Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Проблема при подписании сертификата старше года
Статус: Новичок
Группы: Участники
Зарегистрирован: 02.09.2019(UTC) Сообщений: 4 Откуда: Москва
|
Существует проблема: есть сертификат выданный Казначейством сроком на два года, с 20.02.2018 до 19.02.2020, после токо как сертификату исполнился год - Крипто Про не хочет его подписывать, соответственно соединение с Континент-АП не происходит, если поменять системную дату на 01.02.2019 - то все начинает работать. Переход с КриптоПро 4 на версию 5 - ничего не дал. Вопрос: как с этой проблемой разобраться, не сложно крутить даты туда-сюда, но есть ощущение что так быть не должно.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,376 Сказал «Спасибо»: 53 раз Поблагодарили: 773 раз в 715 постах
|
Автор: c5005 Существует проблема: есть сертификат выданный Казначейством сроком на два года, с 20.02.2018 до 19.02.2020, после токо как сертификату исполнился год - Крипто Про не хочет его подписывать, соответственно соединение с Континент-АП не происходит, если поменять системную дату на 01.02.2019 - то все начинает работать. Переход с КриптоПро 4 на версию 5 - ничего не дал. Вопрос: как с этой проблемой разобраться, не сложно крутить даты туда-сюда, но есть ощущение что так быть не должно. Здравствуйте. См., например, п. 6.8. Сроки действия пользовательских ключей документа ЖТЯИ.00087-03 91 01. КриптоПро CSP. Руководство администратора безопасности.Общая часть из состава документации КриптоПро CSP 4.0 R4 KC1. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 02.09.2019(UTC) Сообщений: 4 Откуда: Москва
|
Спасибо за ответ, расшифруйте пожалуйста для меня, непонятливого, максимальный срок действия ключа (закрытого) - 1 год 3 месяца, скорректировать это невозможно, зачем-же Казначейство выдает двухлетние ключи? В КриптоПро-5 такой-же срок жизни установлен?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,376 Сказал «Спасибо»: 53 раз Поблагодарили: 773 раз в 715 постах
|
Автор: c5005 Спасибо за ответ, расшифруйте пожалуйста для меня, непонятливого, максимальный срок действия ключа (закрытого) - 1 год 3 месяца, скорректировать это невозможно, зачем-же Казначейство выдает двухлетние ключи? В КриптоПро-5 такой-же срок жизни установлен? 1) Да, максимальный срок действия закрытого ключа - 1 год и 3 месяца. 2) Скорректировать его нельзя, но можно, нарушив условия эксплуатации КриптоПро CSP, отключить проверку этого срока, как описано в приведенном выше документе. 3) Зачем Казначейство выдает двухлетние сертификаты (а не ключи) - нужно уточнять в Казначействе. 4) В КриптоПро CSP 5.0 установлен такой же максимальный срок действия закрытого ключа. |
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 393 раз в 366 постах
|
Автор: Александр Лавник 2) Скорректировать его нельзя, но можно, нарушив условия эксплуатации КриптоПро CSP, отключить проверку этого срока, как описано в приведенном выше документе. На самом деле, не все так просто - в неквалифицированных сертификатах для Континента-АП обычно не установлено срока действия закрытого ключа, то есть пересоздав контейнер можно сместить точку отсчета в контейнере без отключения проверки срока. В квалифицированных же такая информация есть и также не превышает год и 3 месяца, но можно выиграть дни разницы стерев срок в контейнере. Заметьте, для двухлетнего сертификата без срока закрытого ключа стирать отметку в контейнере бесполезно, нужно смещать дату отметки. Цитата:зачем-же Казначейство выдает двухлетние ключи? Вам еще повезло у каком-то регионе выдавали пятилетние сертификаты для Континента. Суть в том, что сертификаты для континента неквалифицированные и по логике ФК такие сертификаты не обязаны следовать всем требованиям, а КриптоПро их считает как квалифицированные с требованиями по закону. Пересоздать контейнер можно, например, экспортировав сертификат и закрытый ключ в формат p12/pfx, потом правой кнопкой по файлу pfx, выбрать "Установить PFX", задать расположение нового контейнера, пароль, потом установить сертификат с привязкой к новому контейнеру, а старый убрать в надежное место. Отредактировано пользователем 2 сентября 2019 г. 11:40:39(UTC)
| Причина: Не указана
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 02.09.2019(UTC) Сообщений: 4 Откуда: Москва
|
не могу найти строку: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity
может какой-то другой путь в 5 версии?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,376 Сказал «Спасибо»: 53 раз Поблагодарили: 773 раз в 715 постах
|
Автор: c5005 не могу найти строку: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity
может какой-то другой путь в 5 версии? По умолчанию такого параметра нет. При необходимости создайте его (тип DWORD). |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 02.09.2019(UTC) Сообщений: 4 Откуда: Москва
|
Большое Спасибо, был создан параметр в реестре, после перезагрузки Континент загрузился.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.03.2018(UTC) Сообщений: 2
|
Автор: two_oceans Пересоздать контейнер можно, например, экспортировав сертификат и закрытый ключ в формат p12/pfx, потом правой кнопкой по файлу pfx, выбрать "Установить PFX", задать расположение нового контейнера, пароль, потом установить сертификат с привязкой к новому контейнеру, а старый убрать в надежное место.
А для квалифицированных сертификатов этот метод также допускается применять? Не будет нарушения каких-либо требований ФСБ или разработчика? Хотелось бы ответ от разработчика получить.
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 393 раз в 366 постах
|
Мнение тогда уж лучше спрашивать у ФСБ или ФСТЭК. Пока выскажу некоторые соображения. 1) Квалифицированные сертификаты со сроком более 1 года 3 месяца найти достаточно сложно, так как более длительные сроки разрешены в основном для неизвлекаемых ключей. Легко догадаться, что пересоздать неизвлекаемый ключ по данному способу не выйдет, так как экспортировать его в PFX нельзя. Если ключ хранится в облаке, также не сработает перевод времени. Тут все честно, смухлевать не получится. 2) В квалифицированных сертификатах как правило указано расширение "Период действия закрытого ключа" в сертификате (и срок не превышает 1 года и 3 месяцев), пересоздание контейнера не даст прыгнуть дальше этой даты. Однако если есть разница несколько дней между конечной датой закрытого ключа в сертификате и конечной датой сертификата способ с переводом времени все еще работает. Несколько дней можно перетерпеть с отключенным контролем времени (главное, не забыть потом включить обратно) или с переводом времени. Или просто выбирать УЦ, который выдает сертификаты без такой разницы. В новых сертификатах даже УЦ ФК разницу свел к нулю, но разница следующего пункта осталась. 3) Разница между конечной датой закрытого ключа в сертификате и конечной датой закрытого ключа в контейнере устраняется либо стиранием конечной даты в контейнере либо пересозданием контейнера. В квалифицированном сертификате дату проставляет УЦ при соблюдении требований закона.
Как минимум, гарантируется что среди выпущенных сертифкатов этого УЦ не было такого же открытого ключа, то есть нельзя выпустить новый сертификат на ключ от старого сертификата. Таким образом, удостоверяется что до выпуска сертификата закрытый ключ использовался только для операций, не требующих сертификата (например, подписание запроса на сертификат) и в подавляющем большинстве случаев это дает почти нулевую наработку ключа до изготовления сертификата.
Другими словами, в 99,9% случаев можно считать, что регулярное использование ключа началось с момента выпуска сертификата. Соответственно, продление на несколько дней на дату указанную в сертификате (на мой взгляд) не противоречит закону. В итоге, для квалифицированных сертификатов с указанным периодом использования закрытого ключа речь идет о днях, срок не достигнет даже 16 месяцев с момента генерации ключа как ни манипулируй датами. Риск что-то нарушить будет только с квалифицированными сертификатами без расширения период использования закрытого ключа, выпущенными сроком более 15 месяцев, контейнеры для которых с извлекаемыми ключами и носители не сертифицированы по требованиям для длительного хранения ключей. Повторюсь, просто не выберайте УЦ с такими сертификатами.
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Проблема при подписании сертификата старше года
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close