КриптоПро CSP и MS CA

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

КриптоПро CSP и MS CA - Центры сертификации

Опции

Предыдущая тема Следующая тема

ilnurgatin		#1 Оставлено : 23 апреля 2020 г. 9:47:46(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 02.02.2018(UTC) Сообщений: 4 Откуда: Казань Сказал(а) «Спасибо»: 3 раз		Добрый день! В инфраструктуре используем MS Certificate Authority c алгоритмами ГОСТ 2012 (в качестве криптопровайдера КриптоПро CSP 4.0). Сертификат корневого ЦС со сроком действия 10 лет. Но заметили что срок действия закрытого ключа ЦС ограничен 1 г 3 мес. В документации КриптоПро написано, что: "Срок действия ключа берется из (в порядке уменьшения приоритета):  Расширения контейнера ключа;  Расширения сертификата ключа;  Даты создания ключа + 1 год 3 месяца. " Подскажите, как можно сгенерировать закрытый ключ (Расширение контейнера ключа -???) отличным от значения 1 год 3 месяца? Какой тип поддержки нам необходимо приобрести чтобы воспользоваться технической поддержкой такого сценария? Спасибо!


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

two_oceans		#2 Оставлено : 24 апреля 2020 г. 12:41:49(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 396 раз в 366 постах		Вообще в таком случае Вам наверно положено генерировать новый ключ и перевыпускать сертификат, так как контейнер не соответствует требованиям долговременных ключей. Если в расширении срока использования ключа в сертификате указан нужный Вам срок, то можете попробовать просто стереть расширение в контейнере утилитой csptest.Поэкспериментируйте на копии сначала или на другом ключе. csptest -keyset -container имя_контейнера -cleanext 1.2.643.2.2.37.3.9 csptest -keyset -container имя_контейнера -cleanext 1.2.643.2.2.37.3.10 Пошагово https://sedkazna.ru/foru...;catid=6&id=660#8278 Теоретически в csptest также можно сохранить расширение в файл, поправить файл и исправленное расширение поставить обратно, но я не проверял. Отредактировано пользователем 24 апреля 2020 г. 12:44:58(UTC) \| Причина: Не указана

1 пользователь поблагодарил two_oceans за этот пост.		ilnurgatin оставлено 24.04.2020(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

ilnurgatin		#3 Оставлено : 24 апреля 2020 г. 14:16:00(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 02.02.2018(UTC) Сообщений: 4 Откуда: Казань Сказал(а) «Спасибо»: 3 раз		Спасибо за подсказку. С удалением расширения получилось снять ограничение! "Теоретически в csptest также можно сохранить расширение в файл, поправить файл и исправленное расширение поставить обратно, но я не проверял." - там не все так просто оказалось: при экспорте сохраняется в PKCS#7 файл, поменять значение нельзя (по крайней мере я не знаю). Интересно было бы услышать мнение сотрудников КриптоПро по моим вопросам ранее и по способу удаления расширения срока закрытого ключа. Спасибо!


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#4 Оставлено : 24 апреля 2020 г. 17:09:01(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,405 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 720 раз в 624 постах		Штатный механизм работы в данном случае - использование расширения для управления режимом проверки срока действия: https://cpdn.cryptopro.r...0/html/timevalidity.html
		Знания в базе знаний, поддержка в центре поддержки
		WWW
2 пользователей поблагодарили Максим Коллегин за этот пост.		ilnurgatin оставлено 27.04.2020(UTC), two_oceans оставлено 27.04.2020(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

ilnurgatin		#5 Оставлено : 27 апреля 2020 г. 12:19:04(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 02.02.2018(UTC) Сообщений: 4 Откуда: Казань Сказал(а) «Спасибо»: 3 раз		Спасибо. Настроил с помощью расширения PrivateKeyTimeValidityControlMode (1.2.643.2.2.37.3.11) проверку срока только по сертификату (значение 03020680). Сотрудники КриптоПро, подскажите пожалуйста по основному вопросу для меня: после данных настроек будут ли издаваемые сертификаты с данного ЦС корректными с точки зрения нормативной базы и не является ли это нарушением правил использования СКЗИ? Будут ли сертификаты иметь юридическую силу при подписании документов? К слову сертификаты используем внутри организации, не для обмена с гос.органами. И ранее я задавал вопрос: "Какой тип поддержки нам необходимо приобрести чтобы воспользоваться технической поддержкой такого сценария?" Спасибо!


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#6 Оставлено : 27 апреля 2020 г. 12:57:15(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,405 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 720 раз в 624 постах		Без дополнительных исследований, согласованных с ФСБ, использования ключей за пределами сроков действия, определяемых документаций на СКЗИ может быть признано нелигитимным. Про техподдержку - приобретайте расширенную техническую поддержку КриптоПро CSP на сервере.
		Знания в базе знаний, поддержка в центре поддержки
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close