Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Что такое операторский сертификат? Если это клиентский сертификат ЦР, то да, возможно, если все находится на одной машине. Но лучше иметь два клиентских сертификата ЦР, т.к. могут возникнуть проблемы, когда будет использоваться один и тот же сертификат. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2015(UTC) Сообщений: 26
Сказал(а) «Спасибо»: 1 раз
|
Развернул сертифицированную сборку УЦ 2.0.5938.0000 с ГОСТовым УЦ. Теперь при добавлении еще одного центра сертификации безальтернативно предлагается криптопровайдер GOST 34.10-2001 (при создании первого УЦ тоже только ГОСТ SCP предлагался). В ранних сборках была возможность выбора и RSA CSP.
Можно ли развернуть сертифицированный дистрибутив в комбинации 1ЦР+2УЦ(ГОСТ+RSA) на одной рабочей станции?
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2015(UTC) Сообщений: 26
Сказал(а) «Спасибо»: 1 раз
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
При установке, по умолчанию действует политика криптопровайдеров, согласно которой набор доступных в пользовательском интерфейсе криптопровайдеров ограничивается криптопровайдерами, регистрируемыми СКЗИ КриптоПро CSP и ПАКМ КриптоПро HSM. Для просмотра и управления политикой криптопровайдеров предназначены командлеты Get-PkiCSPPolicy и Set-PkiCSPPolicy, доступные в командной строке администратора УЦ. Командлет Get-PkiCSPPolicy возвращает политику криптопровайдеров, действующую в данный момент времени: PS C:\> Get-PkiCSPPolicy
Политика криптопровайдеров может принимать два значения: • CryptoPro – набор криптопровайдеров ограничен криптопровайдерами СКЗИ КриптоПро CSP и ПАКМ КриптоПро HSM; • Unrestricted – доступны все криптопровайдеры. Установить политику криптопровайдеров можно с помощью командлета Set-PkiCSPPolicy
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2015(UTC) Сообщений: 26
Сказал(а) «Спасибо»: 1 раз
|
Здравствуйте!
А каким образом можно обновить два сертификата аутентификации ЦР (один выдан ГОСТ-УЦ, а второй RSA-УЦ).
Необходимо перевыпустить два этих сертификата и связать их с имеющимся ЦР.
Заодно и удалить неиспользуемые сертификаты из оснастки Срвер ЦС->Центры сертификации->Имя УЦ-> Центры регистрации->Имя центра регистрации Если можно сделать в PowerShell, то было бы удобно получить команды с примерами. Спасибо.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Автор: NikoKatich Здравствуйте!
А каким образом можно обновить два сертификата аутентификации ЦР (один выдан ГОСТ-УЦ, а второй RSA-УЦ).
Необходимо перевыпустить два этих сертификата и связать их с имеющимся ЦР. Да, делайте плановую смену клиентских сертификатов ЦР, потом обновляете отпечатки: Код:$c = Get-Item Cert:\LocalMachine\My\<отпечаток клиентского сертификата ЦР>
$r = Get-CAReference -AuthorityName "Имя ЦС"
$r.ClientCertificate = $c
Update-CAReference $r
Автор: NikoKatich Заодно и удалить неиспользуемые сертификаты из оснастки Срвер ЦС->Центры сертификации->Имя УЦ-> Центры регистрации->Имя центра регистрации Если можно сделать в PowerShell, то было бы удобно получить команды с примерами. Спасибо.
В IIS, на ЦС записаны все сертификаты ЦР system.webServer/security/authentication/iisClientCertificateMappingAuthentication/oneToOneMappings |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2015(UTC) Сообщений: 26
Сказал(а) «Спасибо»: 1 раз
|
Цитата: В IIS, на ЦС записаны все сертификаты ЦР system.webServer/security/authentication/iisClientCertificateMappingAuthentication/oneToOneMappings
Правильно ли я понимаю, что речь идет о файле конфигурации Web.config, который располагается по пути: C:\Program Files\Crypto Pro\CC2\CA? В моем случае там есть секция вот с таким содержимым: <system.webServer> <directoryBrowse enabled="false"/> </system.webServer> Или я не там ищу?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
нет, не правильно.
Зайдите в консоль IIS, на ваш сайт, далее редактор конфигураций. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2015(UTC) Сообщений: 26
Сказал(а) «Спасибо»: 1 раз
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.08.2015(UTC) Сообщений: 28 Откуда: Хабаровск Сказал(а) «Спасибо»: 5 раз Поблагодарили: 7 раз в 2 постах
|
Автор: tikhonov Автор: bsi Под вторым ЦР я подразумевал создание второго экземпляра подключения ЦР к другому ЦС. Сейчас это делается через повершелл командой Add-CAReference - а через ГУИ это будет реализовано? по аналогии добавления второго ЦС на 1 серврере.
Да, такое появится. но в ближайший релиз такое не попадет. Здравствуйте. Подскажите ещё не появилось отображение нескольких подключений ЦР к ЦС по средством графического интерфейса(так как это реализовано на ЦС, при добавлении нового ЦС)?
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close