Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Executer  
#1 Оставлено : 25 августа 2014 г. 14:48:58(UTC)
Executer

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 213
Мужчина
Откуда: Вологда

Сказал «Спасибо»: 32 раз
Поблагодарили: 17 раз в 13 постах
Прошла плановая смена корневого. Выпустились одновременно финальный СОС из-под старого корневого и новый СОС из-под нового корневого. Срок у "старого" СОС - месяц, как и было установлено. Прошёл месяц и ГУЦ госуслуг стал слать сообщения: "CRL next update меньше текущего времени". И как быть?
Offline Kirill Sobolev  
#2 Оставлено : 26 августа 2014 г. 11:32:39(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
А старый корневой когда кончается?
Техническую поддержку оказываем тут
Наша база знаний
Offline Zloy Strelok  
#3 Оставлено : 26 августа 2014 г. 16:32:35(UTC)
Zloy Strelok

Статус: Активный участник

Группы: Участники
Зарегистрирован: 06.07.2012(UTC)
Сообщений: 267
Мужчина
Российская Федерация
Откуда: Калининград

Сказал «Спасибо»: 51 раз
Поблагодарили: 30 раз в 22 постах
Финальный сос по идее должен быть выпущен когда все выданные на нем сертификаты закончились, т.е. через год после смены корневого. Плюс срок действия финального сос делается равным сроку действия его корневого.
Offline Варенуха  
#4 Оставлено : 12 марта 2015 г. 18:12:39(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
Автор: Zloy Strelok Перейти к цитате
Финальный сос по идее должен быть выпущен когда все выданные на нем сертификаты закончились, т.е. через год после смены корневого. Плюс срок действия финального сос делается равным сроку действия его корневого.

Анализ СОСов аккредитованных УЦ показывает, что подавляющее большинство УЦ не формируют финальный СОС. И к тому же в СОСы, подписываемые старым корневым, продолжают попадать сертификаты, выпущенные на новом корневом.
Это ведь не совсем правильно?
Offline Molostvov  
#5 Оставлено : 12 марта 2015 г. 18:24:13(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
Offline Варенуха  
#6 Оставлено : 12 марта 2015 г. 19:16:05(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
Я правильно понял, что оба режима правльные? и финальный СОС может быть непустым?
Offline Molostvov  
#7 Оставлено : 13 марта 2015 г. 10:40:44(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
Цитата:
Я правильно понял, что оба режима правльные?

Эти режимы соответсвуют RFC5280, что использовать решайте сами, но я бы посоветовал режим -В crl попадают сертификаты, подписанные сертификатом цс, на котором подписан и сам crl.

Цитата:
и финальный СОС может быть непустым?

Может.
thanks 1 пользователь поблагодарил Molostvov за этот пост.
Варенуха оставлено 13.03.2015(UTC)
Offline Варенуха  
#8 Оставлено : 9 апреля 2015 г. 18:17:13(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
После выпуска финального СОСа со сроком действия до конца срока действия корневого сертификата ключ ЭП ЦС уничтожается.
Кроссы для аккредитованных УЦ ГУЦ выпускает со значительно более коротким сроком чем корневые сертификаты. Значит после уничтожения ключа ЭП запрос на новый кросс уже не сформировать и нужно хранить файл запроса, чтобы его периодически слать в ГУЦ. Это так?
Offline Варенуха  
#9 Оставлено : 8 мая 2015 г. 13:31:33(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
Помогите разобраться. Хочу выпустит финальный сос для корневого. В настоящее время все выданные на нем пользовательские сертификаты исекли и сос публикуется пустой с интервалом в один день. В соответсвии с документацией КриптоПро выпускаю финальный сос и в него включаются все отозванные сертификаты, выпущенные на этом корневом сертификате. Так и должно быть?
Offline Molostvov  
#10 Оставлено : 8 мая 2015 г. 13:55:19(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
Цитата:
В соответсвии с документацией КриптоПро выпускаю финальный сос и в него включаются все отозванные сертификаты, выпущенные на этом корневом сертификате. Так и должно быть?

Не понял. То есть в финальный сос попадают сертфикаты, отозванные другим сертификатом ЦС?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.