Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline monditorium  
#1 Оставлено : 18 января 2022 г. 18:36:45(UTC)
monditorium

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.08.2019(UTC)
Сообщений: 61

Сказал(а) «Спасибо»: 29 раз


Здравствуйте!

Просьба подсказать как в КриптоПро УЦ 2.0 можно настроить выпуск CRL-файлов таким образом, чтобы они выпускались каждые 30 минут и при этом каждый из них действовал 18 часов
Offline Захар Тихонов  
#2 Оставлено : 19 января 2022 г. 11:44:57(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Здравствуйте.
В КриптоПро УЦ 2.0 настраивается дата выпуска CRL, а не срок его действия.
Технически конечно можно заморочиться и выпускать CRL каждые 30 минут со сроком действия 18 часов, но это будет 36 действующих CRL (разные по составу) - и это не есть хорошо. я вам не рекомендую так делать. Интервал перекрытия действующего старого CRL и выпущенного нового, не должен накладываться еще и на выпуск третьего CRL.
Существует служба OCSP, для проверки статуса сертификата, если она работает по БД УЦ то там самый актуальный статус сертификата и не требуется плодить CRL.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
monditorium оставлено 19.01.2022(UTC)
Offline monditorium  
#3 Оставлено : 19 января 2022 г. 16:25:00(UTC)
monditorium

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.08.2019(UTC)
Сообщений: 61

Сказал(а) «Спасибо»: 29 раз
Автор: Захар Тихонов Перейти к цитате
Здравствуйте.
В КриптоПро УЦ 2.0 настраивается дата выпуска CRL, а не срок его действия.
Технически конечно можно заморочиться и выпускать CRL каждые 30 минут со сроком действия 18 часов, но это будет 36 действующих CRL (разные по составу) - и это не есть хорошо. я вам не рекомендую так делать. Интервал перекрытия действующего старого CRL и выпущенного нового, не должен накладываться еще и на выпуск третьего CRL.
Существует служба OCSP, для проверки статуса сертификата, если она работает по БД УЦ то там самый актуальный статус сертификата и не требуется плодить CRL.



а как это реализовать?
дело в том, что на ЦС с недавнего времени по каким-то непонятным причинам стали возникать проблемы с выпуском CRL (примерно раз в сутки в произвольный момент времени, в журнале только одна ошибка "Службе сертификатов КриптоПро УЦ 2.0 не удалось создать список отзыва сертификатов..."), что приводит к неработоспособности УЦ, когда срок действия CRL истекает
Перестроение индексов БД ЦС, перезапуск служб и перезагрузка сервера ЦС не помогают,
до этого CRL успешно публиковались на протяжении нескольких лет

Приходится экстренно выпускать внеочередной CRL (иногда он выпускается только после перезагрузки)
Лучше уж будет много действующих CRL, чем получать неработоспособный УЦ

Offline Захар Тихонов  
#4 Оставлено : 24 января 2022 г. 10:31:53(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Ошибку выпуска CRL надо решать, создавайте заявку на портале ТП support.cryptopro.ru

Костыль с "не правильной работой" выпуска CRL, руками, с помощью certutil -config '' -crl dd:hh
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.