Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы12>
сертификатов ЦС два, как сделать чтобы выпускался один СОС?
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Федор  
#1 Оставлено : 31 марта 2008 г. 12:49:28(UTC)
Федор

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.01.2008(UTC)
Сообщений: 93
Здравствуйте.
ситуация такая: прошла смена ключей ЦС, и теперь выпускается два СОС подписаных разными ключами. возможно ли сделать чтобы выпускался один СОС в который будут попадать отозваные сертификаты подписаные и новым ключом ЦС, и старым?
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Василий Дементьев  
#2 Оставлено : 31 марта 2008 г. 17:22:54(UTC)
Василий Дементьев

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 348
Откуда: ООО "КРИПТО-ПРО"

Поблагодарили: 5 раз в 4 постах
КриптоПро УЦ работает на базе Microsoft Certification Authority (MS CA), а в последнем предусмотрено разделение СОС по ключам.
Стало быть, в рамках существующего продукта сделать единый СОС не получится.

Точнее, даже если это сделать, то при проверке сертификата на всех клиентских машинах нужно будет переделывать алгоритм работы revocation provider.
Вверх
WWW
Offline Федор  
#3 Оставлено : 31 марта 2008 г. 17:43:23(UTC)
Федор

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.01.2008(UTC)
Сообщений: 93
Василий Дементьев написал:
КриптоПро УЦ работает на базе Microsoft Certification Authority (MS CA), а в последнем предусмотрено разделение СОС по ключам.
Стало быть, в рамках существующего продукта сделать единый СОС не получится.

Точнее, даже если это сделать, то при проверке сертификата на всех клиентских машинах нужно будет переделывать алгоритм работы revocation provider.

мдяяя... т.е. при смене ключей ЦС мне придется менять всю ключевую систему? у меня сервер под RedHat, а как сказано в http://www.cryptopro.ru/...t.aspx?g=posts&t=215 СОС на этом сервере может быть только один, и как теперь работать людям на старых ключах, если будет стоять только новый СОС?
Вверх
Offline Юрий Маслов  
#4 Оставлено : 1 апреля 2008 г. 17:45:01(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Федор написал:
мдяяя... т.е. при смене ключей ЦС мне придется менять всю ключевую систему? у меня сервер под RedHat, а как сказано в http://www.cryptopro.ru/...t.aspx?g=posts&t=215 СОС на этом сервере может быть только один, и как теперь работать людям на старых ключах, если будет стоять только новый СОС?


Нет, не придется. В каждом изготовленном сертификате будет находится одна ссылка на СОС, соответствующий тому сертификату ЦС (сертификату УЦ), на котором изготовлен сертификат пользователя.
Т.е. в сертификатах до смены ключей ЦС будет один URL в точке распространения СОС (CDP), в сертификатах изготовленных после смены ключей ЦС - другой URL в CDP. Фактически эти URL будут отличаться только именем файла СОС. КриптоПро УЦ настраивается соответственно и всё.
Т.о. КриптоПро УЦ издает два СОС, но во всех сертификата только один URL на СОС. Ваш сервер под RedHat в каждый момент времени будет работать только с одним из двух СОС. Думаю, что это Вас устроит.
С уважением,
КРИПТО-ПРО
Вверх
WWW
Offline Федор  
#5 Оставлено : 2 апреля 2008 г. 16:44:11(UTC)
Федор

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.01.2008(UTC)
Сообщений: 93
Юрий Маслов написал:
Федор написал:
мдяяя... т.е. при смене ключей ЦС мне придется менять всю ключевую систему? у меня сервер под RedHat, а как сказано в http://www.cryptopro.ru/...t.aspx?g=posts&t=215 СОС на этом сервере может быть только один, и как теперь работать людям на старых ключах, если будет стоять только новый СОС?


Нет, не придется. В каждом изготовленном сертификате будет находится одна ссылка на СОС, соответствующий тому сертификату ЦС (сертификату УЦ), на котором изготовлен сертификат пользователя.
Т.е. в сертификатах до смены ключей ЦС будет один URL в точке распространения СОС (CDP), в сертификатах изготовленных после смены ключей ЦС - другой URL в CDP. Фактически эти URL будут отличаться только именем файла СОС. КриптоПро УЦ настраивается соответственно и всё.
Т.о. КриптоПро УЦ издает два СОС, но во всех сертификата только один URL на СОС. Ваш сервер под RedHat в каждый момент времени будет работать только с одним из двух СОС. Думаю, что это Вас устроит.

если я правильно понял, то на момент смены ключей можно использовать для проверки СОС один в хранилище, а другой в точке распространения? Если не найдет его в хранилище - пойдет в точку распространения?
Вверх
Offline Татьяна  
#6 Оставлено : 3 апреля 2008 г. 23:20:01(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
Уточнение: получение списка отзыва через сеть будет работать в тех приложениях, в которых есть revocaton provider, умеющий выкачивить список отзыва по CDP. В разных приложениях проверка сертификатов на отзыв происходит по-разному: какие-то умеют выкачивать CRL, какие-то смотрят только в локальных хранилищах
Татьяна
ООО Крипто-Про
Вверх
Offline Федор  
#7 Оставлено : 4 апреля 2008 г. 12:44:58(UTC)
Федор

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.01.2008(UTC)
Сообщений: 93
Татьяна написал:
Уточнение: получение списка отзыва через сеть будет работать в тех приложениях, в которых есть revocaton provider, умеющий выкачивить список отзыва по CDP. В разных приложениях проверка сертификатов на отзыв происходит по-разному: какие-то умеют выкачивать CRL, какие-то смотрят только в локальных хранилищах

а как узнать, есть он или нет?
Вверх
Offline Федор  
#8 Оставлено : 4 апреля 2008 г. 17:48:01(UTC)
Федор

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.01.2008(UTC)
Сообщений: 93
так на revocation provider нужна лицензия... а по другому вопрос не обойти?
Вверх
Offline Василий Дементьев  
#9 Оставлено : 6 апреля 2008 г. 22:13:52(UTC)
Василий Дементьев

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 348
Откуда: ООО "КРИПТО-ПРО"

Поблагодарили: 5 раз в 4 постах
В рамках CSP 3.0 на линуксе будет работать правильно только если не ставить никакой СОС в хранилище и каждый раз после проверки сертифката по СОС (который будет скачиваться по cdp) удалять файл СОС из кеша.

В 3.6, как уже упоминалось, будет исправлено.
Вверх
WWW
Offline Федор  
#10 Оставлено : 8 апреля 2008 г. 12:57:25(UTC)
Федор

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.01.2008(UTC)
Сообщений: 93
Василий Дементьев написал:
В рамках CSP 3.0 на линуксе будет работать правильно только если не ставить никакой СОС в хранилище и каждый раз после проверки сертифката по СОС (который будет скачиваться по cdp) удалять файл СОС из кеша.

В 3.6, как уже упоминалось, будет исправлено.

а можно пояснить чей кеш имеется ввиду и как он очищается?
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET