Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2015(UTC) Сообщений: 26
Сказал(а) «Спасибо»: 1 раз
|
Здравствуйте.
Есть задача развернуть два корневых УЦ КриптоПРО 2.0 работающих с одним ЦР. Один УЦ для выпуска RSA-сертификатов, второй - для ГОСТовых. Все это должно быть развернуто на 1 рабочей станции.
Сейчас у меня развернут один ЦР и один ЦС для выпуска RSA сертификатов. ГОСТовый ЦС создается (в разделе Серверы ЦС), но вот как его подключить к существующему ЦР? В документации описания такой конфигурации не нашел.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.03.2013(UTC) Сообщений: 448 Откуда: Москва Сказал(а) «Спасибо»: 2 раз Поблагодарили: 95 раз в 85 постах
|
Добрый день. Ниже небольшая инструкция добавления подключения ЦР к экземплярам ЦС - На сервере ЦР должен быть установлен клиентский сертификат ЦР (изготовленный на добавляемом ЦС) в хранилище личное локального компьютера с привязкой к ЗК
- Объявить в Командной строке Управления УЦ переменные
Код:PS C:\> $CAFullDnsName = "ca.full.dns.name"
PS C:\> $ClientCertificate = Get-Item Cert:\LocalMachine\My\<thumbprint>
PS C:\> $NameAddCA = "NameAddCA"
"ca.full.dns.name" - реальное имя DNS сервера ЦС <thumbprint> - отпечаток кл. сертификата ЦР "NameAddCA" – имя добавляемого экземпляра ЦС - Добавить подключение ЦР к экземпляру ЦС
Код:PS C:\> Add-CAReference -AuthorityName $NameAddCA -Url 'https://$CAFullDnsName/CA' -ClientCertificate $ClientCertificate
!Для взаимодействия ЦР с несколькими ЦС(алгоритмы которых отличаются от алгоритмов ГОСТ), алгоритм открытого ключа кл. сертификатов ЦР, выданных соответствующими экземплярами ЦС, должны совпадать с алгоритмом сертификата веб-сервера ЦС. !При добавлении подключения на сервере ЦС в IIS перевыбрать сертификат веб-сервера ЦС.Отредактировано пользователем 21 марта 2018 г. 11:14:17(UTC)
| Причина: Не указана
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2015(UTC) Сообщений: 26
Сказал(а) «Спасибо»: 1 раз
|
Спасибо за предоставленную инструкцию. Возникли следующие проблемы: 1. Т.к. у меня все на одной рабочей станции, то при развертывании первого УЦ и ЦР я получил сертификат веб-сервера ЦС через мастер установки. И этот сертификат с CSP RSA. 2. Теперь же мне необходимо выпустить сертификат веб-сервера для добавляемого УЦ с ГОСТовым CSP. Сделать это через UI не получилось (при добавлении УЦ нет диалога по созданию сертификата веб-сервера, как при установке первого УЦ). В Документации (ЖТЯИ.00078 01 90 02 ПАК КриптоПро УЦ 2.0. Руководство по установке.pdf п. 4.3.9) я нашел команду PS: PS C:\> Get-PkiServer ` New-PkiRequest -CertTemplate PkiServer ` Send-PkiRequest -config 'localhost\ИмяУЦ' ` Receive-PkiResponse -config 'localhost\ИмяУЦ' ` Install-PkiResponse Enable-PkiServer
После ее выполнения появился биодатчик и результат команды выдал значения Name, Oid и Rawdata. Правильно ли я понимаю, что сертификат веб-сервера выпустился? Если да, то где его искать в виде, пригодном для экспорта в хранилище машины? КриптоПро CSP этот сертификат не видит.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.03.2013(UTC) Сообщений: 448 Откуда: Москва Сказал(а) «Спасибо»: 2 раз Поблагодарили: 95 раз в 85 постах
|
Еще один сертификат веб-сервера ЦС выпускать не надо. Для построения TLS м/у экземплярами ЦС (ГОСТ и RSA) и ЦР используется один сертификат веб-сервера ЦС (в вашем случае RSA), и два клиентских сертификата ЦР (1-ый, изготовленный на ЦС RSA, 2-ой, изготовленный на ЦС ГОСТ). При формировании ЗК сертификата ЦР на ЦС ГОСТ необходимо выбрать провайдер RSA, так как Для взаимодействия ЦР с несколькими ЦС(алгоритмы которых отличаются от алгоритмов ГОСТ), алгоритм открытого ключа кл. сертификатов ЦР, выданных соответствующими экземплярами ЦС, должны совпадать с алгоритмом сертификата веб-сервера ЦС.Отредактировано модератором 12 декабря 2017 г. 14:04:53(UTC)
| Причина: Не указана
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2015(UTC) Сообщений: 26
Сказал(а) «Спасибо»: 1 раз
|
Вернулся к задаче. Создаю все снова. Есть стенд, где развернут и работает RSA-УЦ. На этой машине развернут и ЦР. 1. В оснастке "Диспетчер УЦ" выбираю Диспетчер ЦС ->Центры сертификации ->Добавить 2. Запускается мастер создания ЦС, в котором я определяю что мне нужен корневой ЦС, задаю его название и выбираю ГОСТовый криптопровайдер 3. Заполняю доп. атрибуты, расширения сертификатов администраторов ЦС. 4. Мастер создания сертификата веб-сервер при этом не появляется. Т.к. сертификат веб-сервера уже был создан при развертывании ЦС RSA. 5. Задаю имя администратора ЦС, создаю сертификат администратора (тоже ГОСТовый). 6. Далее появляется окно параметров центра регистрации (который, выходит сначала нужно создать, а потом уже переключить создаваемый ЦС на работу с другим ЦР). Задаю имя ЦР, машину (у меня она всего одна) и имя пользователя. 7. Далее появляется мастер создания сертификата клиентской аутентификации ЦР. Исходя из Ваших ответов, этот сертификат должен быть изготовлен добавляемым ЦС, и должен быть помещен в локальное хранилище компьютера с привязкой к закрытому ключу. Из поста #4 я понял, что CSP этого сертификата должно быть RSAшным. Т.к. я буду использовать этот сертификат для подключения к ЦР, того ЦС, который у меня уже развернут (там везде RSA) В качестве CSP выбираю Microsoft Enhanced RSA and AES и жму Далее. 8. Вот тут появляется окно с предложением выбрать хранилище (Реестр) и затем биодатчик. Насколько я понимаю, сездался сертификат создаваемого ЦС с ГОСТовым CSP. 9. Мастер предлагает сохранить сертификат в файл ("Сертификат аутентификации ЦР.p7b)". Если открыть сохраненный файл, то в нем будут 2 сертификата для ЦС(Открытый ключ ГОСТ) и ЦР(Открытый ключ RSA, но алгоритм подписи и ХЭШ-алгоритм подписи ГОСТ). 10.Импортирую в хранилище машины сертификат ЦР из полученного в п.9 файла и связываю с закрытым ключом командой certutil -repairstore my "серийный номер сертификата" 11.Итого в машинном хранилище 3 сертификата с закрытыми ключами: 1. Сертификат аутентификации ЦР(появился при создании RSA ЦС и ЦР, выдан RSA-ЦС) 2. Сертификат аутентификации ЦР(появился при создании ГОСТ ЦС и ЦР, выдан ГОСТ-ЦС) 3. Сертификат Веб-сервер (появился при создании RSA ЦС) У всех трех сертификатов открытый ключ - RSA(2048), но у сертификата #2 напомню, алгоритм подписи и ХЭШ-алгоритм подписи ГОСТовые. 12. Пробую в Командной строке управления УЦ выполнить указанные команды $CAFullDnsName = "cpca21.lab.local" $ClientCertificate = Get-Item 'Cert:\LocalMachine\My\"2e874bc6e550439ea994df3160c672facbfcc111" $NameAddCA = "GOST CA" Add-CAReference -AuthorityName <$NameAddCA> -Url 'https://cpca21.lab.local/CA' -ClientCertificate $ClientCertificate
Явно команды не выдают никакого результата об успехе/провале их выполнения. Правильно ли считать, что если я все сдела правильно, то у меня в разделе Серверы ЦС для в Добавленном GOST CA в разделе центры регистрации появился ЦР с отпечатком сертификата, который я указывал в командной строке PS?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.03.2013(UTC) Сообщений: 448 Откуда: Москва Сказал(а) «Спасибо»: 2 раз Поблагодарили: 95 раз в 85 постах
|
По первому взгляду вы сделали все правильно.
Ниже список командлетов для управления настроенных соединений:
Просмотр соединений PS C:\> Get-CAReference
Проверка соединения ЦР с экземплярами ЦС PS C:\> Ping-CA –AuthorityName <имя экземпляра ЦС> (без указания параметра AuthorityName проверяется Primary CA )
Изменение настроек подключения ЦР с экземплярами ЦС Update-CAReference
Удаление подключений PS C:\> Remove-CAReference
Посмотреть информацию о центрах сертификации, к которым подключен ЦР можно в Консоли ЦР (Вкладка Центры Сертификации представления Backstage). В окне создания запроса на сертификат будет доступен выбор ЦС
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2015(UTC) Сообщений: 26
Сказал(а) «Спасибо»: 1 раз
|
Мне кажется ничего у меня не добавилось, т.к. в списке соединений (команда Get-CAReference) только один RSAшный ЦС, а при попытке проверки связи (Ping-CA –AuthorityName <имя экземпляра ЦС-ГОСТ>) ошибка "Не найдено целевое подключение"). В Консоли управления ЦР в разделе Центры сертификации отображается только RSA ЦС. Можно ли как-то проверить результаты выполнения команд (записи в реестре или SQL-базе КриптоПро УЦ): $CAFullDnsName = "cpca21.lab.local" $ClientCertificate = Get-Item 'Cert:\LocalMachine\My\"2e874bc6e550439ea994df3160c672facbfcc111" $NameAddCA = "GOST CA" В частности, не понятно, что должно произойти при выполнении $ClientCertificate = Get-Item 'Cert:\LocalMachine\My\"2e874bc6e550439ea994df3160c672facbfcc111", нет ли ошибки в команде или может нужно указать какой-то доп. параметр (см скриншот). CPPS.png (5kb) загружен 150 раз(а).?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.03.2013(UTC) Сообщений: 448 Откуда: Москва Сказал(а) «Спасибо»: 2 раз Поблагодарили: 95 раз в 85 постах
|
Цитата:В частности, не понятно, что должно произойти при выполнении $ClientCertificate = Get-Item 'Cert:\LocalMachine\My\"2e874bc6e550439ea994df3160c672facbfcc111", нет ли ошибки в команде или может нужно указать какой-то доп. параметр (см скриншот). У вас переменная не присвоилась, о чем говорят символы >> Тут есть и моя вина, в команде был лишний апостроф, команда выглядит так : Код:$ClientCertificate = Get-Item Cert:\LocalMachine\My\710F0F1EDCE609675E65B5FD9CB4894D3F93D1D8
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2015(UTC) Сообщений: 26
Сказал(а) «Спасибо»: 1 раз
|
Да, все получилось. Теперь и PS C:\> Get-CAReference выдает 2 ЦС и в UI тоже отображаются оба ЦС.
Спасибо за помощь!
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2015(UTC) Сообщений: 26
Сказал(а) «Спасибо»: 1 раз
|
Еще возникла пара вопросов: 1. Правильно ли я понимаю, что при запросе сертификатов через личный кабинет ( web-сервис https://адрес сервера/UI/) нельзя выбирать центр сертификации? В этом случае будет произведен выпуск сертификата на Primary-ЦC?
2. Если ответ на первый вопрос "Да", то как можно изменить приоритет (в моем случае primary - это RSA-ЦС, а нужно чтобы был ГОСТ-ЦС).
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close