Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

9 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline evil_genius  
#1 Оставлено : 31 мая 2018 г. 19:42:24(UTC)
evil_genius

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.05.2018(UTC)
Сообщений: 31
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
1) При переходе на новый ГОСТ 2012 по вашей инструкции: https://support.cryptopr...e-dlja-kkreditovnnykh-uc

я сменю ключ на том же самом ЦС (без создания отдельного ЦС)

далее при выпуске клиентских сертификатов на новом ГОСТе можно ли будет в случае необходимости выгрузить ключ в центре управления ключами, и загрузить старый (предыдущий) ключ на ГОСТе 2001, предположим для выпуска нескольких клиентских сертификатов на ГОСТе 2001, а затем обратно загрузить новый ключ и выпускать дальше продолжить клиентские ключи на новом ГОСТе?

Или для предусмотрения такой возможности лучше создать второй ЦС?

Интересуюсь для ситуации, когда клиенту потребуется ЭП для ИС, еще не готовой к новому ГОСТу

2) если в ЦС будет 2 ключа на разных гостах, и УЦ будет по вышеуказанной инструкции переведен командами на новый ГОСТ, сможет ли центр управления ключами загрузить предыдущий ключ?

3) Сможет ли ЦС работать одновременно с двумя ключами на разных ГОСТах для подписи издаваемых сертификатов?

4) сможет ли ЦС работать одновременно с двумя ключами на разных гостах для подписи СОС?
Offline Захар Тихонов  
#2 Оставлено : 19 июня 2018 г. 10:26:36(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: evil_genius Перейти к цитате
1) При переходе на новый ГОСТ 2012 по вашей инструкции: https://support.cryptopr...e-dlja-kkreditovnnykh-uc

я сменю ключ на том же самом ЦС (без создания отдельного ЦС)

далее при выпуске клиентских сертификатов на новом ГОСТе можно ли будет в случае необходимости выгрузить ключ в центре управления ключами, и загрузить старый (предыдущий) ключ на ГОСТе 2001, предположим для выпуска нескольких клиентских сертификатов на ГОСТе 2001, а затем обратно загрузить новый ключ и выпускать дальше продолжить клиентские ключи на новом ГОСТе?

Или для предусмотрения такой возможности лучше создать второй ЦС?

Интересуюсь для ситуации, когда клиенту потребуется ЭП для ИС, еще не готовой к новому ГОСТу


Технически такая возможность есть. Но если ключ на ГОСТ 2001 уже истек - то нельзя.

Автор: evil_genius Перейти к цитате
2) если в ЦС будет 2 ключа на разных гостах, и УЦ будет по вышеуказанной инструкции переведен командами на новый ГОСТ, сможет ли центр управления ключами загрузить предыдущий ключ?


Этот вопрос такой же как и вопрос под номером 1.

Автор: evil_genius Перейти к цитате
3) Сможет ли ЦС работать одновременно с двумя ключами на разных ГОСТах для подписи издаваемых сертификатов?


Нет.

Автор: evil_genius Перейти к цитате
4) сможет ли ЦС работать одновременно с двумя ключами на разных гостах для подписи СОС?


Этот вопрос такой же как и вопрос под номером 3.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline evil_genius  
#3 Оставлено : 19 июня 2018 г. 11:28:01(UTC)
evil_genius

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.05.2018(UTC)
Сообщений: 31
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Правильно ли я понял смысл, что при переходе на новый ГОСТ на ПАК УЦ2.0 нужно однозначно создать отдельный ЦС? - так как после перехода на новый гост нужно еще будет какое-то время поддерживать уже изданные сертификаты старого госта и подписывать для них СОС.
Или, ключ на новом ГОСТе сможет подписать СОСы для предыдущих сертификатов?
Или может возникнуть нестыковка работ разных ИС из-за несоответствия алгоритма подписи сертификата и подписи СОС.?
Offline Захар Тихонов  
#4 Оставлено : 19 июня 2018 г. 11:31:37(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: evil_genius Перейти к цитате
Правильно ли я понял смысл, что при переходе на новый ГОСТ на ПАК УЦ2.0 нужно однозначно создать отдельный ЦС? - так как после перехода на новый гост нужно еще будет какое-то время поддерживать уже изданные сертификаты старого госта и подписывать для них СОС.
Или, ключ на новом ГОСТе сможет подписать СОСы для предыдущих сертификатов?
Или может возникнуть нестыковка работ разных ИС из-за несоответствия алгоритма подписи сертификата и подписи СОС.?


Смена провайдера не запрещает выпускать на других ключах (с другими провайдерами) CRL. Это не MSCA. В УЦ 2.0. технически можно иметь три ключа и все на разных провайдерах (ГОСТ 2001, ГОСТ 2012, RSA).
Техническую поддержку оказываем тут.
Наша база знаний.
Offline evil_genius  
#5 Оставлено : 19 июня 2018 г. 11:36:58(UTC)
evil_genius

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.05.2018(UTC)
Сообщений: 31
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
как тогда понимать предыдущий ответ, что нельзя:

Цитата:
Автор: evil_genius Перейти к цитате
3) Сможет ли ЦС работать одновременно с двумя ключами на разных ГОСТах для подписи СОС?


Нет.

Отредактировано пользователем 19 июня 2018 г. 12:50:55(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#6 Оставлено : 19 июня 2018 г. 11:43:30(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: evil_genius Перейти к цитате
как тогда понимать предыдущий ответ, что нельзя:

Цитата:
Автор: evil_genius Перейти к цитате
3) Сможет ли ЦС работать одновременно с двумя ключами на разных ГОСТах для подписи издаваемых сертификатов?


Нет.


Слово
Цитата:
одновременно
подразумевает работу одновременно обоих ключей. А технически можно загрузить только один, на ГОСТ 2001 или на ГОСТ 2012. Т.е. одновременно загрузить для работы два ключа - нельзя. Про возможность указано в первом ответе на первый ваш вопрос
Техническую поддержку оказываем тут.
Наша база знаний.
Offline evil_genius  
#7 Оставлено : 19 июня 2018 г. 12:12:03(UTC)
evil_genius

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.05.2018(UTC)
Сообщений: 31
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Для подписи СОС технически МОЖНО одновременно загрузить два ключа. Насчет трех не уверен. Кстати вопрос - можно ли больше двух?
Так вот если один ключ на гост-2001 а второй на 2012-м - будут они работать одновременно?
Offline Захар Тихонов  
#8 Оставлено : 19 июня 2018 г. 12:39:26(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: evil_genius Перейти к цитате
Для подписи СОС технически МОЖНО одновременно загрузить два ключа. Насчет трех не уверен. Кстати вопрос - можно ли больше двух?
Так вот если один ключ на гост-2001 а второй на 2012-м - будут они работать одновременно?


Как говорилось и тут, смена провайдера не запрещает выпускать CRL на разных ключах. Да, для подписи CRL можно загрузить более одного ключа.

Речь выше шла про ключ подписи сертификатов конечно. Два ключа для подписи сертификатов загрузить нельзя.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
evil_genius оставлено 19.06.2018(UTC)
Offline evil_genius  
#9 Оставлено : 19 июня 2018 г. 13:45:12(UTC)
evil_genius

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.05.2018(UTC)
Сообщений: 31
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
Автор: evil_genius Перейти к цитате
Для подписи СОС технически МОЖНО одновременно загрузить два ключа. Насчет трех не уверен. Кстати вопрос - можно ли больше двух?
Так вот если один ключ на гост-2001 а второй на 2012-м - будут они работать одновременно?


Как говорилось и тут, смена провайдера не запрещает выпускать CRL на разных ключах. Да, для подписи CRL можно загрузить более одного ключа.

Речь выше шла про ключ подписи сертификатов конечно. Два ключа для подписи сертификатов загрузить нельзя.


спасибо за разъяснения.

1) Я оставлю для подписи СОС два ключа на разных ГОСТах на одном ЦС.
Что нужно будет сделать 31.12.2018 с ключом ГОСТ-2001 и с действующими сертификатами по тому же ГОСТу, учитывая, что подписывать СОСы ключом по ГОСТ-2001 после 31.12.2018 будет нельзя.?

2) есть ли какая-то принципиальная разница в связи с вышеизложенным, создавать или не создавать отдельный ЦС для нового ГОСТа?

3) если новый ЦС создавать, не будет ли накладок с именем ЦС (одинаковые реквизиты CN.)?
Offline Захар Тихонов  
#10 Оставлено : 19 июня 2018 г. 13:55:33(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: evil_genius Перейти к цитате

1) Я оставлю для подписи СОС два ключа на разных ГОСТах на одном ЦС.
Что нужно будет сделать 31.12.2018 с ключом ГОСТ-2001 и с действующими сертификатами по тому же ГОСТу, учитывая, что подписывать СОСы ключом по ГОСТ-2001 после 31.12.2018 будет нельзя.?


Если регулирующие органы в этом направление ни чего не поменяют, то до 31.12.18 потребуется вывести из эксплуатации ключ ЦС на ГОСТ 2001 и выпустить финальный CRL.

Автор: evil_genius Перейти к цитате
2) есть ли какая-то принципиальная разница в связи с вышеизложенным, создавать или не создавать отдельный ЦС для нового ГОСТа?


Есть разница.

Автор: evil_genius Перейти к цитате
3) если новый ЦС создавать, не будет ли накладок с именем ЦС (одинаковые реквизиты CN.)?


Два ЦС с одинаковым CN в рамках одного сервера создать нельзя. Кто-то должен быть с другим именем (например первый с переименованным CN).
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
evil_genius оставлено 19.06.2018(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
9 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.