Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline TiGRaKiLL  
#11 Оставлено : 11 августа 2021 г. 15:12:35(UTC)
TiGRaKiLL

Статус: Участник

Группы: Участники
Зарегистрирован: 11.07.2016(UTC)
Сообщений: 23
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Сегодня вывел из действия ключи у которого истек срок действия закрытого ключа, но без выпуска финального CRL так как для выпуска финального CRL нужно чтобы ключ был загружен, а он не может быть загружен так как истек и вылетает ошибка Access Denied. Сегодня у клиентов у которых были выпущены сертификаты на старом корне, не проходят цепочку. ОШИБКА: проверка состояния отзыва сертификата вернула Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
CertUtil: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен.
Как то можно выпустить финальную CRL командой или другим методом?

ПОявилась мысль, при выпуске нового корня, требуется ли добавлять новый адрес публикации?

Отредактировано пользователем 11 августа 2021 г. 15:17:45(UTC)  | Причина: Не указана

Offline roflanVikared  
#12 Оставлено : 11 августа 2021 г. 15:52:20(UTC)
roflanVikared

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2017(UTC)
Сообщений: 216
Мужчина
Финляндия
Откуда: Helsinki

Сказал «Спасибо»: 2 раз
Поблагодарили: 138 раз в 51 постах
Чтобы выпустить финальный CRL нужен ключ с действующим закрытым ключом. Финальный CRL вам нужно было выпустить, когда еще не истек срок действия ключа ЦС (который сейчас не загружается в Агенте). Сейчас уже поздно, да и если нет действующих сертификатов, которые были выпущены этим ключом, то нет особого смысла пытаться выпустить финальный CRL, т.к. нечего проверять. Вы вывели из обращения точно истекший ключ?
А по клиентским сертификатам, которые не проверяются на отзыв, уточните доступность адреса публикации CRL, которые в них указаны, а также действительность корневого сертификата, под которым они выпущены (надеюсь, вывели из обращения не его).

D2/CB-4+BF2/A-DASH-4+BF2
Offline two_oceans  
#13 Оставлено : 12 августа 2021 г. 7:47:11(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Добрый день.
Поддержу прошлое сообщение и добавлю, что по идее клиентские сертификаты должны всегда иметь окончание действия ранее чем окончание сертификата УЦ. Иначе просто не построится корректная цепочка сертификатов при проверке после окончания сертификата УЦ. Финальный CRL имеет смысл, если клиентскими сертификатами делались усовершенствованные подписи, так как неусовершенствованные подписи (без метки времени) "протухнут" вместе с клиентским сертификатом и проверять будет нечего.

Если же у Вас истекает срок действия закрытого ключа, но сертификат УЦ еще действует несколько лет, то тут теоретически есть 3 пути (и к сожалению все пути неприменимы к аккредитованным УЦ):
1) экспортировать в pfx/p12, импортировать ключ (при этом дата действия закрытого ключа в новом контейнере будет отсчитываться от текущей даты, бесполезно если в сертификата указана меньшая дата действия закрытого ключа). Технически это нарушает норму закона о сроке действия ключа, так что неприменимо на аккредитованных УЦ;
2) отключить контроль ключей (что делает СКЗИ несертифицированным);
3) выпустить кросс-сертификат с нового сертификата УЦ на старый сертификат УЦ (то есть превратить старый сертификат в запрос и выпустить сертификат на этот запрос) (при этом увеличится длина цепочки, то есть клиентам придется переустановить сертификаты для того чтобы сертификаты подхватились на цепочку с новым корневым, на аккредитованных УЦ это часто невозможно из-за ограничения длины цепочки (то есть аккредитованные УЦ не смогут выдавать сертификаты другим УЦ).

Если у Вас речь о корневом сертификате и УЦ не аккредитованный, то метод 1 позволит загрузить новый экземпляр истекшего ключа и сделать что Вы хотите - финальный CRL и/или кросс с нового корневого.

Отредактировано пользователем 12 августа 2021 г. 7:50:16(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
TiGRaKiLL оставлено 12.08.2021(UTC)
Offline TiGRaKiLL  
#14 Оставлено : 12 августа 2021 г. 13:51:44(UTC)
TiGRaKiLL

Статус: Участник

Группы: Участники
Зарегистрирован: 11.07.2016(UTC)
Сообщений: 23
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
У нас получилось так: Корневой сертификат был выпущен на 5 лет и заканчивается он в 2022 году, а вот закрытый ключ к нему был на 3 года и закончился он в декабре 2020 года и каким то чудесным образом до августа выпускались сертификаты под этим корнем. Перестало работать после того как перезагрузились сервера и ключи не смогли автоматически подгрузиться в Агент управления ключами. Вывел из действия сертификат с закончившимся закрытым ключом, но все сертификаты до августа (а они действуют 15 месяцев) были выданы на старом корне у которого уже закончился срок закрытого ключа.
После выпуска нового корня пришлось перевыпустить все сертификаты, т.к. пропала связь с ЦС (пропала не сразу, по всей видимости после того как должны были выпуститься планово crl): веб серверов, связь ЦР и ЦС, Администратора ЦР и т д. Но у клиентов у кого старый корень пока сохраняется ошибка проверки цепочки. Пока выключили проверку, но вариант так себе (временный). Буду пробовать что то из того, что посоветовал two_oceans, т.к. УЦ не аккредитованный. Спасибо за рекомендации.
Offline infocentre  
#15 Оставлено : 12 августа 2021 г. 16:22:20(UTC)
infocentre

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.07.2012(UTC)
Сообщений: 255
Мужчина
Российская Федерация

Сказал «Спасибо»: 22 раз
Поблагодарили: 13 раз в 9 постах
А ведь по библии сервера УЦ нужно раз в сутки перезагружать :-)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.