Подскажите пожалуйста, есть ли какие-то ограничения по сроку действия кросс-сертификата (эксплуатационная документация и т.п.)? Можно ли в ПАК "Удостоверяющий центр "КриптоПро УЦ" при обработке запроса на кросс задать срок действия превышающий 1 год и 3 месяца?

Это ясно, я хотел бы узнать, если, допустим, у нашего УЦ1 корневой СКП действует 3 года, в УЦ2 наших партнеров 5 лет, то можно ли выпустить кросс сразу со сроком действия 3 года, а не проводить каждый год его плановую замену. Если можно, то каким образом?

Отредактировано пользователем 8 сентября 2010 г. 13:40:51(UTC)  | Причина: Не указана

Очень спорное утверждение.
Ключ УЛУЦ обновляется не реже чем раз в 1 год и 3 месяца. При этом новый ключ УЛУЦ используется для подписи выдаваемых сертификатов и нового списка отозванных сертификатов, а предыдущий ключ УЛУЦ тоже продолжает использоваться для подписи предыдущего списка отозванных сертификатов (еще минимум 1 год и 3 месяца). Это относится и к УЦ1 и к УЦ2.
Если выдавать кросс-сертификат на 1 год и 3 месяца, то придется это делать 2 раза. А если выдать кросс сертификат сразу на срок до окончания действия ключа УЛУЦ1, то достаточно одного кросс сертификата.

Приведу пример с ГНИВЦем ФНС.
ГНИВЦ (в данном случае УЦ1) выдает доверенному УЦ (Ц2) кросс-сертификат на 1 год. Ключ УЛУЦ2 меняется 1 раз в год и 3 месяца.
Для простоты предположим, что ключ УЛУЦ2 и кросс сертификат начали действовать 01.01.2010.
01.01.2011 кросс-сертификат заканчивается, а ключ УЛУЦ2 еще действует 3 месяца. Выпускается НОВЫЙ кросс-сертификат до 01.01.2012.
01.04.2011 меняется ключ УЛУЦ2, но предыдыдущий еще используется 1 год и 3 месяца для подписи СОС.
01.01.2012 заканчивается второй кросс-сертификат, но ключ УЛУЦ2 еще будет использоваться 6 месяцев для подписи СОС. Выпускается НОВЫЙ кросс-сертификат до 01.01.2013.

Итого на один ключ УЛУЦ2 нужно выпустить 3 кросса (если менять ключ УЛУЦ2 1 раз в год, то все равно нужно будет выпускать 2 кросса). При этом нужно выпускать кросс сертификаты для новых ключей УЛУЦ2.

По моему, проще сразу выдать кросс сертификат на 3 года или я не прав?

Все верно. Рекомендуется выдавать кросс. на срок не меньший чем срок действия сертификата по которому выдается кросс. Как раз такую настройку можно сделать .





Почему это?

Отредактировано пользователем 10 сентября 2010 г. 15:37:03(UTC)  | Причина: Не указана

Изоляция УЦ не сильно продлевает срок действия закрытого ключа УЛУЦ, т.к. во время действия з.к. УЛУЦ вам все равно нужно будет рассчитать дату, когда вы прекратите выпускать сертификаты пользователей и перейдете только на выпуск СОС. Т.к. СОС должен выпускаться пока закрытые ключи от сертификатов выданных на вашем УЦ еще действуют. Звучит труднопонимаемо попробую привести Примеры:

По умолчанию срок действия закрытых ключей пользователей УЦ 1 год. Значит, максимум закрытый ключ УЛ изолированного от сети УЦ на выпуск сертификатов может действовать 2 года и соответственно 1 год остается на выпуск СОС.

Если установить сроки действия ключей пользователей максимальными для СКЗИ 1 год и 3 месяца, тогда закрытый ключ УЛ изолированного от сети УЦ будет действовать 1 год 9 месяцев на выпуск сертификатов и 1 год и 3 месяца на выпуск СОС.

Изложенные идеи будут понятны, если вы осознаете отличия сроков сертификат и закрытого ключа этого сертификата.

Отредактировано пользователем 26 сентября 2010 г. 23:23:09(UTC)  | Причина: Не указана