Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline ilnurgatin  
#1 Оставлено : 23 апреля 2020 г. 9:47:46(UTC)
ilnurgatin

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.02.2018(UTC)
Сообщений: 4
Российская Федерация
Откуда: Казань

Сказал(а) «Спасибо»: 3 раз
Добрый день!
В инфраструктуре используем MS Certificate Authority c алгоритмами ГОСТ 2012 (в качестве криптопровайдера КриптоПро CSP 4.0).
Сертификат корневого ЦС со сроком действия 10 лет. Но заметили что срок действия закрытого ключа ЦС ограничен 1 г 3 мес.
В документации КриптоПро написано, что:
"Срок действия ключа берется из (в порядке уменьшения приоритета):
 Расширения контейнера ключа;
 Расширения сертификата ключа;
 Даты создания ключа + 1 год 3 месяца. "

Подскажите, как можно сгенерировать закрытый ключ (Расширение контейнера ключа -???) отличным от значения 1 год 3 месяца?

Какой тип поддержки нам необходимо приобрести чтобы воспользоваться технической поддержкой такого сценария?

Спасибо!
Offline two_oceans  
#2 Оставлено : 24 апреля 2020 г. 12:41:49(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Вообще в таком случае Вам наверно положено генерировать новый ключ и перевыпускать сертификат, так как контейнер не соответствует требованиям долговременных ключей.
Если в расширении срока использования ключа в сертификате указан нужный Вам срок, то можете попробовать просто стереть расширение в контейнере утилитой csptest.Поэкспериментируйте на копии сначала или на другом ключе.
Теоретически в csptest также можно сохранить расширение в файл, поправить файл и исправленное расширение поставить обратно, но я не проверял.

Отредактировано пользователем 24 апреля 2020 г. 12:44:58(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
ilnurgatin оставлено 24.04.2020(UTC)
Offline ilnurgatin  
#3 Оставлено : 24 апреля 2020 г. 14:16:00(UTC)
ilnurgatin

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.02.2018(UTC)
Сообщений: 4
Российская Федерация
Откуда: Казань

Сказал(а) «Спасибо»: 3 раз
Спасибо за подсказку.
С удалением расширения получилось снять ограничение!

"Теоретически в csptest также можно сохранить расширение в файл, поправить файл и исправленное расширение поставить обратно, но я не проверял." - там не все так просто оказалось: при экспорте сохраняется в PKCS#7 файл, поменять значение нельзя (по крайней мере я не знаю).

Интересно было бы услышать мнение сотрудников КриптоПро по моим вопросам ранее и по способу удаления расширения срока закрытого ключа.
Спасибо!
Online Максим Коллегин  
#4 Оставлено : 24 апреля 2020 г. 17:09:01(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Штатный механизм работы в данном случае - использование расширения для управления режимом проверки срока действия: https://cpdn.cryptopro.r...0/html/timevalidity.html
Знания в базе знаний, поддержка в техподдержке
thanks 2 пользователей поблагодарили Максим Коллегин за этот пост.
ilnurgatin оставлено 27.04.2020(UTC), two_oceans оставлено 27.04.2020(UTC)
Offline ilnurgatin  
#5 Оставлено : 27 апреля 2020 г. 12:19:04(UTC)
ilnurgatin

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.02.2018(UTC)
Сообщений: 4
Российская Федерация
Откуда: Казань

Сказал(а) «Спасибо»: 3 раз
Спасибо.
Настроил с помощью расширения PrivateKeyTimeValidityControlMode (1.2.643.2.2.37.3.11) проверку срока только по сертификату (значение 03020680).
Сотрудники КриптоПро, подскажите пожалуйста по основному вопросу для меня: после данных настроек будут ли издаваемые сертификаты с данного ЦС корректными с точки зрения нормативной базы и не является ли это нарушением правил использования СКЗИ? Будут ли сертификаты иметь юридическую силу при подписании документов? К слову сертификаты используем внутри организации, не для обмена с гос.органами.

И ранее я задавал вопрос: "Какой тип поддержки нам необходимо приобрести чтобы воспользоваться технической поддержкой такого сценария?"

Спасибо!
Online Максим Коллегин  
#6 Оставлено : 27 апреля 2020 г. 12:57:15(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Без дополнительных исследований, согласованных с ФСБ, использования ключей за пределами сроков действия, определяемых документаций на СКЗИ может быть признано нелигитимным.

Про техподдержку - приобретайте расширенную техническую поддержку КриптоПро CSP на сервере.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.