logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Sergik  
#1 Оставлено : 21 апреля 2014 г. 15:52:42(UTC)
Sergik

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.10.2013(UTC)
Сообщений: 9
Российская Федерация
Откуда: Москва

Доброго времени суток!
Коллеги кто уже сталкивался с вопросом смены корневого сертификата ЦС. В «Руководстве по эксплуатации ЦС» всего несколько пунктов из которых не ясно потребуется ли перевыпуск сертификатов ЦР(клиентский WEB-сервера), а также сертификаты служб OCSP и TSP, ключевой носитель использовать можно старый или нужен новый носитель.
Offline Laroux  
#2 Оставлено : 21 апреля 2014 г. 16:18:16(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,284
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 79 раз
Поблагодарили: 71 раз в 59 постах
перевыпуск служебных сер-тов не потребуется, если Вы не будете выводить из работы "старый" корневой.

Есть простое правило (для всех, кстати): новый ключ - новый носитель. Уж где - где, а для корневого УЦ уж точно должно выполняться. Хотя технически проблем, конечно, нет.. Можно и на "старый" носитель
Offline Sergik  
#3 Оставлено : 21 апреля 2014 г. 16:43:08(UTC)
Sergik

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.10.2013(UTC)
Сообщений: 9
Российская Федерация
Откуда: Москва

Тогда еще вопросик если следовать "Руководству по эксплуатации ЦС" раздел 13 смена ключей ЦС, для обновления коневого сертификата требуется остановить службу ЦС и запустить задачу "Обновить сертификат ЦС" в процессе возникает сообщение "Службы сертификации Active Directory" что "Закрытый ключ УЦ уже существует. Хотите перезаписать его, заменив новым ключом?". Как сформировать новый закрытый ключ сохранив при этом старый(и должен ли он вообще быть сохранен или перезаписан)?
Offline АнатолийЧе  
#4 Оставлено : 4 мая 2014 г. 17:01:23(UTC)
АнатолийЧе

Статус: Участник

Группы: Участники
Зарегистрирован: 21.03.2014(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Товарищи! Помогите!
Провел плановую смену сертификата ЦС согласно "Руководству по эксплуатации ЦС"
Все работало.
Недавно произошел коллапс с электроснабжением, и сервер ЦС перегрузили.
Служба сертификации Active Directory не запустилась. При Запуске вручную происходит запрос ПРЕДЫДУЩЕГО сертификата. Ключевой носитель, на котором содержалась информация, согласно регламенту УНИЧТОЖИЛИ. Служба не запускается.
Что делать?
Offline Laroux  
#5 Оставлено : 5 мая 2014 г. 8:47:12(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,284
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 79 раз
Поблагодарили: 71 раз в 59 постах
Анатолий, странная ситуация. Вот Вы говорите, что предыдущий ключ уничтожили. А как же Вы будете выпускать весь следующий год списки отзыва?

Ладно.. может не в свое дело лезу.

По делу: есть в документации инструкция по выводу из эксплуатации сертификатов ЦС. поможет Вам, думаю
Offline Sergik  
#6 Оставлено : 5 мая 2014 г. 9:04:48(UTC)
Sergik

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.10.2013(UTC)
Сообщений: 9
Российская Федерация
Откуда: Москва

Доброго времени суток!
Анатолий также посмотрите "ЖТЯИ.00067 02 90 13 КриптоПро УЦ Руководство по восстановлению работоспособности компонент" раздел 2.4. "Установка сертификата Центра Сертификации".
Offline Laroux  
#7 Оставлено : 5 мая 2014 г. 9:48:01(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,284
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 79 раз
Поблагодарили: 71 раз в 59 постах
Да какое там восстановление без ключа?
Offline АнатолийЧе  
#8 Оставлено : 5 мая 2014 г. 10:35:38(UTC)
АнатолийЧе

Статус: Участник

Группы: Участники
Зарегистрирован: 21.03.2014(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Автор: Laroux Перейти к цитате
Анатолий, странная ситуация. Вот Вы говорите, что предыдущий ключ уничтожили. А как же Вы будете выпускать весь следующий год списки отзыва?

Ладно.. может не в свое дело лезу.

По делу: есть в документации инструкция по выводу из эксплуатации сертификатов ЦС. поможет Вам, думаю


Сейчас пойду попробую.
Так получается не надо было старый ключ грохать? Ну у меня количество USB портов на сервере не резиновое, получается я должен все старый ключи держать воткнутыми в сервер? :)
Offline Laroux  
#9 Оставлено : 5 мая 2014 г. 15:54:31(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,284
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 79 раз
Поблагодарили: 71 раз в 59 постах
вот смотрите пример: выпускаете вы клиенту сер-т 30.04.14. Действовать он будет до 30.04.15. Все это время (год) Вам нужно выпускать актуальные списки отзыва сертификатов (СОС), чтобы клиентский сер-т можно было как-то проверять.
СОС выпускается на том же корневом, что и клиентский сер-т.

А Вы взяли и 1.05.2014 удалили этот корневой. Как только закончится СОС, клиентский сер-т можно смело "выбросить"

По поводу портов: есть такая клевая штука в CSP - служба хранения ключей. Вообще говоря токены и не должны бы торчать в сервере постоянно. Запустили ЦС (хоть с 20-ти токенов), убрали токены в сейф и все

Отредактировано пользователем 5 мая 2014 г. 15:55:04(UTC)  | Причина: Не указана

Offline АнатолийЧе  
#10 Оставлено : 6 мая 2014 г. 14:04:38(UTC)
АнатолийЧе

Статус: Участник

Группы: Участники
Зарегистрирован: 21.03.2014(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Ну понятно что сам виноват.
ЖТЯИ.00067 02 90 13 КриптоПро УЦ Руководство по восстановлению работоспособности компонент" раздел 2.4. "Установка сертификата Центра Сертификации" не помог.

Короче другого выхода нет как заново развернуть ЦС... ну или можно попробывать снести и заново установить Службу сертификации?
Offline Laroux  
#11 Оставлено : 6 мая 2014 г. 14:42:10(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,284
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 79 раз
Поблагодарили: 71 раз в 59 постах
ох.. не знаю даже. не сталкивался и боюсь даже представить себе

поговорите с разработчиками. может есть какие-нить лазеечки
Offline Kirill Sobolev  
#12 Оставлено : 6 мая 2014 г. 16:16:39(UTC)
Kirill Sobolev

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,724
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 174 раз в 166 постах
Цитата:
Короче другого выхода нет как заново развернуть ЦС... ну или можно попробывать снести и заново установить Службу сертификации?

Ключ, конечно, не восстановишь и CRL на нем не выпустишь.
Но можно вывести его из обращения, чтоб служба не спрашивала при запуске.
Этот процесс описан в "ЖТЯИ.00067 02 90 04 КриптоПро УЦ ЦС Руководство по эксплуатации Windows 2008.pdf" раздел 14.
Offline АнатолийЧе  
#13 Оставлено : 6 мая 2014 г. 16:30:05(UTC)
АнатолийЧе

Статус: Участник

Группы: Участники
Зарегистрирован: 21.03.2014(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Автор: Kirill Sobolev Перейти к цитате
Цитата:
Короче другого выхода нет как заново развернуть ЦС... ну или можно попробывать снести и заново установить Службу сертификации?

Ключ, конечно, не восстановишь и CRL на нем не выпустишь.
Но можно вывести его из обращения, чтоб служба не спрашивала при запуске.
Этот процесс описан в "ЖТЯИ.00067 02 90 04 КриптоПро УЦ ЦС Руководство по эксплуатации Windows 2008.pdf" раздел 14.


Спасибо. Попробую. По итогам отпишусь
Offline Laroux  
#14 Оставлено : 6 мая 2014 г. 16:39:20(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,284
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 79 раз
Поблагодарили: 71 раз в 59 постах
Автор: Laroux Перейти к цитате
По делу: есть в документации инструкция по выводу из эксплуатации сертификатов ЦС. поможет Вам, думаю
вот же я про это писал уже
Offline АнатолийЧе  
#15 Оставлено : 15 мая 2014 г. 11:15:41(UTC)
АнатолийЧе

Статус: Участник

Группы: Участники
Зарегистрирован: 21.03.2014(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

пришлось запускать regedit и удалять ручками все упоминания на старый корневой.
Только после этого запустилась служба сертификации.
Перевыпустил WEB ЦС, WEB ЦР по инструкции.
пока все работает.

В МКС затребовали новый корневой и кросс.
Жду ответа.
Offline p.ishmaev  
#16 Оставлено : 19 июня 2014 г. 15:24:53(UTC)
p.ishmaev

Статус: Участник

Группы: Участники
Зарегистрирован: 01.04.2013(UTC)
Сообщений: 10
Российская Федерация
Откуда: Пенза

Сказал(а) «Спасибо»: 10 раз
Тоже готовимся к плановой смены корневого сертификата.
Подскажите, пожалуйста:
Корневой сертификат - до 15.10.2018 года. Если его поменять, то на нем надо подписывать списки отозванных сертификатов.
Например, если 19.06.2014 выпущен последний пользовательский сертификат, то, при условии что сертификат был на 1 год, до 19.06.2015 на на этом же корневом сертификате я выпускаю СОС. При этом новые сертификаты я выпускаю на новом корневом и выпускаю еще один СОС, который подписываю новым корневым.
То есть у меня в течение года будут 2 списка отозванных сертификатов, которые подписываются соответственно старым и новым корневым. Правильно ли я все понимаю?
Offline Molostvov  
#17 Оставлено : 1 июля 2014 г. 9:40:14(UTC)
Molostvov


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 94 раз в 85 постах
Цитата:
...То есть у меня в течение года будут 2 списка отозванных сертификатов, которые подписываются соответственно старым и новым корневым. Правильно ли я все понимаю?

Да, Каждый СОС подписывается своим корневым.

Отредактировано пользователем 1 июля 2014 г. 9:49:32(UTC)  | Причина: Не указана

Offline domnina  
#18 Оставлено : 1 ноября 2017 г. 9:54:34(UTC)
domnina

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.08.2016(UTC)
Сообщений: 63

Сказал(а) «Спасибо»: 7 раз
Добрый день!
Подскажите, пожалуйста, при нажатии "Смена ключа" и выпуске нового сертификата мы сможем выпускать СОС, подписанные старым сертификатом?
Как этого добиться?
Запрос на новый сертификат УЛ УЦ формировать таким же образом, как и формировали изначально? Через утилиту мастер создания запроса на сертификат?
Offline skorolev  
#19 Оставлено : 8 ноября 2017 г. 13:55:05(UTC)
skorolev


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.11.2014(UTC)
Сообщений: 182
Российская Федерация

Поблагодарили: 22 раз в 22 постах
Автор: domnina Перейти к цитате
Добрый день!
Подскажите, пожалуйста, при нажатии "Смена ключа" и выпуске нового сертификата мы сможем выпускать СОС, подписанные старым сертификатом?
Как этого добиться?
Запрос на новый сертификат УЛ УЦ формировать таким же образом, как и формировали изначально? Через утилиту мастер создания запроса на сертификат?


Какая сборка УЦ используется?
Offline domnina  
#20 Оставлено : 9 ноября 2017 г. 8:44:14(UTC)
domnina

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.08.2016(UTC)
Сообщений: 63

Сказал(а) «Спасибо»: 7 раз
Автор: skorolev Перейти к цитате
Автор: domnina Перейти к цитате
Добрый день!
Подскажите, пожалуйста, при нажатии "Смена ключа" и выпуске нового сертификата мы сможем выпускать СОС, подписанные старым сертификатом?
Как этого добиться?
Запрос на новый сертификат УЛ УЦ формировать таким же образом, как и формировали изначально? Через утилиту мастер создания запроса на сертификат?


Какая сборка УЦ используется?


2.0.5938
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.