Речь об этом идет здесь

такого документа нет, но есть мнение

От ТП криптопро
Пусть есть некоторый УЦ, который выпустил много сертификатов для клиентов и теперь нужно выпускать квалифицированные сертификаты.
По мнению ФСБ, если УЦ предназначен для выпуска квалифицированных сертификатов, то неквалифицированные сертификаты на таком УЦ делать нельзя.
Тогда есть три варианта:

1) Параллельно с действующим УЦ установить новый УЦ для выпуска только квалифицированных сертификатов.

2) Перенести ЦС действующего УЦ на отдельный сервер (который будет использоваться только для отзыва ранее выпущенных сертификатов) и установить новый УЦ для выпуска только квалифицированных сертификатов.

3) При смене сертификата действующего УЦ обеспечить, чтобы новый сертификат УЦ удовлетворял требованиям к квалифицированному сертификату и аккредитовать УЦ в таком виде, после чего выпускать только квалифицированные сертификаты.



Какие есть преимущества и недостатки каждого из вариантов:

1


+ Можно продолжать выпуск неквалифицированных сертификатов для систем, которые не требуют квалифицированных сертификатов (например, winlogon, аутентификация, шифрование трафика).

+ При установке нового УЦ можно сразу штатными средствами обеспечить все требования к квалифицированности сертификата самого УЦ.

+ Выпуск новых сертификатов и обслуживание ранее выпущенных (отзыв, приостановление, возобновление) будут делаться штатными средствами управления КриптоПро УЦ.

+ Можно сделать полностью независимые настройки для выпуска сертификатов на разных УЦ

+ Можно сделать полностью независимые варианты регламентной и эксплуатационной документации на разных УЦ


- Требуется приобретение нового оборудования, ОС и новых лицензий на КриптоПро УЦ

2


+ При установке нового УЦ можно сразу штатными средствами обеспечить все требования к квалифицированности сертификата самого УЦ.

+ БД пользователей будет заполняться заново - отсчёт лицензий на УЦ начнётся с 0

+ Можно использовать имеющиеся лицензии на компоненты КриптоПро УЦ (если прежний УЦ был версии 1.5)

+ На УЦ будут регистрироваться пользователи с соблюдением требований к компонентам имени (по составу компонентов имени и длине их значений) в соответствии с ФЗ-63 и Приказом ФСБ 795.


- Требуется приобретение одного сервера и ОС. Хотя технически не требуется высокая производительность такого сервера, т.е. можно использовать любой свободный.

- Нельзя будет выпускать сертификаты для прежних пользователей.

- Отзыв сертификатов для прежних пользователей нельзя будет делать через АРМ - а только через оснастку управления службой сертификации.

- Пользователи-владельцы ранее выпущенных сертификатов не смогут использовать веб-интерфейс ЦР.

3


+ Не нужно нового оборудования и ОС.


- Юридически нельзя будет выпускать сертификаты для прежних пользователей (т.к. у них скорее всего не заданы ИНН, ОГРН, СНИЛС в нужных компонентах имени), хотя технически такая возможность будет, т.е. персонал УЦ может ошибаться.

- Потребуется перерегистрировать всех пользователей (в части добавления ИНН, ОГРН, СНИЛС), что означает расширение лицензии на КриптоПро УЦ для большего количества пользователей - в 2 раза больше, чем было зарегистрировано.

- В БД ЦР будут и старые и новые пользователи, что затруднит процедуры штатной работы персонала УЦ.

- Технически сложная процедура смены сертификата ЦС с добавлением в него новых полей и расширений. Проведение её без участия специалистов ООО КРИПТО-ПРО выходит за рамки технического сопровождения КриптоПро УЦ.

- Потребуется изменение действующего регламента УЦ, инструкций персонала УЦ и пользователей

Это все уже постилось и основывается на МНЕНИИ!!!! ФСБ. Что не является законоутверждающим. Пока не будет оффициального постановления о запрете, ничто на запретит выпускать сертификаты всех видов на одном ПАК УЦ, или я не прав?