Jump to content

Recommended Posts

2 часа назад, BRV сказал:

Добрый день!

Правильно ли я понимаю, что Вас интересует возможность переноса сертификатов, выданных в УКЦ №1 (подписанных ключом ЭП администратора №1), в УКЦ №2, в котором уже существует своя база сертификатов, подписанных ключом ЭП администратора №2?

Интересует возможность переноса сертификатов из УКЦ №1 (подписанных ключом администратора №1) в УКЦ №2 (с тем же ключом администратора, ключ перенесён).
Кроме способа "Сервис-Восстановление конфигурации"

Share this post


Link to post
Share on other sites
В 19.02.2018 в 12:20, Buravchik сказал:

Интересует возможность переноса сертификатов из УКЦ №1 (подписанных ключом администратора №1) в УКЦ №2 (с тем же ключом администратора, ключ перенесён).
Кроме способа "Сервис-Восстановление конфигурации"

получается, что необходимо получить второй экземпляр УЦ на другом АРМ?

Share this post


Link to post
Share on other sites
В 20.02.2018 в 22:31, BRV сказал:

получается, что необходимо получить второй экземпляр УЦ на другом АРМ?

Прошу прощения, не заметил Вашего сообщения.
Фактически, да. Интересуют другие средства отличные от Сохранение-Восстановление конфигурации.

АРМ поднят из резервной копии на дату, предположим 31.12.2017. Нужно в него загрузить информацию о выданных сертификатах за период с 31.12.2017 на текущий момент.
Доступом к  SQL и прочим "Административным" средствами располагаю.

Share this post


Link to post
Share on other sites
1 час назад, Buravchik сказал:

АРМ поднят из резервной копии на дату, предположим 31.12.2017. Нужно в него загрузить информацию о выданных сертификатах за период с 31.12.2017 на текущий момент.

А решение описанное в "ViPNet_Administrator_Migration_Guide_Ru" не подходит?

Share this post


Link to post
Share on other sites

Здравствуйте. Имеется сервер на котором стоит УКЦ, есть ли возможность одновременно работать нескольким пользователям в его консоли?

Share this post


Link to post
Share on other sites

Если 4-й версии то да, можно заводить несколько администраторов, НО всё равно кто что то выполняет тот и прав. остальные ждут.

Share this post


Link to post
Share on other sites

Добрый день!

Прошу подсказать по TSP/OCSP Service

В руководстве по TSP/OCSP Service сказано:

 

По завершении обработки запроса сервер формирует ответ, содержащий выпущенный штамп времени. В сформированном штампе времени содержится:

·         Значение хэш-функции от документа, на который выдан штамп, и идентификатор алгоритма хэширования.

·         Идентификатор политики (OID (см. глоссарий, стр. 88)), в соответствии с которой был выдан штамп времени.

·         Метка времени. Предоставляется источником времени, который используется ViPNet TSP/OCSP-сервером (см. Настройка источника точного времени (на стр. 39))

·         Точность времени и другая дополнительная информация.

 

Подскажите, откуда попадает точность времени в TSP-Ответ?

Где она может быть настроена?

 

Ответ который возвращается нашим TSP-сервером в поле «точность» пишет «неопределено».

Share this post


Link to post
Share on other sites
В 04.06.2018 в 15:16, Buravchik сказал:

Добрый день!

Прошу подсказать по TSP/OCSP Service

В руководстве по TSP/OCSP Service сказано:

 

По завершении обработки запроса сервер формирует ответ, содержащий выпущенный штамп времени. В сформированном штампе времени содержится:

·         Значение хэш-функции от документа, на который выдан штамп, и идентификатор алгоритма хэширования.

·         Идентификатор политики (OID (см. глоссарий, стр. 88)), в соответствии с которой был выдан штамп времени.

·         Метка времени. Предоставляется источником времени, который используется ViPNet TSP/OCSP-сервером (см. Настройка источника точного времени (на стр. 39))

·         Точность времени и другая дополнительная информация.

 

Подскажите, откуда попадает точность времени в TSP-Ответ?

Где она может быть настроена?

 

Ответ который возвращается нашим TSP-сервером в поле «точность» пишет «неопределено».

Добрый день!

Точность это атрибут политики TSP и должен настраиваться вместе с заданием идентификатора политики.

В текущих версиях настройка данного параметра не предусмотрена.

 

Share this post


Link to post
Share on other sites

Добрый день!

Подскажите, где в программе ViPNet Administrator 4.6 хранится ключ защиты УКЦ? Как можно можно создать новый ключ? Что делать в случае если смена ключа УКЦ завершается с ошибой и происходит откат конфигурации?

Дело в том в процессе замены ключа УКЦ возникают проблема и новый ключ защиты УКЦ не создается.

Можно ли пересоздать администратора в процессе работы в с УКЦ?

Share this post


Link to post
Share on other sites
4 часа назад, Buravchik сказал:

Дело в том в процессе замены ключа УКЦ возникают проблема и новый ключ защиты УКЦ не создается.

Это мне кажется уже наводки на то, что что то работает не так - т.е. какие то компоненты сломались. Для начала может попробовать переустановить (восстановление) и быть может даже всё заработает.

Где хранятся надо глянуть в инструкции про "миграцию" где то в "аппдата" или скорее всего папки "пользователь" точно уже не помню, но там написано что важно для переноса.

Share this post


Link to post
Share on other sites

Добрый день!

Вопрос по ViPNet TSP/OCSP-сервису.
Планируется замена сертификат Удостоверяющего центра, а данный момент не описан в руководстве администратора.
Подскажите, служба OCSP нормально работает с несколькими сертификатами сервера?
У Удостоверяющего центра есть СертификатУЦ1 который выдал сертификат службеУЦ.
Достаточно ли будет при переходе на СертификатУЦ2 выдать от него новый сертификат СлужбеУЦ?
Нужно чтобы служба OCSP возвращала ответы о статусах отзыва сертификатов и от СертификатаУЦ1 и СертификатаУЦ2

Share this post


Link to post
Share on other sites
33 минуты назад, Buravchik сказал:

Планируется замена сертификат Удостоверяющего центра, а данный момент не описан в руководстве администратора.
Подскажите, служба OCSP нормально работает с несколькими сертификатами сервера?
У Удостоверяющего центра есть СертификатУЦ1 который выдал сертификат службеУЦ.
Достаточно ли будет при переходе на СертификатУЦ2 выдать от него новый сертификат СлужбеУЦ?
Нужно чтобы служба OCSP возвращала ответы о статусах отзыва сертификатов и от СертификатаУЦ1 и СертификатаУЦ2

Добрый день!

Если в УЦ используется несколько сертификатов администраторов и выпускается несколько CRL, то у OCSP также должно быть несколько сертификатов для того, чтобы подписывать OCSP-запросы. Так заложено в самом протоколе OCSP.

 

 

Share this post


Link to post
Share on other sites
1 минуту назад, BRV сказал:

Добрый день!

Если в УЦ используется несколько сертификатов администраторов и выпускается несколько CRL, то у OCSP также должно быть несколько сертификатов для того, чтобы подписывать OCSP-запросы. Так заложено в самом протоколе OCSP.

Спасибо за ответ.
Мне понятно что для разных сертификатов администратора должны быть разные CRL и разные сертификаты службы OCSP.
Вопрос вот в чем. Корректно ли служба OCSP отрабатывает запросы на статус отзыва сертификата в случае нескольких сертификатов сервиса(выданные разными сертификатами администратора)?

При смене сертификата администратора я выдаю сертификат службе OCSP на старом ключе(чтобы обеспечить проверку ещё действующих сертификатов пользователей)
и на новом ключе (чтобы проверялись сертификаты выданные на новом сертификате администратора)?
При условии что сертификаты службы выданные от Сертификат_Администратора_1 и Сертификат_Администратора_2 действительны и в службу загружены СОСы
то OCSP будет возвращать OCSP-ответ о статусах сертификата пользователей от выданных от СертификатАдминистратора1 и СертификатАдминистратора2.
(постарался максимально подробно расписать)
Я правильно мыслю?

Share this post


Link to post
Share on other sites
28 минут назад, Buravchik сказал:

Спасибо за ответ.
Мне понятно что для разных сертификатов администратора должны быть разные CRL и разные сертификаты службы OCSP.
Вопрос вот в чем. Корректно ли служба OCSP отрабатывает запросы на статус отзыва сертификата в случае нескольких сертификатов сервиса(выданные разными сертификатами администратора)?

При смене сертификата администратора я выдаю сертификат службе OCSP на старом ключе(чтобы обеспечить проверку ещё действующих сертификатов пользователей)
и на новом ключе (чтобы проверялись сертификаты выданные на новом сертификате администратора)?
При условии что сертификаты службы выданные от Сертификат_Администратора_1 и Сертификат_Администратора_2 действительны и в службу загружены СОСы
то OCSP будет возвращать OCSP-ответ о статусах сертификата пользователей от выданных от СертификатАдминистратора1 и СертификатАдминистратора2.
(постарался максимально подробно расписать)
Я правильно мыслю?

Все верно. В документации на ViPNet TSP-OCSP Service описана процедура работы OCSP-службы (раздел "Процесс обработки OCSP-запросов").

Share this post


Link to post
Share on other sites
2 минуты назад, BRV сказал:

Все верно. В документации на ViPNet TSP-OCSP Service описана процедура работы OCSP-службы (раздел "Процесс обработки OCSP-запросов").

Не забудьте установить параметр OCSP - Использовать идентификатор ключа проверки ЭП для определения сертификата

Share this post


Link to post
Share on other sites

Здравствуйте! Подскажите, пожалуйста, все ли в порядке с тестовым УЦ?

Скачал VipNet CSP для Linux версии 4.2.11. Сформировал запрос на сертификат в формате base64 по шаблонному файлу minimal.inf. Загружаю полученный minimal.p10 в тестовый УЦ и получаю ошибку:

Сервис не ответил вовремя. Внутренняя ошибка сервера. Возможно сервер неверно сконфигурирован.

Грусть печаль на тестовом УЦ.png

Share this post


Link to post
Share on other sites
В 19.03.2019 в 15:28, sabov.am сказал:

Здравствуйте! Подскажите, пожалуйста, все ли в порядке с тестовым УЦ?

Скачал VipNet CSP для Linux версии 4.2.11. Сформировал запрос на сертификат в формате base64 по шаблонному файлу minimal.inf. Загружаю полученный minimal.p10 в тестовый УЦ и получаю ошибку:

Сервис не ответил вовремя. Внутренняя ошибка сервера. Возможно сервер неверно сконфигурирован.

Грусть печаль на тестовом УЦ.png

Добрый день! У Вас ошибка сохраняется? пробный выпуск тестового сертификата у меня прошел успешно.

 

Share this post


Link to post
Share on other sites
В 27.03.2019 в 11:08, BRV сказал:

Добрый день! У Вас ошибка сохраняется? пробный выпуск тестового сертификата у меня прошел успешно.

Здравствуйте, да, ошибка прежняя.

Во вложении файлы запросов, которые пытаюсь загрузить. Сформированы по соответствующим шаблонам из дистрибутива CSP 4.2.11 (из /opt/itcs/share/certreq).

Все действия выполнял согласно руководству пользователя: глава 3 "Получение и установка сертификата и закрытого ключа", раздел "Формирование запроса на издание сертификата".

minimal.p10

gost2012_512.p10

Share this post


Link to post
Share on other sites

Подскажите где в инструкции ViPNet_Administrator 4 указано ограничение на имя пользователя и клиента в ЦУС, в версии 3.2 было это указано, что "имя не должно содержат спец символов" и там в том числе кавычки, а в 4-й версии не могу найти. Чтоб было куда указать на вопрос - Почему ООО Капуста, а не ООО "Капуста" ? Говоришь небыло кавычек в 3 и не будет в 4.

Share this post


Link to post
Share on other sites

в версии 4 при вводе символов сразу выдается ошибка, если данный символ не применим. т.е. Вы не сможете использовать имя с неприменимыми символами, в частности кавычками, а вот апостроф, например работает.

Share this post


Link to post
Share on other sites
2 часа назад, Wild сказал:

в версии 4 при вводе символов сразу выдается ошибка, если данный символ не применим. т.е. Вы не сможете использовать имя с неприменимыми символами, в частности кавычками, а вот апостроф, например работает.

Это я знаю, где это в инструкции указано спрашиваю, чтоб ответ "беснующим юристам" дать, на их "

Цитата

с ПФР .... в Соглашении по ЭДО абонентский пункт банка указан Абонентский пункт: ...  «Банк». У ПФР наш аб. пункт выгрузился иначе без ковычек

Хотя понятно это не должно быть проблемой, но они только заметили, т.к. пришлось заменить и я сказал не вопрос, но уточните чтоб там не было проблем что были АОА стали АО, вот они видно и заметили теперь что кавычек нет, хотя на 3-ке конечно их тоже не было.

Потому и роюсь в инструкции. чтоб изложить это с указанием именно тех. средств. 

Share this post


Link to post
Share on other sites

В документации на 4.х не нашел.

Но тут есть момент, если ограничение видно визуально, то (предполагаю) решили что нет необходимости в документации на 4.х прописывать ограничения, а в 3.х такого не было и следовало в доке это указать, чтобы пользователи знали.

Share this post


Link to post
Share on other sites
6 часов назад, Wild сказал:

В документации на 4.х не нашел.

Но тут есть момент, если ограничение видно визуально, то (предполагаю) решили что нет необходимости в документации на 4.х прописывать ограничения, а в 3.х такого не было и следовало в доке это указать, чтобы пользователи знали.

Согласен, так же это предполагал, думал вдруг "Синее лицо" заметит и ответит, он хорошо подсказывает. Но всё же это упущение если это так, т.к. в любой документации по СЗИ везде прописывают такие моменты.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.