Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Pilgrim-26  
#1 Оставлено : 24 сентября 2009 г. 16:46:09(UTC)
Pilgrim-26

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.08.2009(UTC)
Сообщений: 35
Мужчина
Российская Федерация
Откуда: Железногорск Красноярского края

Здравствуйте, после установки новой версии УЦ (.0857) не могу правильно настроить расписание выпуска CRL. На старой (.0756) такой проблемы небыло.
В свойствах модуля выхода КриптоПро УЦ пишу:
Интервал выпуска - 1 дней;
Точность часов - 10 минут;
Интервал перекрытия 4 дней.
Следующий выпуск пишется текущая дата плюс 24 часа 10 минут.
Используемый интервал перекрытия пишется "Дней: 1" (также неправильно писало и в старой версии, но на результат это не влияло).
Но в выпущенном CRL срок действия проставляется текущая дата плюс 48 часов 20 минут. Почему?

Итого имеем с одинаковыми настройками УЦ сборки 756 выпускает сертификат на 5 дней, а УЦ сборки 857 на два дня !!! Что я сделал не так и как это исправить?

Дополнительно: специальное расписание публикаций отключено.

Отредактировано пользователем 24 сентября 2009 г. 16:50:32(UTC)  | Причина: Не указана

Offline IvanZzz  
#2 Оставлено : 24 сентября 2009 г. 19:49:41(UTC)
IvanZzz

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519
Мужчина
Откуда: Крипто-Про

Цитата:
Используемый интервал перекрытия пишется "Дней: 1" (также неправильно писало и в старой версии, но на результат это не влияло).

Пишет как раз правильно, но выпускал CRL неверно. В одной из последующих сборок эта проблема была исправленна.

Отредактировано пользователем 13 ноября 2009 г. 14:34:05(UTC)  | Причина: Не указана

Offline Pilgrim-26  
#3 Оставлено : 25 сентября 2009 г. 8:42:16(UTC)
Pilgrim-26

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.08.2009(UTC)
Сообщений: 35
Мужчина
Российская Федерация
Откуда: Железногорск Красноярского края

IvanZzz написал:
Пишет как раз правильно, но выпускал CRL не верно. В одной из последующих сборок эта проблема была исправленна.

И что здесь правильного? Согласно алгоритму расчёта приведёному в ЖТЯИ.00035-01 90 03 "Следующее обновление будет равно дате, получаемой путём прибавления к дате выполнения запроса интервала публикации и значения приращения интервала публикации". Т.е. 24 часа + 4*24 часа = 120 часов !!! А не 48 часов 20 минут.

Имеем явное не выполнение программой заявленного в документации функцинала. Необходимо срочно исправить, т.к. данная ошибка программы не позволяет гарантированно выполнять УЦ обязательства перед клиентами по публикации CRL.

Можно ли вернуть модуль выхода со старой сборки? Он хоть и кривой, но, в отличии от нового, работает. Что для этого необходимо сделать?

Отредактировано пользователем 25 сентября 2009 г. 8:50:03(UTC)  | Причина: Не указана

Offline IvanZzz  
#4 Оставлено : 25 сентября 2009 г. 13:57:04(UTC)
IvanZzz

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519
Мужчина
Откуда: Крипто-Про

Цитата:
И что здесь правильного?
Не логично иметь Время на обновление (Интервал перекрытия) больше Интервал публикации . В Модуле выхода пишется, что "Интервал перекрытия" в итоге будет не больше Интервала публикации (Используемый интервал перекрытия) - что и имеем в вашей сборке. Багу не вижу.

Отредактировано пользователем 25 сентября 2009 г. 14:20:51(UTC)  | Причина: Не указана

Offline Pilgrim-26  
#5 Оставлено : 25 сентября 2009 г. 15:11:06(UTC)
Pilgrim-26

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.08.2009(UTC)
Сообщений: 35
Мужчина
Российская Федерация
Откуда: Железногорск Красноярского края

IvanZzz написал:
Не логично иметь Время на обновление (Интервал перекрытия) больше Интервал публикации.
Логика следующая. Согласно регламента наш УЦ должен выпускать CRL раз в сутки. Что и делается в автоматическом режиме. Но т.к. УЦ изолированный (не имеет выхода в интернет), то на публикуцию CDP уходит некоторое время. Для исключения вероятности, события когда на CDP не будет действующего CRL и делается столь длительный срок перекрытия. Это то, что касается реальных причин таких настроек.
Но по любому, раз в программу заложена такая возможность и описана в документации то нужно её выполнять. Не нужно ссылаться на нелогичность тех или иных действий пользователя, к тому же если их лигика Вам не известна. Подобные настройки ни как не противоречат функционированию программы, заявленному в документации. Однако не реализованы на практике.
IvanZzz написал:
В Модуле выхода пишется, что "Интервал перекрытия" в итоге будет не больше Интервала публикации (Используемый интервал перекрытия) - что и имеем в вашей сборке. Багу не вижу.
Я не нашёл где это написано. Фразы "Интервал перекрытия в итоге будет не больше Интервала публикации" я не нашёл ни в документации ни на экране (специально ещё раз прочитал). Подскажите откуда Вы это взяли. Если так действительно написано - я сниму свою претензию.
Offline IvanZzz  
#6 Оставлено : 25 сентября 2009 г. 16:58:11(UTC)
IvanZzz

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519
Мужчина
Откуда: Крипто-Про

"Используемый интервал перекрытия" - есть в настройках ЦС.

Цитата:
Логика следующая.
Согласен, было бы очень красиво кажды день иметь актуальный сос на месяц. Но это не правильно - ничего хорошего из этого не выйдет. Пользователи с неограниченно большим запозданием буду получать уже устаревший СОС, тогда как будет существует более актуальная версия СОС да еще и не одна...

Подробей опишите в каком пункте документации вы усмотрели ошибку.

Увечите Интервал выпуска и Интрвал перекрытия что бы успеть переместить СОС в CDP.

Отредактировано пользователем 13 ноября 2009 г. 14:50:46(UTC)  | Причина: Не указана

Offline Pilgrim-26  
#7 Оставлено : 25 сентября 2009 г. 17:51:48(UTC)
Pilgrim-26

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.08.2009(UTC)
Сообщений: 35
Мужчина
Российская Федерация
Откуда: Железногорск Красноярского края

IvanZzz написал:
"Используемый интервал перекрытия" - есть в настройках ЦС.
Не спорю, но не в той формулировке, которую Вы использовали в более раннем посте.
IvanZzz написал:
Согласен, было бы очень красиво кажды день иметь актуальный сос на месяц. Но это не правильно - ничего хорошего из этого не выйдет.
С этим тоже согласен, моя логика не бесспорная. Но есть техническая сторона дела, с которой не поспоришь...
IvanZzz написал:
Увечите Интервал выпуска и Интрвал перекрытия что бы успеть переместить СОС в CDP.
Для увеличения периодичности выпуска СОС необходимо менять регламент УЦ. Если не будет найдено техническое решение проблемы - придётся идти именно этим путём.
IvanZzz написал:
Подробей опишите в каком пункте документации вы усмотрели ошибку.

Я имел в виду ЖТЯИ.00035-01 90 03. КриптоПро УЦ. Центр сертификации. Руководство по эксплуатации на платформе MS Windows Server 2003. Раздел 1.3. Настройка расписания выпуска списка отозванных сертификатов Страница 8. Тут достаточно понятно (если не считать одну опечатку) изложена методика расчёта всех дат, включаемых в СОС. В частности и ту, что я цитировал выше. Ни каких ограничений, упоминаемых Вами, типа "Интервал перекрытия в итоге будет не больше Интервала публикации" тут нет. Из чего и делаем вывод об их необоснованности.

Отредактировано пользователем 25 сентября 2009 г. 17:53:34(UTC)  | Причина: Не указана

Offline IvanZzz  
#8 Оставлено : 25 сентября 2009 г. 18:09:07(UTC)
IvanZzz

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519
Мужчина
Откуда: Крипто-Про

Pilgrim-26 написал:
Для увеличения периодичности выпуска СОС необходимо менять регламент УЦ. Если не будет найдено техническое решение проблемы - придётся идти именно этим путём.

Напишите письмо на info@cryptopro.ru c копией на support@cryptopro.ru c постановкой задачи изменения Модуля выхода ЦС для ваших целей - возможность, трудоемкость будут рассмотрены.
Offline Pilgrim-26  
#9 Оставлено : 28 сентября 2009 г. 9:34:22(UTC)
Pilgrim-26

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.08.2009(UTC)
Сообщений: 35
Мужчина
Российская Федерация
Откуда: Железногорск Красноярского края

IvanZzz написал:
Напишите письмо на info@cryptopro.ru c копией на support@cryptopro.ru

Спасибо. Написал. Будем ждать теперь ответа там.
Offline pre  
#10 Оставлено : 28 сентября 2009 г. 17:11:06(UTC)
pre

Статус: Эксперт

Группы: Участники
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 7
Мужчина
Откуда: Крипто-Про

Информация на тему от Microsoft (на русском):

Из Technet, раздел Windows Server 2003:
http://technet.microsoft...ary/cc738468(WS.10).aspx

Из Technet, раздел Windows Server 2008:
http://technet.microsoft...ary/cc731104(WS.10).aspx

Из [MS-CSRA] Certificate Services Remote Administration Protocol Specification:
http://msdn.microsoft.co...26763(PROT.10).aspx#id41

Наиболее интересен алгоритм вычисления Config.Base.CRL.Overlap.Period в последней статье, из которой следует, что период CRL.Overlap.Period не может быть больше периода CRL.Validity.Period.

При реализации Крипто-Про УЦ 1.4 у нас было желание расширить функциональность службы сертификации Microsoft, добавив возможность публикации CRL по расписанию, оставив остальные алгоритмы в неизменном виде. Т.к. спецификация [MS-CSRA] на тот момент еще не была доступна, то есть небольшие расхождения в алгоритме вычисления сроков действия CRL между нашим модулем публикации и встроенным в оригинальную службу сертификатов MS, но в целом алгоритм соблюдается достаточно точно. В описанном вами примере как раз наблюдается небольшое отличие нашей реализации от MS, наша реализация вычисляет период перекрытия, равный периоду CRL, т.е. 24 часам, а реализация Microsoft должна была получить 12 часов (т.е. у нас даже больше, чем у MS). Мы даже подумываем, не привести ли алгоритм в соответстве с MS.

Период перекрытия задуман в Microsoft как время, необходимое на ручные или полуавтоматические действия по доставке CRL в пункт CDP.
Здравый смысл подсказывает не делать период публикации очень большим, иначе теряется весь смысл частого обновления CRL, т.к. пока новый список 4 дня доставляется в CDP (на оленях видимо d'oh! ) все пользователи вынужены пользоваться почти истекшим списком, срок действия которого почти подошел к концу. Т.о. вся сеть пользователей, фактически, работает на истекших CRL.

Маловероятно, что дело именно в долгом механизме доставки CRL в CDP (не курьеры же их возят). Скорее всего, при помощи этого параметра есть желание решить какую-то другую организационную проблему. Например, механизм публикации CRL по времени, который реализован в нашем УЦ, позволяет решить проблему наличия выходных и праздников у сотрудников, ответственных за выпуск и транспортировку CRL в пункт CDP (для этого он и был придуман). Расписание может помочь закрыть УЦ на плановое обслуживание (например, с 1 по 7 января) без остановки сети пользователей (CRL будет доступен все время).

Если есть подобные проблемы, давайте попробуем решить их в вместе другим способом, но позволять сроку перекрытия стремиться к бесконечности, я думаю, совершенно неправильно (все может кончиться CRL, действующими год).
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.