Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline NEW DME  
#1 Оставлено : 26 декабря 2019 г. 14:23:28(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 101

Сказал(а) «Спасибо»: 82 раз
Поблагодарили: 1 раз в 1 постах


Здравствуйте,

на Сервере ЦС имеется возможность задавать срок действия закрытых ключей, генерируемых при выпуске сертификатов.
Подскажите, пожалуйста, данная настройка распространяется только на ключи, генерируемые через Консоль управления ЦР?
т.е. если запрос пришёл откуда-то извне, то срок действия ключа может отличаться (завит от того, как определено в CSP)?
Offline Захар Тихонов  
#2 Оставлено : 26 декабря 2019 г. 14:44:42(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,546
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 449 раз в 433 постах
Здравствуйте.

Если в запросе указаны сроки действия и в шаблоне установлены галки, то они будут использоваться. Т.е. главное правильно запрос сформировать.
Обсуждалось здесь
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
NEW DME оставлено 26.12.2019(UTC)
Offline roflanVikared  
#3 Оставлено : 26 декабря 2019 г. 14:46:20(UTC)
roflanVikared

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2017(UTC)
Сообщений: 196
Мужчина
Финляндия
Откуда: Helsinki

Сказал «Спасибо»: 2 раз
Поблагодарили: 67 раз в 44 постах
Автор: NEW DME Перейти к цитате


Здравствуйте,

на Сервере ЦС имеется возможность задавать срок действия закрытых ключей, генерируемых при выпуске сертификатов.
Подскажите, пожалуйста, данная настройка распространяется только на ключи, генерируемые через Консоль управления ЦР?
т.е. если запрос пришёл откуда-то извне, то срок действия ключа может отличаться (завит от того, как определено в CSP)?


Зависит от настроек расширения "Период действия ключа ЭП" в шаблоне на сервере ЦС: если приоритет имеет значение из запроса, будет игнорироваться указанный вам срок (т.е. для запросов извне срок может быть другим), в противном случае - для всех одинаковый заданный вами.
D2/CB-4+BF2/A-DASH-4+BF2
thanks 1 пользователь поблагодарил roflanVikared за этот пост.
NEW DME оставлено 26.12.2019(UTC)
Offline NEW DME  
#4 Оставлено : 26 декабря 2019 г. 14:51:30(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 101

Сказал(а) «Спасибо»: 82 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
Здравствуйте.

Если в запросе указаны сроки действия и в шаблоне установлены галки, то они будут использоваться. Т.е. главное правильно запрос сформировать.
Обсуждалось здесь


ну я про то что, есть, например, какой-то файл запроса уже сформированный непонятно где, соответственно имеется и ключ.
Так вот срок действия этого ключа может быть теоретически любым и не соответствовать сроку действия сертификата, полученного при обработке этого запроса на УЦ?
Offline NEW DME  
#5 Оставлено : 26 декабря 2019 г. 14:55:39(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 101

Сказал(а) «Спасибо»: 82 раз
Поблагодарили: 1 раз в 1 постах
Автор: roflanVikared Перейти к цитате
Автор: NEW DME Перейти к цитате


Здравствуйте,

на Сервере ЦС имеется возможность задавать срок действия закрытых ключей, генерируемых при выпуске сертификатов.
Подскажите, пожалуйста, данная настройка распространяется только на ключи, генерируемые через Консоль управления ЦР?
т.е. если запрос пришёл откуда-то извне, то срок действия ключа может отличаться (завит от того, как определено в CSP)?


Зависит от настроек расширения "Период действия ключа ЭП" в шаблоне на сервере ЦС: если приоритет имеет значение из запроса, будет игнорироваться указанный вам срок (т.е. для запросов извне срок может быть другим), в противном случае - для всех одинаковый заданный вами.



а если при генерации запроса использовалось ПО КриптоПро CSP 5.0 R1 , то срок действия ключа установится в 15 месяцев?
Offline roflanVikared  
#6 Оставлено : 26 декабря 2019 г. 14:57:28(UTC)
roflanVikared

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2017(UTC)
Сообщений: 196
Мужчина
Финляндия
Откуда: Helsinki

Сказал «Спасибо»: 2 раз
Поблагодарили: 67 раз в 44 постах
Автор: NEW DME Перейти к цитате
Автор: roflanVikared Перейти к цитате
Автор: NEW DME Перейти к цитате


Здравствуйте,

на Сервере ЦС имеется возможность задавать срок действия закрытых ключей, генерируемых при выпуске сертификатов.
Подскажите, пожалуйста, данная настройка распространяется только на ключи, генерируемые через Консоль управления ЦР?
т.е. если запрос пришёл откуда-то извне, то срок действия ключа может отличаться (завит от того, как определено в CSP)?


Зависит от настроек расширения "Период действия ключа ЭП" в шаблоне на сервере ЦС: если приоритет имеет значение из запроса, будет игнорироваться указанный вам срок (т.е. для запросов извне срок может быть другим), в противном случае - для всех одинаковый заданный вами.



а если при генерации запроса использовалось ПО КриптоПро CSP 5.0 R1 , то срок действия ключа установится в 15 месяцев?


Датой начала действия ключа будет считаться дата начала действия сертификата, который вы выпустите.
При использовании КриптоПро CSP срок действия ключа не может превышать 15 месяцев (как вариант, можете получить запрос, где срок меньше 15 месяцев).
D2/CB-4+BF2/A-DASH-4+BF2
thanks 1 пользователь поблагодарил roflanVikared за этот пост.
NEW DME оставлено 26.12.2019(UTC)
Offline NEW DME  
#7 Оставлено : 26 декабря 2019 г. 15:07:13(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 101

Сказал(а) «Спасибо»: 82 раз
Поблагодарили: 1 раз в 1 постах
Автор: roflanVikared Перейти к цитате
Автор: NEW DME Перейти к цитате
Автор: roflanVikared Перейти к цитате
Автор: NEW DME Перейти к цитате


Здравствуйте,

на Сервере ЦС имеется возможность задавать срок действия закрытых ключей, генерируемых при выпуске сертификатов.
Подскажите, пожалуйста, данная настройка распространяется только на ключи, генерируемые через Консоль управления ЦР?
т.е. если запрос пришёл откуда-то извне, то срок действия ключа может отличаться (завит от того, как определено в CSP)?


Зависит от настроек расширения "Период действия ключа ЭП" в шаблоне на сервере ЦС: если приоритет имеет значение из запроса, будет игнорироваться указанный вам срок (т.е. для запросов извне срок может быть другим), в противном случае - для всех одинаковый заданный вами.



а если при генерации запроса использовалось ПО КриптоПро CSP 5.0 R1 , то срок действия ключа установится в 15 месяцев?


Датой начала действия ключа будет считаться дата начала действия сертификата, который вы выпустите.
При использовании КриптоПро CSP срок действия ключа не может превышать 15 месяцев (как вариант, можете получить запрос, где срок меньше 15 месяцев).


а можно ли как-то в КриптоПро CSP убрать ограничение на срок действие ключа в 15 месяцев при генерации запросов извне? (аналогично тому как можно сделать срок действия ключей издаваемых сертификатов на Сервере ЦС больше 15 месяцев)

и можно ли сделать срок меньший 15 месяцев для внешних запросов, получаемых с помощью КриптоПро CSP?
Offline Захар Тихонов  
#8 Оставлено : 26 декабря 2019 г. 15:07:47(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,546
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 449 раз в 433 постах
Автор: NEW DME Перейти к цитате

ну я про то что, есть, например, какой-то файл запроса уже сформированный непонятно где, соответственно имеется и ключ.
Так вот срок действия этого ключа может быть теоретически любым и не соответствовать сроку действия сертификата, полученного при обработке этого запроса на УЦ?


Ключевое слово
Цитата:
какой-то файл запроса

В этом файле должны быть требуемые атрибуты со сроками действия. Если их нет, то будут использоваться сроки из шаблона.

Но, сроки указанные в сертификате могут и не соответствовать реальному сроку использования ключа
Цитата:
сформированный непонятно где


Например, при генерации ключа с помощью КриптоПро CSP 4.0 и выше, на контейнере будет расширение срок действия. И пусть в сертификате сроки большие, вы эти сроки из расширения контейнера не превысите. Посмотреть сроки расширения контейнера можно протестировав его в КриптоПро CSP - Cервис.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
NEW DME оставлено 26.12.2019(UTC)
Offline NEW DME  
#9 Оставлено : 26 декабря 2019 г. 15:33:19(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 101

Сказал(а) «Спасибо»: 82 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
Автор: NEW DME Перейти к цитате

ну я про то что, есть, например, какой-то файл запроса уже сформированный непонятно где, соответственно имеется и ключ.
Так вот срок действия этого ключа может быть теоретически любым и не соответствовать сроку действия сертификата, полученного при обработке этого запроса на УЦ?


Ключевое слово
Цитата:
какой-то файл запроса

В этом файле должны быть требуемые атрибуты со сроками действия. Если их нет, то будут использоваться сроки из шаблона.

Но, сроки указанные в сертификате могут и не соответствовать реальному сроку использования ключа
Цитата:
сформированный непонятно где


Например, при генерации ключа с помощью КриптоПро CSP 4.0 и выше, на контейнере будет расширение срок действия. И пусть в сертификате сроки большие, вы эти сроки из расширения контейнера не превысите. Посмотреть сроки расширения контейнера можно протестировав его в КриптоПро CSP - Cервис.


теперь вопрос в том можно ли изменять расширение срок действия, устанавливаемое на контейнер (настройками КриптоПро CSP)

и в том, что если на сервере ЦС в настройках расширения Private Key Usage Period сделать добавление в сертификат значения расширения только при наличии в запросе, а в запросе, например, такого расширения не будет, то срок действия закрытого ключа будет определяться сроком действия выпущенного сертификата?
Offline roflanVikared  
#10 Оставлено : 26 декабря 2019 г. 16:22:35(UTC)
roflanVikared

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2017(UTC)
Сообщений: 196
Мужчина
Финляндия
Откуда: Helsinki

Сказал «Спасибо»: 2 раз
Поблагодарили: 67 раз в 44 постах
Автор: NEW DME Перейти к цитате
теперь вопрос в том можно ли изменять расширение срок действия, устанавливаемое на контейнер (настройками КриптоПро CSP)


Настройки КриптоПро CSP не предусматривают установку (или изменения расширения в уже созданном ключе) сроков действия ключа, ввиду отсутствия такой необходимости.
Сроки действия ключа указываются при формировании запроса (например, ссылку выше приводил сотрудник "Крипто-Про"). Технически, полагаю, можно задать и срок больше 15 месяцев.

Автор: NEW DME Перейти к цитате
и в том, что если на сервере ЦС в настройках расширения Private Key Usage Period сделать добавление в сертификат значения расширения только при наличии в запросе, а в запросе, например, такого расширения не будет, то срок действия закрытого ключа будет определяться сроком действия выпущенного сертификата?


В настройках расширения вы, в первую очередь, указываете свое значение по умолчанию, и только потом выбираете чтО будет иметь приоритет при выпуске: значение из запроса или ваше (в данном случае - ваше).
D2/CB-4+BF2/A-DASH-4+BF2
thanks 1 пользователь поблагодарил roflanVikared за этот пост.
NEW DME оставлено 26.12.2019(UTC)
Offline roflanVikared  
#11 Оставлено : 26 декабря 2019 г. 16:39:26(UTC)
roflanVikared

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2017(UTC)
Сообщений: 196
Мужчина
Финляндия
Откуда: Helsinki

Сказал «Спасибо»: 2 раз
Поблагодарили: 67 раз в 44 постах
Автор: Захар Тихонов Перейти к цитате
Здравствуйте.

Если в запросе указаны сроки действия и в шаблоне установлены галки, то они будут использоваться. Т.е. главное правильно запрос сформировать.
Обсуждалось здесь


Вы возьмете меня в штат "Крипто-Про" как мне исполнится 16 лет (сейчас мне уже 15)? Angel
D2/CB-4+BF2/A-DASH-4+BF2
Offline NEW DME  
#12 Оставлено : 26 декабря 2019 г. 16:43:36(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 101

Сказал(а) «Спасибо»: 82 раз
Поблагодарили: 1 раз в 1 постах
Автор: roflanVikared Перейти к цитате
Автор: NEW DME Перейти к цитате
теперь вопрос в том можно ли изменять расширение срок действия, устанавливаемое на контейнер (настройками КриптоПро CSP)


Настройки КриптоПро CSP не предусматривают установку (или изменения расширения в уже созданном ключе) сроков действия ключа, ввиду отсутствия такой необходимости.
Сроки действия ключа указываются при формировании запроса (например, ссылку выше приводил сотрудник "Крипто-Про"). Технически, полагаю, можно задать и срок больше 15 месяцев.

Автор: NEW DME Перейти к цитате
и в том, что если на сервере ЦС в настройках расширения Private Key Usage Period сделать добавление в сертификат значения расширения только при наличии в запросе, а в запросе, например, такого расширения не будет, то срок действия закрытого ключа будет определяться сроком действия выпущенного сертификата?


В настройках расширения вы, в первую очередь, указываете свое значение по умолчанию, и только потом выбираете чтО будет иметь приоритет при выпуске: значение из запроса или ваше (в данном случае - ваше).


имелось в виду изменение сроков действия не в уже созданном, а в только создаваемом новом ключе (как раз таки в новом создаваемом запросе)

>> Технически, полагаю, можно задать и срок больше 15 месяцев. - если такая возможность есть, то было бы интересно как это сделать


а как влияет значение по умолчанию расширения Private Key Usage Period, если оно настроено так, что добавляется только при наличии в запросе? оно в этом случае используется, если такого расширения в запросе нет?

и что будет, если это расширение вообще удалить: срок действия закрытого ключа будет определяться сроком действия выпущенного сертификата?
Offline roflanVikared  
#13 Оставлено : 26 декабря 2019 г. 17:49:44(UTC)
roflanVikared

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2017(UTC)
Сообщений: 196
Мужчина
Финляндия
Откуда: Helsinki

Сказал «Спасибо»: 2 раз
Поблагодарили: 67 раз в 44 постах
Автор: NEW DME Перейти к цитате
Автор: roflanVikared Перейти к цитате
Автор: NEW DME Перейти к цитате
теперь вопрос в том можно ли изменять расширение срок действия, устанавливаемое на контейнер (настройками КриптоПро CSP)


Настройки КриптоПро CSP не предусматривают установку (или изменения расширения в уже созданном ключе) сроков действия ключа, ввиду отсутствия такой необходимости.
Сроки действия ключа указываются при формировании запроса (например, ссылку выше приводил сотрудник "Крипто-Про"). Технически, полагаю, можно задать и срок больше 15 месяцев.

Автор: NEW DME Перейти к цитате
и в том, что если на сервере ЦС в настройках расширения Private Key Usage Period сделать добавление в сертификат значения расширения только при наличии в запросе, а в запросе, например, такого расширения не будет, то срок действия закрытого ключа будет определяться сроком действия выпущенного сертификата?


В настройках расширения вы, в первую очередь, указываете свое значение по умолчанию, и только потом выбираете чтО будет иметь приоритет при выпуске: значение из запроса или ваше (в данном случае - ваше).


имелось в виду изменение сроков действия не в уже созданном, а в только создаваемом новом ключе (как раз таки в новом создаваемом запросе)

>> Технически, полагаю, можно задать и срок больше 15 месяцев. - если такая возможность есть, то было бы интересно как это сделать


а как влияет значение по умолчанию расширения Private Key Usage Period, если оно настроено так, что добавляется только при наличии в запросе? оно в этом случае используется, если такого расширения в запросе нет?

и что будет, если это расширение вообще удалить: срок действия закрытого ключа будет определяться сроком действия выпущенного сертификата?


Чуть подробнее описано в пункте 2.1.10 "ЖТЯИ.00078 01 90 05 ПАК КриптоПро УЦ 2.0. Руководство программиста".
Подобные сценарии, вероятно, тестировались специалистами "Крипто-Про", может, они подскажут.
D2/CB-4+BF2/A-DASH-4+BF2
Offline Захар Тихонов  
#14 Оставлено : 9 января 2020 г. 8:27:39(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,546
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 449 раз в 433 постах
Автор: NEW DME Перейти к цитате
Автор: roflanVikared Перейти к цитате
Автор: NEW DME Перейти к цитате
теперь вопрос в том можно ли изменять расширение срок действия, устанавливаемое на контейнер (настройками КриптоПро CSP)


Настройки КриптоПро CSP не предусматривают установку (или изменения расширения в уже созданном ключе) сроков действия ключа, ввиду отсутствия такой необходимости.
Сроки действия ключа указываются при формировании запроса (например, ссылку выше приводил сотрудник "Крипто-Про"). Технически, полагаю, можно задать и срок больше 15 месяцев.

Автор: NEW DME Перейти к цитате
и в том, что если на сервере ЦС в настройках расширения Private Key Usage Period сделать добавление в сертификат значения расширения только при наличии в запросе, а в запросе, например, такого расширения не будет, то срок действия закрытого ключа будет определяться сроком действия выпущенного сертификата?


В настройках расширения вы, в первую очередь, указываете свое значение по умолчанию, и только потом выбираете чтО будет иметь приоритет при выпуске: значение из запроса или ваше (в данном случае - ваше).


имелось в виду изменение сроков действия не в уже созданном, а в только создаваемом новом ключе (как раз таки в новом создаваемом запросе)

>> Технически, полагаю, можно задать и срок больше 15 месяцев. - если такая возможность есть, то было бы интересно как это сделать


а как влияет значение по умолчанию расширения Private Key Usage Period, если оно настроено так, что добавляется только при наличии в запросе? оно в этом случае используется, если такого расширения в запросе нет?

и что будет, если это расширение вообще удалить: срок действия закрытого ключа будет определяться сроком действия выпущенного сертификата?


Интересующая вас информация доступна здесь
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
NEW DME оставлено 09.01.2020(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.