Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

7 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline Евгений Пономаренко  
#1 Оставлено : 3 сентября 2015 г. 17:26:46(UTC)
Евгений Пономаренко

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
Добрый день.
В связи с планируемым в будущем переходом с УЦ 1.5 на 2.0, тестирую рабочие сценарии. Возникли вопросы:
1. В скором времени будет осуществляться переход на ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012, старые алгоритмы продолжат существование параллельно. Возможно ли использование ГОСТ Р 34.10-2001 и ГОСТ Р 34.11-94 на ПАК «КриптоПро УЦ 2.0» (исполнение 5)? Из формуляра неясно. Техническая возможность есть-но это легально?
2. Использование ограниченной лицензии КриптоПро CSP (в сертификате). Из документации неясно, как с ней работать.
3. Средство ЭП владельца. Сейчас указывается для CSP, на котором создан запрос. Могут быть варианты, для каждого CSP делать отдельный набор шаблонов?
4. При выпуске сертификата все расширения копируются в политики сертификата. Так должно быть? Это поведение управляется как-то?
5. При использовании API для регистрации/одобрения запроса отсутствует возможность указать срок действия сертификата, хотя в консоли управления ЦР такая возможность есть. После небольшого исследования стало понятно, что даты начала/конца срока действия находятся в pkcs7 запроса на сертификат
1.3.6.1.5.5.7.7.18 Сведения
Значение[0]:
CpRaStartDate: 20150909130426+00:00
CpRaExpirationDate: 20150925130426+00:00
Было бы неплохо почитать про порядок его формирования, если возможно.
6. Сертификат соответствия на УЦ 1.5 исп.1 СФ/128-2351 закончится 31.12.(сертификат на средство ЭП издателя уже закончился) Планируется ли его продление? Будет ли получен сертификат на УЦ 2.0 до истечения этого?
Спасибо.
Offline Kirill Sobolev  
#2 Оставлено : 4 сентября 2015 г. 9:49:39(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,731
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 176 раз в 167 постах
Здравствуйте
Цитата:
1. В скором времени будет осуществляться переход на ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012, старые алгоритмы продолжат существование параллельно. Возможно ли использование ГОСТ Р 34.10-2001 и ГОСТ Р 34.11-94 на ПАК «КриптоПро УЦ 2.0» (исполнение 5)? Из формуляра неясно. Техническая возможность есть-но это легально?

Сертификат на CSP 3.9 действует до 15.01.2018, УЦ 2.0 точно будет сертифицироваться с 3.9, так что использование возможно.
Цитата:
5. При использовании API для регистрации/одобрения запроса отсутствует возможность указать срок действия сертификата, хотя в консоли управления ЦР такая возможность есть. После небольшого исследования стало понятно, что даты начала/конца срока действия находятся в pkcs7 запроса на сертификат
1.3.6.1.5.5.7.7.18 Сведения
Значение[0]:
CpRaStartDate: 20150909130426+00:00
CpRaExpirationDate: 20150925130426+00:00

Да, добавим это раздел в документацию. Если вкратце - значения передаются через атрибут NameValuePair, который умеют добавлять XEnroll и CertEnroll. Позволяют устанавливать как абсолютные даты начала/окончания, так и срок действия сертификата и закрытого ключа.
Цитата:
6. Сертификат соответствия на УЦ 1.5 исп.1 СФ/128-2351 закончится 31.12.(сертификат на средство ЭП издателя уже закончился) Планируется ли его продление? Будет ли получен сертификат на УЦ 2.0 до истечения этого?

Да, продление скорее всего планируется. Сертификационные исследования УЦ 2.0 пока идут, но...

Для ответа на остальные вопросы уточните, пожалуйста, сборку УЦ 2.0, которую Вы тестируете.
Техническую поддержку оказываем тут
Наша база знаний
Offline Евгений Пономаренко  
#3 Оставлено : 4 сентября 2015 г. 10:34:42(UTC)
Евгений Пономаренко

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
Автор: Kirill Sobolev Перейти к цитате
Для ответа на остальные вопросы уточните, пожалуйста, сборку УЦ 2.0, которую Вы тестируете.


Сборка 2.0.5439.0200, то, что доступно для загрузки на сайте
Offline Евгений Пономаренко  
#4 Оставлено : 4 сентября 2015 г. 10:37:20(UTC)
Евгений Пономаренко

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах
Автор: Kirill Sobolev Перейти к цитате
Сертификат на CSP 3.9 действует до 15.01.2018, УЦ 2.0 точно будет сертифицироваться с 3.9, так что использование возможно.
Цитата:


Извиняюсь, если неясно выразился. Вопрос был про использование УЦ 2.0 совместно с CSP 4.0, и создание ЦС с использованием разных алгоритмов в рамках одного ПАК.
Offline Kirill Sobolev  
#5 Оставлено : 4 сентября 2015 г. 13:28:30(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,731
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 176 раз в 167 постах
Цитата:
Сборка 2.0.5439.0200, то, что доступно для загрузки на сайте

Сейчас готовится к выпуску следующий релиз, в котором была переделана логика настройки и обработки шаблона, в том числе в части касающейся расширений.
Цитата:
создание ЦС с использованием разных алгоритмов в рамках одного ПАК.

Когда УЦ 2.0 сертифицируют с CSP 4.0 думаю проблем с этим не будет.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Кирилл Соболев за этот пост.
Евгений Пономаренко оставлено 07.09.2015(UTC)
Offline Варенуха  
#6 Оставлено : 4 сентября 2015 г. 14:26:21(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
Автор: Kirill Sobolev Перейти к цитате
Цитата:
6. Сертификат соответствия на УЦ 1.5 исп.1 СФ/128-2351 закончится 31.12.(сертификат на средство ЭП издателя уже закончился) Планируется ли его продление? Будет ли получен сертификат на УЦ 2.0 до истечения этого?

Да, продление скорее всего планируется. Сертификационные исследования УЦ 2.0 пока идут, но...


Меня терзают смутные сомнения(С)
Учитывая сроки получения сертификатов в регуляторе, возможна ситуация, когда после 31.12.2015 УЦ 1.5 уже, а УЦ 2.0 еще не будут сертифицированными средствами УЦ? С сертифицированными средствами электронной подписи (СКЗИ CSP 3.6 и 3.9), использующимися в УЦ 1.5 так уже случилось.
Offline Molostvov  
#7 Оставлено : 4 сентября 2015 г. 17:53:34(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
Цитата:
Меня терзают смутные сомнения(С)
Учитывая сроки получения сертификатов в регуляторе, возможна ситуация, когда после 31.12.2015 УЦ 1.5 уже, а УЦ 2.0 еще не будут сертифицированными средствами УЦ?

Очень вероятно, что на 2.0 сертификат мы получим в этом году.
Offline chemtech  
#8 Оставлено : 2 декабря 2015 г. 15:20:54(UTC)
chemtech

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
Тоже интересует вопрос.
Будет ли продление сертификатов сф/128-2351 и СФ/128-2352?
Offline Molostvov  
#9 Оставлено : 2 декабря 2015 г. 17:25:18(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
Сертификат соответствия на КриптоПро УЦ 1.5 будет продлен ещё как минимум до конца 2016 года.
Offline bxdan85  
#10 Оставлено : 19 января 2016 г. 14:16:21(UTC)
bxdan85

Статус: Участник

Группы: Участники
Зарегистрирован: 11.01.2016(UTC)
Сообщений: 12
Российская Федерация

Здравствуйте!
В скором времени будет осуществляться переход на ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
1. Нужно ли будет обязательно переходить на КриптоПро УЦ 2.0 и когда нужно будет осуществить этот переход?
2. Т.к. поддержка новых ГОСТов будет только в КриптоПро CSP 4.0, будет ли КриптоПро УЦ 2.0 сертифицирован с КриптоПро CSP 4.0?

Отредактировано пользователем 19 января 2016 г. 15:02:58(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#11 Оставлено : 19 января 2016 г. 15:27:12(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,689
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 480 раз в 458 постах
Автор: bxdan85 Перейти к цитате
Здравствуйте!
В скором времени будет осуществляться переход на ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
1. Нужно ли будет обязательно переходить на КриптоПро УЦ 2.0 и когда нужно будет осуществить этот переход?


В УЦ 1.5 нет возможности выпускать сертификаты на ГОСТе 2012.
Использование схемы подписи ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года не допускается.Shame on you
Когда переходить - можно сразу после сертификации, но все же это на усмотрение Вашей организации.
В УЦ 2.0 есть много преимуществ, которые могут понравиться пользователям.

Автор: bxdan85 Перейти к цитате
2. Т.к. поддержка новых ГОСТов будет только в КриптоПро 4.0, будет ли КриптоПро УЦ 2.0 сертифицирован с КриптоПро 4.0?

Да, будет.
Сейчас УЦ 2.0 сертифицируется с CSP 3.9. После этого будет сертифицироваться с CSP 4.0.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Lisenokdv  
#12 Оставлено : 1 февраля 2016 г. 12:30:23(UTC)
Lisenokdv

Статус: Участник

Группы: Участники
Зарегистрирован: 21.09.2011(UTC)
Сообщений: 14
Откуда: Russia

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Автор: tikhonov Перейти к цитате
Автор: bxdan85 Перейти к цитате
Здравствуйте!
В скором времени будет осуществляться переход на ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
1. Нужно ли будет обязательно переходить на КриптоПро УЦ 2.0 и когда нужно будет осуществить этот переход?


В УЦ 1.5 нет возможности выпускать сертификаты на ГОСТе 2012.
Использование схемы подписи ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года не допускается.Shame on you
Когда переходить - можно сразу после сертификации, но все же это на усмотрение Вашей организации.
В УЦ 2.0 есть много преимуществ, которые могут понравиться пользователям.

Автор: bxdan85 Перейти к цитате
2. Т.к. поддержка новых ГОСТов будет только в КриптоПро 4.0, будет ли КриптоПро УЦ 2.0 сертифицирован с КриптоПро 4.0?

Да, будет.
Сейчас УЦ 2.0 сертифицируется с CSP 3.9. После этого будет сертифицироваться с CSP 4.0.


Добрый день! возможно ли будет обновится с уц 1.5 до 2.0, как это было ранее с 1.4 до 1.5. Или нужно будет разворачивать новый уц и поддерживать старый для выпуска СОС?
Offline Захар Тихонов  
#13 Оставлено : 1 февраля 2016 г. 12:51:36(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,689
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 480 раз в 458 постах
Цитата:
Добрый день! возможно ли будет обновится с уц 1.5 до 2.0, как это было ранее с 1.4 до 1.5. Или нужно будет разворачивать новый уц и поддерживать старый для выпуска СОС?


Существует миграция с УЦ 1.5 до УЦ 2.0. Остается старый Корневой от УЦ 1.5, и все пользователи и их сертификаты.

Подробнее написано в ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. ЖТЯИ.00078 01 90 03 ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Варенуха  
#14 Оставлено : 1 февраля 2016 г. 14:38:48(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
Автор: tikhonov Перейти к цитате
В УЦ 1.5 нет возможности выпускать сертификаты на ГОСТе 2012.
Использование схемы подписи ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года не допускается.Shame on you
Когда переходить - можно сразу после сертификации, но все же это на усмотрение Вашей организации.

После 2018 года ясно, однозначно нужно использовать УЦ 2.0, но до этой даты КриптоПро планирует продлевать сертификат для УЦ 1.5.?
Текущий действует до конца года. В соответствии с поправками к 63-ФЗ средства УЦ должны иметь действующий сертификат соответствия.

Offline Захар Тихонов  
#15 Оставлено : 2 февраля 2016 г. 15:13:18(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,689
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 480 раз в 458 постах
Автор: Варенуха Перейти к цитате

После 2018 года ясно, однозначно нужно использовать УЦ 2.0, но до этой даты КриптоПро планирует продлевать сертификат для УЦ 1.5.?
Текущий действует до конца года. В соответствии с поправками к 63-ФЗ средства УЦ должны иметь действующий сертификат соответствия.


Мы, как разработчик, не планируем.

Но не исключено, что инициатором может быть какой-нибудь (или несколько) орган государственной власти, который не обновит себе УЦ до 2.0 в течение этого года.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Варенуха  
#16 Оставлено : 2 февраля 2016 г. 15:48:59(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
Автор: tikhonov Перейти к цитате
Автор: Варенуха Перейти к цитате

После 2018 года ясно, однозначно нужно использовать УЦ 2.0, но до этой даты КриптоПро планирует продлевать сертификат для УЦ 1.5.?
Текущий действует до конца года. В соответствии с поправками к 63-ФЗ средства УЦ должны иметь действующий сертификат соответствия.


Мы, как разработчик, не планируем.

Но не исключено, что инициатором может быть какой-нибудь (или несколько) орган государственной власти, который не обновит себе УЦ до 2.0 в течение этого года.


Хорошая новостьd'oh!
По данным МКС, 254 аккредитованных УЦ используют ПАК КриптоПро УЦ 1.5.
Offline bxdan85  
#17 Оставлено : 3 февраля 2016 г. 8:04:10(UTC)
bxdan85

Статус: Участник

Группы: Участники
Зарегистрирован: 11.01.2016(UTC)
Сообщений: 12
Российская Федерация

Да, новость конечно неожиданная.
Может быть порекомендуете, к кому можно обратиться по поводу продления сертификата на КриптоПро УЦ 1.5? Каким образом это делается?
Offline bsi  
#18 Оставлено : 30 марта 2016 г. 12:44:54(UTC)
bsi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.04.2012(UTC)
Сообщений: 184

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 14 раз в 9 постах
Добрый день
Разбираюсь с работой на УЦ версии 2.0
Как я понял, есть возможность создания 2 и более ЦС на одном сервере ЦС с разными корневыми сертификатами. Но, на сервере ЦР я такой возможности не нашел, чтоб можно было также создать несколько экземпляров (ролей) ЦР, каждый из которых подключен к своему экземпляру ЦС. Это вообще возможно - добавить еще одну Роль сервера ЦР? или на 1 сервере (железке) возможно поднять только 1 экземпляр (роль) ЦР.
Offline Захар Тихонов  
#19 Оставлено : 30 марта 2016 г. 12:52:51(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,689
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 480 раз в 458 постах
Автор: bsi Перейти к цитате
Добрый день
Разбираюсь с работой на УЦ версии 2.0
Как я понял, есть возможность создания 2 и более ЦС на одном сервере ЦС с разными корневыми сертификатами. Но, на сервере ЦР я такой возможности не нашел, чтоб можно было также создать несколько экземпляров (ролей) ЦР, каждый из которых подключен к своему экземпляру ЦС. Это вообще возможно - добавить еще одну Роль сервера ЦР? или на 1 сервере (железке) возможно поднять только 1 экземпляр (роль) ЦР.


Несколько ЦС на одном сервере

ПАК «КриптоПро УЦ» версии 2.0 позволяет размещать на одном сервере не один, а несколько экземпляров Центров Сертификации, обслуживающих разные информационные системы (ИС). К примеру, один сервер может совмещать в себе ЦС для выпуска:
сертификатов для взаимодействия с другими организациями;
сертификатов для системы электронного документооборота (СЭД) предприятия;
сертификатов, используемых для организации VPN сетей (с алгоритмом ГОСТ или RSA).

Несколько ЦР на одном сервере

На одном сервере Центра Регистрации поддерживается создание отдельных разделов (папок), причём каждый раздел может быть изолирован (недоступен) для операторов и пользователей других разделов. Раздел может иметь индивидуальные ограничения прав доступа и другие настройки. Это позволяет обслуживать на одном сервере ЦР пользователей разных систем, организуя для них свои "виртуальные" ЦР.
Ранее создание изолированных ЦР было возможно только с использованием отдельный базы данных на каждый ЦР, в результате количество баз данных разрасталось, что затрудняло администрирование. Теперь один администратор может управлять несколькими изолированными разделами ЦР на одной базе данных.

Подробности здесь

т.о. сервер ЦР один и он подключается к разным ЦС. Инструкция как подключить один ЦР к двум ЦС (и более) тут
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
bsi оставлено 31.03.2016(UTC)
Offline bsi  
#20 Оставлено : 31 марта 2016 г. 9:37:18(UTC)
bsi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.04.2012(UTC)
Сообщений: 184

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 14 раз в 9 постах
Автор: tikhonov Перейти к цитате
Автор: bsi Перейти к цитате
Добрый день
Разбираюсь с работой на УЦ версии 2.0
Как я понял, есть возможность создания 2 и более ЦС на одном сервере ЦС с разными корневыми сертификатами. Но, на сервере ЦР я такой возможности не нашел, чтоб можно было также создать несколько экземпляров (ролей) ЦР, каждый из которых подключен к своему экземпляру ЦС. Это вообще возможно - добавить еще одну Роль сервера ЦР? или на 1 сервере (железке) возможно поднять только 1 экземпляр (роль) ЦР.


Несколько ЦС на одном сервере

ПАК «КриптоПро УЦ» версии 2.0 позволяет размещать на одном сервере не один, а несколько экземпляров Центров Сертификации, обслуживающих разные информационные системы (ИС). К примеру, один сервер может совмещать в себе ЦС для выпуска:
сертификатов для взаимодействия с другими организациями;
сертификатов для системы электронного документооборота (СЭД) предприятия;
сертификатов, используемых для организации VPN сетей (с алгоритмом ГОСТ или RSA).

Несколько ЦР на одном сервере

На одном сервере Центра Регистрации поддерживается создание отдельных разделов (папок), причём каждый раздел может быть изолирован (недоступен) для операторов и пользователей других разделов. Раздел может иметь индивидуальные ограничения прав доступа и другие настройки. Это позволяет обслуживать на одном сервере ЦР пользователей разных систем, организуя для них свои "виртуальные" ЦР.
Ранее создание изолированных ЦР было возможно только с использованием отдельный базы данных на каждый ЦР, в результате количество баз данных разрасталось, что затрудняло администрирование. Теперь один администратор может управлять несколькими изолированными разделами ЦР на одной базе данных.

Подробности здесь

т.о. сервер ЦР один и он подключается к разным ЦС. Инструкция как подключить один ЦР к двум ЦС (и более) тут


Спасибо. Еще вопрос по 1 пункту про ЦС - а если я хочу развернуть на 1 сервере 2 ЦС - один Квалифицированный, второй неквалийицированный ( в этом то и есть вся прелесть 2.0) - запрета на это, как я понимаю, пока не существует?

Отредактировано пользователем 31 марта 2016 г. 9:39:31(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
7 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.