР квалифицированным - ЖТЯИ.00078 01 90 03 ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации Подскажите, каким должно быть значение CN в служебных квалифицированных сертификатах? Разве не название организации? В примерах из руководства: Для веб-сервера: $dn.CommonName = 'Веб-сервер' Для сертификата ЦР вообще 2 CN: CN = $RAFullDnsName, CN = 'Пробный ЦР'
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,177 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 567 раз в 544 постах
|
Если сертификат выдается на "Организацию", то да наименование организации. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC) Сообщений: 145
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 2 раз в 2 постах
|
То есть в документации, когда писались 'Веб-сервер' и 'Пробный ЦР', имелись в виду сотрудники организации с такими ФИО? :-) Достаточно не очевидно А как быть с двумя CN в серте ЦР ? И еще 2 вопроса в догонку: Нужно ли регистрировать в ЕСИА служебные сертификаты? Как поступать с регистрацией "косячных" (ошиблись при настройке или не те данные заполнили) сертов в ЕСИА? Достаточно ли просто отозвать и забыть? Отредактировано пользователем 3 августа 2018 г. 15:59:54(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,177 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 567 раз в 544 постах
|
Пример не совсем идеальный. Нужно ориентироваться на 795 приказ и правильные выпускать сертификаты. Вопросы относящиеся к ЕСИА трудно ответить. Напишите нам их на info@cryptopro.ru |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.04.2009(UTC) Сообщений: 125 Сказал «Спасибо»: 2 раз Поблагодарили: 28 раз в 20 постах
|
Автор: _alexander Подскажите, каким должно быть значение CN в служебных квалифицированных сертификатах? Разве не название организации? В примерах из руководства: Для веб-сервера: $dn.CommonName = 'Веб-сервер' Для сертификата ЦР вообще 2 CN: CN = $RAFullDnsName, CN = 'Пробный ЦР'
Служебные сертификаты, это по сути сертификаты ИС, в CN наименование организации, DNS имя по сути д.б. в SAN (по инструкции см. ниже). 795 приказ не описывает структуру сертификатов для ИС (точнее структура как для ЮЛ (как для сертификатов ЦС), без СНИЛС, ФИО, подразделения, должности). В общем случае для ИС (когда CN одно и то же), для возможности различать сертификаты, рекомендую добавить UnName (неструктурированное имя) в "Дополнительное имя субъекта" (SAN) по инструкции Добавление в расширение "Дополнительное имя субъекта" (SubjectAlt..., используя "Имя каталога" По вопросу регистрации сертификатов ИС в ЕСИА: В ПО "КриптоПро Шлюз УЦ-СМЭВ" есть возможность их регистрировать (проверено - работает, тип владельца - ИС организации). Служебные сертификаты УЦ, которые нигде (во вне ИС ПАК УЦ) иными участниками информ. взаимодействия (по 63-ФЗ) не используются регистрировать в ЕСИА нет смысла (нет юр. значимомсти взаимодействия). Имеет смысл регистрировать в ЕСИА сертификаты, которые "уходят во вне" (например для TSP и OCSP служб, сертификат веб ЦР). Вопрос для разработчиков: Можно опубликовать HTML форму автономной работы для клиентов VipNet (mht файл) с возможностью формирования запросов по ГОСТ 2012 для их обработки на УЦ 2.0? Или - что нужно поменять в форме HTML-формы для автономной генерации ключа. (lProviderType и т.д) для ГОСТ Р 34.10-2012 256 бит. Нашел только ProviderName (Infotecs GOST 2012/512 Cryptographic Service Provider - 77) здесьОтредактировано пользователем 4 августа 2018 г. 11:14:24(UTC)
| Причина: Не указана
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close