Статус: Новичок
Группы: Участники
Зарегистрирован: 09.08.2018(UTC)
Сообщений: 3
Сказал(а) «Спасибо»: 2 раз
|
Получили и установили новый корень (2012ГОСТ) на том же ЦС. В службе управления сейчас и старый и новый стоят на "Изготовлении CRL", на "Изготовлении сертификатов" только новый. CRL на этом ЦС с виду корректно перевыпускается (если её открыть, то там указан 2012ГОСТ) и, очевидно, подписывается она новым корнем (если CRL открыть - там стоит идентификатор только нового корня). Это правильная ситуация?
Просто сегодня попробовал войти на портал Госуслуг по ключу, выпущенному на этом ЦС, но ещё на старом корне, пишет что подпись недействительна (а до начала подписания CRL новым корнем - заходил) - я сразу на CRL грешить стал. ПРИ ЭТОМ на портал налоговой по ней же входит!
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2017(UTC) Сообщений: 216   Откуда: Helsinki Сказал «Спасибо»: 2 раз
Поблагодарили: 139 раз в 51 постах
|
Автор: okalinin  Получили и установили новый корень (2012ГОСТ) на том же ЦС. В службе управления сейчас и старый и новый стоят на "Изготовлении CRL", на "Изготовлении сертификатов" только новый. CRL на этом ЦС с виду корректно перевыпускается (если её открыть, то там указан 2012ГОСТ) и, очевидно, подписывается она новым корнем (если CRL открыть - там стоит идентификатор только нового корня). Это правильная ситуация?
Просто сегодня попробовал войти на портал Госуслуг по ключу, выпущенному на этом ЦС, но ещё на старом корне, пишет что подпись недействительна (а до начала подписания CRL новым корнем - заходил) - я сразу на CRL грешить стал. ПРИ ЭТОМ на портал налоговой по ней же входит! У вас должны быть 2 CRL: старого ключа и нового. Вероятно, вы опубликовали по адресу старого CRL новый CRL, поэтому сертификаты, выданные старым ключом, не проверяются. Отредактировано пользователем 9 августа 2018 г. 10:17:26(UTC)
| Причина: Не указана |
D2/CB-4+BF2/A-DASH-4+BF2 |
 1 пользователь поблагодарил roflanVikared за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.08.2018(UTC)
Сообщений: 3
Сказал(а) «Спасибо»: 2 раз
|
Автор: roflanVikared Автор: okalinin Получили и установили новый корень (2012ГОСТ) на том же ЦС. В службе управления сейчас и старый и новый стоят на "Изготовлении CRL", на "Изготовлении сертификатов" только новый. CRL на этом ЦС с виду корректно перевыпускается (если её открыть, то там указан 2012ГОСТ) и, очевидно, подписывается она новым корнем (если CRL открыть - там стоит идентификатор только нового корня). Это правильная ситуация?
Просто сегодня попробовал войти на портал Госуслуг по ключу, выпущенному на этом ЦС, но ещё на старом корне, пишет что подпись недействительна (а до начала подписания CRL новым корнем - заходил) - я сразу на CRL грешить стал. ПРИ ЭТОМ на портал налоговой по ней же входит! У вас должны быть 2 CRL: старого ключа и нового. Вероятно, вы опубликовали по адресу старого CRL новый CRL, поэтому сертификаты, выданные старым ключом, не проверяются. Спасибо за ответ, не могу разобраться как настроить подписание каждого CRL собственным корнем, можно добавить ещё один путь выкладки CRL, но он туда выкладывается подписанный только новым.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2017(UTC) Сообщений: 216 Откуда: Helsinki Сказал «Спасибо»: 2 раз
Поблагодарили: 139 раз в 51 постах
|
Автор: okalinin ...но он туда выкладывается подписанный только новым. Туда это куда? В папке C:\ProgramData\Crypto Pro\CDP на ЦР сколько у вас файлов CRL? Должны быть, как минимум, 2. |
D2/CB-4+BF2/A-DASH-4+BF2 |
1 пользователь поблагодарил roflanVikared за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
|
CRL на ЦС находятся в хранилище списков отзыва промежуточных центров сертификации локального компьютера. Написал утилитку, которая их оттуда экспортирует. Возможно, у КриптоПро готовое такое есть, не искал.
а В папке C:\ProgramData\Crypto Pro\CDP на ЦР
может вообще ничего не быть.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.08.2018(UTC)
Сообщений: 3
Сказал(а) «Спасибо»: 2 раз
|
Автор: roflanVikared Автор: okalinin ...но он туда выкладывается подписанный только новым. Туда это куда? В папке C:\ProgramData\Crypto Pro\CDP на ЦР сколько у вас файлов CRL? Должны быть, как минимум, 2. Совсем не обратил внимания, что для генерации имён CRL файлов можно использовать переменные. Имя до этого было указано без них, соотв. оба CRL генерировались с одинаковым именем и заменялись друг дружкой :) В итоге сделал так: в консоли, в свойствах ЦСа, подставил переменную C:/CDP/ <IssuerCertificateHash>.crl => на ЦСе генерятся два СОСа (на разных корнях 2001 и 2012) и кладутся в папку с разными именами. Т.к. в сертах на старом корне указан путь к СОСам с определённым именем файла - сделал .bat файл, переименующий в нужно имя, после этого переименованные файлы выкладываются на веб-ресурсы. Правда немного смутило вот что: содержание СОСов то идентичное! (хоть и подписаны они разными корнями). Т.е. это ничего, что в СОС нового корня попали серты, сгенеренные и отозванные на старом корне? Также серты, которые в будущем будут сгенерены и отозваны на новом корне попадут в СОС старого корня.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 11.01.2017(UTC) Сообщений: 120  Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 5 раз в 5 постах
|
Здравствуйте!
Допустим , ситуация такая:был выбран вариант перехода на ГОСТ2012 с созданием нового экземпляра ЦС. Изначальный соответственно стал называться <имя ЦС>(ГОСТ 2001).
Теперь, если через несколько месяцев, когда будет подходить к концу срок действия корневого для <имя ЦС>(ГОСТ 2001), потребуется выпустить новый корневой для него, правильно ли я понимаю, что:
1. Переименовать текущий экземпляр на <имя ЦС>(ГОСТ 2012)
2. <имя ЦС>(ГОСТ 2001) изменить на <имя ЦС>
3. создать запрос на сертификат
4. вернуть всё как было - <имя ЦС> на <имя ЦС>(ГОСТ 2001), <имя ЦС>(ГОСТ 2012) на <имя ЦС>
?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.05.2018(UTC) Сообщений: 31 Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: okalinin Т.е. это ничего, что в СОС нового корня попали серты, сгенеренные и отозванные на старом корне? Также серты, которые в будущем будут сгенерены и отозваны на новом корне попадут в СОС старого корня. так и должно быть
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.05.2018(UTC) Сообщений: 31 Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: bstas Теперь, если через несколько месяцев, когда будет подходить к концу срок действия корневого для <имя ЦС>(ГОСТ 2001), потребуется выпустить новый корневой для него, правильно ли я понимаю, что: Зачем этим заниматься - через несколько месяцев будет конец года, и пользоваться ГОСТ-2001 будет нельзя. хотя если некоторые ИС (такие как ГИС ЖКХ, Росреестр) не удосужаться перейтина поддержку ГОСТ-2012 то придется колдовать по схеме: 1) переименовать ЦС №2 на ГОСТ-2012 с добавкой к имени приставки ГОСТ-2012 2) переименовать ЦС №1 на госте-2001 на "название организации по выписке" 3) сделать запрос на корень в МКС. ждать корень. Установить корень. 4) либо оставить так, либо переименовать ЦС по своему усмотрению. С залогом на 2019 год - лучше ЦС на госте-2012 назвать только "название организации по выписке", так как на нем в дальнейшей жизни будут делаться запросы на корень-2012
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 11.01.2017(UTC) Сообщений: 120 Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 5 раз в 5 постах
|
Автор: evil_genius Автор: bstas Теперь, если через несколько месяцев, когда будет подходить к концу срок действия корневого для <имя ЦС>(ГОСТ 2001), потребуется выпустить новый корневой для него, правильно ли я понимаю, что: Зачем этим заниматься - через несколько месяцев будет конец года, и пользоваться ГОСТ-2001 будет нельзя. хотя если некоторые ИС (такие как ГИС ЖКХ, Росреестр) не удосужаться перейтина поддержку ГОСТ-2012 то придется колдовать по схеме: 1) переименовать ЦС №2 на ГОСТ-2012 с добавкой к имени приставки ГОСТ-2012 2) переименовать ЦС №1 на госте-2001 на "название организации по выписке" 3) сделать запрос на корень в МКС. ждать корень. Установить корень. 4) либо оставить так, либо переименовать ЦС по своему усмотрению. С залогом на 2019 год - лучше ЦС на госте-2012 назвать только "название организации по выписке", так как на нем в дальнейшей жизни будут делаться запросы на корень-2012 Разве я не тоже самое написал? Зачем дублировать? По поводу Автор: evil_genius
Зачем этим заниматься - через несколько месяцев будет конец года, и пользоваться ГОСТ-2001 будет нельзя.
если у вас УЦ может эти пару месяцев не работать - я вам завидую. Отредактировано пользователем 21 августа 2018 г. 11:58:06(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
