Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Николай  
#1 Оставлено : 27 марта 2008 г. 12:03:53(UTC)
Николай

Статус: Участник

Группы: Участники
Зарегистрирован: 27.03.2008(UTC)
Сообщений: 17

Добрый день. Есть корневой УЦ. Несколько раз производилось обновление корневого сертификата. Соответственно в свойствах службы сертификатов отображаются предыдущие версии корневого сертификата (Сертификат № 0, Сертификат № 1...) и выпускаются соответствующие СОС.


Как правильно перенести УЦ на другую машину, таким образом чтобы выпускались СОС от предыдущих версий корневого сертификата? т.е. чтобы служба сертификации "подцепила" предыдущие версии корневого сертификата, а не только последнюю
Offline Федор  
#2 Оставлено : 27 марта 2008 г. 12:20:55(UTC)
Федор

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.01.2008(UTC)
Сообщений: 93

Николай написал:
Добрый день. Есть корневой УЦ. Несколько раз производилось обновление корневого сертификата. Соответственно в свойствах службы сертификатов отображаются предыдущие версии корневого сертификата (Сертификат № 0, Сертификат № 1...) и выпускаются соответствующие СОС.


Как правильно перенести УЦ на другую машину, таким образом чтобы выпускались СОС от предыдущих версий корневого сертификата? т.е. чтобы служба сертификации "подцепила" предыдущие версии корневого сертификата, а не только последнюю

а каков замысел? есть люди работающие на ключах подписанных предыдущими ключами ЦС?

Отредактировано пользователем 27 марта 2008 г. 12:21:42(UTC)  | Причина: Не указана

Offline Николай  
#3 Оставлено : 27 марта 2008 г. 12:27:30(UTC)
Николай

Статус: Участник

Группы: Участники
Зарегистрирован: 27.03.2008(UTC)
Сообщений: 17

Да, к сожалению пока еще есть... А вобще критично или нет, то что ЦС не сможет выпускать СОС для еще действующих сертификатов подписанных предыдущий версией корневого?
Offline Федор  
#4 Оставлено : 27 марта 2008 г. 13:13:00(UTC)
Федор

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.01.2008(UTC)
Сообщений: 93

Николай написал:
Да, к сожалению пока еще есть... А вобще критично или нет, то что ЦС не сможет выпускать СОС для еще действующих сертификатов подписанных предыдущий версией корневого?

смотря как работа построена. мы КриптоПро командную строку прикручивали к другой вещи, так там вообще вызвалась команда с параметром отключения проверки цепочки сертификатов
В общем случае, если СОС просрочен - работать не будет
В принципе можно накрутить настройки на ЦС по периоду публикации СОС (дать ему следующий срок обновления уже после даты окончания действия последнего закрытого ключа пользователя), и выпустить СОС руками. Но если понадобится отозвать сертификат - ничего не выйдет.
Если в чем то я ошибся, пусть товарищи из КриптоПро меня поправят... Anxious
Offline Николай  
#5 Оставлено : 27 марта 2008 г. 13:51:05(UTC)
Николай

Статус: Участник

Группы: Участники
Зарегистрирован: 27.03.2008(UTC)
Сообщений: 17

Значит автоматически СОС от предыдущих версий корневого выпускаться уже не будут? Тогда если сделать копию базы службы сертификации, взять попоследнюю версию корневого, и восстановить всё это на другой машине по стандартной процедуре, то последний СОС будет выпускаться автоматически? или из-за отсутствия предыдущих версий корневого может не выпуститься? Вобщем будет ли функционировать атоматическое издание СОС хотя-бы от последнего корневого при переносе на другую машину.
Offline Федор  
#6 Оставлено : 27 марта 2008 г. 14:16:26(UTC)
Федор

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.01.2008(UTC)
Сообщений: 93

Николай написал:
Значит автоматически СОС от предыдущих версий корневого выпускаться уже не будут? Тогда если сделать копию базы службы сертификации, взять попоследнюю версию корневого, и восстановить всё это на другой машине по стандартной процедуре, то последний СОС будет выпускаться автоматически? или из-за отсутствия предыдущих версий корневого может не выпуститься? Вобщем будет ли функционировать атоматическое издание СОС хотя-бы от последнего корневого при переносе на другую машину.

мое мнение: будет все работать как и должно, за исключением выпуска СОС подписанных предыдущими ключами ЦС. А как старые пользовательские сертификаты будут себя вести -? Тоже по идее должно работать (СОС актуальный, предыдущие сертификаты ЦС везде поставить в доверенные).Проще попробовать это на тестовом УЦ развернуть и все потрогать руками, как будет работать. Косяки могут полезть в самый неподходящий момент. А вообще по этому вопросу были какие то обрывочные сведения на Старом форуме
Offline Василий Дементьев  
#7 Оставлено : 28 марта 2008 г. 13:30:08(UTC)
Василий Дементьев

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 348
Откуда: ООО "КРИПТО-ПРО"

Поблагодарили: 5 раз в 4 постах
Разумеется, МОЖНО сделать так, что при переносе ЦС на другую машину все прежние настройки будут сохранены (в т.ч. и все ключи и сертификаты ЦС). При этом будут выпускаться все нужные СОС.
В двух словах - сначала переносим секретные ключи ЦС, потом устанавливаем в "Доверенные корневые ЦС" локального компьютера все нужные корневые сертификаты ЦС (последовательно), потом их же ставим в "Личные" локального компьютера с привязкой к секретным ключам, а потом запускаем установку службы сертификации, говорим использовать существующий контейнер и сертификат и указываем тут последний.
Все предыдущие она сама подхватит, если всё было сделано правильно.
Единственная особенность - на время установки MS CA нужно снять (или запомнить) пароли на все ключевые контейнеры секретных ключей ЦС.
Offline Николай  
#8 Оставлено : 31 марта 2008 г. 13:40:28(UTC)
Николай

Статус: Участник

Группы: Участники
Зарегистрирован: 27.03.2008(UTC)
Сообщений: 17

Спасибо! Всё заработало.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.