Про ViPNet Удостоверяющий центр

[Buravchik]

2 часа назад, BRV сказал:

Добрый день!

Правильно ли я понимаю, что Вас интересует возможность переноса сертификатов, выданных в УКЦ №1 (подписанных ключом ЭП администратора №1), в УКЦ №2, в котором уже существует своя база сертификатов, подписанных ключом ЭП администратора №2?

Интересует возможность переноса сертификатов из УКЦ №1 (подписанных ключом администратора №1) в УКЦ №2 (с тем же ключом администратора, ключ перенесён).
Кроме способа "Сервис-Восстановление конфигурации"

[BRV]

В 19.02.2018 в 12:20, Buravchik сказал:

Интересует возможность переноса сертификатов из УКЦ №1 (подписанных ключом администратора №1) в УКЦ №2 (с тем же ключом администратора, ключ перенесён).
Кроме способа "Сервис-Восстановление конфигурации"

получается, что необходимо получить второй экземпляр УЦ на другом АРМ?

[Buravchik]

В 20.02.2018 в 22:31, BRV сказал:

получается, что необходимо получить второй экземпляр УЦ на другом АРМ?

Прошу прощения, не заметил Вашего сообщения.
Фактически, да. Интересуют другие средства отличные от Сохранение-Восстановление конфигурации.

АРМ поднят из резервной копии на дату, предположим 31.12.2017. Нужно в него загрузить информацию о выданных сертификатах за период с 31.12.2017 на текущий момент.
Доступом к  SQL и прочим "Административным" средствами располагаю.

[Vintik]

1 час назад, Buravchik сказал:

АРМ поднят из резервной копии на дату, предположим 31.12.2017. Нужно в него загрузить информацию о выданных сертификатах за период с 31.12.2017 на текущий момент.

А решение описанное в "ViPNet_Administrator_Migration_Guide_Ru" не подходит?

[anipv]

Здравствуйте. Имеется сервер на котором стоит УКЦ, есть ли возможность одновременно работать нескольким пользователям в его консоли?

[Vintik]

Если 4-й версии то да, можно заводить несколько администраторов, НО всё равно кто что то выполняет тот и прав. остальные ждут.

[anipv]

Понятно. Спасибо

[Buravchik]

Добрый день!

Прошу подсказать по TSP/OCSP Service

В руководстве по TSP/OCSP Service сказано:

 

По завершении обработки запроса сервер формирует ответ, содержащий выпущенный штамп времени. В сформированном штампе времени содержится:

·         Значение хэш-функции от документа, на который выдан штамп, и идентификатор алгоритма хэширования.

·         Идентификатор политики (OID (см. глоссарий, стр. 88)), в соответствии с которой был выдан штамп времени.

·         Метка времени. Предоставляется источником времени, который используется ViPNet TSP/OCSP-сервером (см. Настройка источника точного времени (на стр. 39))

·         Точность времени и другая дополнительная информация.

 

Подскажите, откуда попадает точность времени в TSP-Ответ?

Где она может быть настроена?

 

Ответ который возвращается нашим TSP-сервером в поле «точность» пишет «неопределено».

[BRV]

В 04.06.2018 в 15:16, Buravchik сказал:

Добрый день!

Прошу подсказать по TSP/OCSP Service

В руководстве по TSP/OCSP Service сказано:

 

По завершении обработки запроса сервер формирует ответ, содержащий выпущенный штамп времени. В сформированном штампе времени содержится:

·         Значение хэш-функции от документа, на который выдан штамп, и идентификатор алгоритма хэширования.

·         Идентификатор политики (OID (см. глоссарий, стр. 88)), в соответствии с которой был выдан штамп времени.

·         Метка времени. Предоставляется источником времени, который используется ViPNet TSP/OCSP-сервером (см. Настройка источника точного времени (на стр. 39))

·         Точность времени и другая дополнительная информация.

 

Подскажите, откуда попадает точность времени в TSP-Ответ?

Где она может быть настроена?

 

Ответ который возвращается нашим TSP-сервером в поле «точность» пишет «неопределено».

Добрый день!

Точность это атрибут политики TSP и должен настраиваться вместе с заданием идентификатора политики.

В текущих версиях настройка данного параметра не предусмотрена.

 

[Buravchik]

Добрый день!

Подскажите, где в программе ViPNet Administrator 4.6 хранится ключ защиты УКЦ? Как можно можно создать новый ключ? Что делать в случае если смена ключа УКЦ завершается с ошибой и происходит откат конфигурации?

Дело в том в процессе замены ключа УКЦ возникают проблема и новый ключ защиты УКЦ не создается.

Можно ли пересоздать администратора в процессе работы в с УКЦ?

[Vintik]

4 часа назад, Buravchik сказал:

Дело в том в процессе замены ключа УКЦ возникают проблема и новый ключ защиты УКЦ не создается.

Это мне кажется уже наводки на то, что что то работает не так - т.е. какие то компоненты сломались. Для начала может попробовать переустановить (восстановление) и быть может даже всё заработает.

Где хранятся надо глянуть в инструкции про "миграцию" где то в "аппдата" или скорее всего папки "пользователь" точно уже не помню, но там написано что важно для переноса.

[Buravchik]

Добрый день!

Вопрос по ViPNet TSP/OCSP-сервису.
Планируется замена сертификат Удостоверяющего центра, а данный момент не описан в руководстве администратора.
Подскажите, служба OCSP нормально работает с несколькими сертификатами сервера?
У Удостоверяющего центра есть СертификатУЦ1 который выдал сертификат службеУЦ.
Достаточно ли будет при переходе на СертификатУЦ2 выдать от него новый сертификат СлужбеУЦ?
Нужно чтобы служба OCSP возвращала ответы о статусах отзыва сертификатов и от СертификатаУЦ1 и СертификатаУЦ2

[BRV]

33 минуты назад, Buravchik сказал:

Планируется замена сертификат Удостоверяющего центра, а данный момент не описан в руководстве администратора.
Подскажите, служба OCSP нормально работает с несколькими сертификатами сервера?
У Удостоверяющего центра есть СертификатУЦ1 который выдал сертификат службеУЦ.
Достаточно ли будет при переходе на СертификатУЦ2 выдать от него новый сертификат СлужбеУЦ?
Нужно чтобы служба OCSP возвращала ответы о статусах отзыва сертификатов и от СертификатаУЦ1 и СертификатаУЦ2

Добрый день!

Если в УЦ используется несколько сертификатов администраторов и выпускается несколько CRL, то у OCSP также должно быть несколько сертификатов для того, чтобы подписывать OCSP-запросы. Так заложено в самом протоколе OCSP.

 

 

[Buravchik]

1 минуту назад, BRV сказал:

Добрый день!

Если в УЦ используется несколько сертификатов администраторов и выпускается несколько CRL, то у OCSP также должно быть несколько сертификатов для того, чтобы подписывать OCSP-запросы. Так заложено в самом протоколе OCSP.

Спасибо за ответ.
Мне понятно что для разных сертификатов администратора должны быть разные CRL и разные сертификаты службы OCSP.
Вопрос вот в чем. Корректно ли служба OCSP отрабатывает запросы на статус отзыва сертификата в случае нескольких сертификатов сервиса(выданные разными сертификатами администратора)?

При смене сертификата администратора я выдаю сертификат службе OCSP на старом ключе(чтобы обеспечить проверку ещё действующих сертификатов пользователей)
и на новом ключе (чтобы проверялись сертификаты выданные на новом сертификате администратора)?
При условии что сертификаты службы выданные от Сертификат_Администратора_1 и Сертификат_Администратора_2 действительны и в службу загружены СОСы
то OCSP будет возвращать OCSP-ответ о статусах сертификата пользователей от выданных от СертификатАдминистратора1 и СертификатАдминистратора2.
(постарался максимально подробно расписать)
Я правильно мыслю?

[BRV]

28 минут назад, Buravchik сказал:

Спасибо за ответ.
Мне понятно что для разных сертификатов администратора должны быть разные CRL и разные сертификаты службы OCSP.
Вопрос вот в чем. Корректно ли служба OCSP отрабатывает запросы на статус отзыва сертификата в случае нескольких сертификатов сервиса(выданные разными сертификатами администратора)?

При смене сертификата администратора я выдаю сертификат службе OCSP на старом ключе(чтобы обеспечить проверку ещё действующих сертификатов пользователей)
и на новом ключе (чтобы проверялись сертификаты выданные на новом сертификате администратора)?
При условии что сертификаты службы выданные от Сертификат_Администратора_1 и Сертификат_Администратора_2 действительны и в службу загружены СОСы
то OCSP будет возвращать OCSP-ответ о статусах сертификата пользователей от выданных от СертификатАдминистратора1 и СертификатАдминистратора2.
(постарался максимально подробно расписать)
Я правильно мыслю?

Все верно. В документации на ViPNet TSP-OCSP Service описана процедура работы OCSP-службы (раздел "Процесс обработки OCSP-запросов").

[BRV]

2 минуты назад, BRV сказал:

Все верно. В документации на ViPNet TSP-OCSP Service описана процедура работы OCSP-службы (раздел "Процесс обработки OCSP-запросов").

Не забудьте установить параметр OCSP - Использовать идентификатор ключа проверки ЭП для определения сертификата

[BRV]

На сайте доступна новая версия ViPNet CA Informing.

 

 

[sabov.am]

Здравствуйте! Подскажите, пожалуйста, все ли в порядке с тестовым УЦ?

Скачал VipNet CSP для Linux версии 4.2.11. Сформировал запрос на сертификат в формате base64 по шаблонному файлу minimal.inf. Загружаю полученный minimal.p10 в тестовый УЦ и получаю ошибку:

Сервис не ответил вовремя. Внутренняя ошибка сервера. Возможно сервер неверно сконфигурирован.

[BRV]

В 19.03.2019 в 15:28, sabov.am сказал:

Здравствуйте! Подскажите, пожалуйста, все ли в порядке с тестовым УЦ?

Скачал VipNet CSP для Linux версии 4.2.11. Сформировал запрос на сертификат в формате base64 по шаблонному файлу minimal.inf. Загружаю полученный minimal.p10 в тестовый УЦ и получаю ошибку:

Сервис не ответил вовремя. Внутренняя ошибка сервера. Возможно сервер неверно сконфигурирован.

Добрый день! У Вас ошибка сохраняется? пробный выпуск тестового сертификата у меня прошел успешно.

 

[sabov.am]

В 27.03.2019 в 11:08, BRV сказал:

Добрый день! У Вас ошибка сохраняется? пробный выпуск тестового сертификата у меня прошел успешно.

Здравствуйте, да, ошибка прежняя.

Во вложении файлы запросов, которые пытаюсь загрузить. Сформированы по соответствующим шаблонам из дистрибутива CSP 4.2.11 (из /opt/itcs/share/certreq).

Все действия выполнял согласно руководству пользователя: глава 3 "Получение и установка сертификата и закрытого ключа", раздел "Формирование запроса на издание сертификата".

minimal.p10

gost2012_512.p10

[Vintik]

Подскажите где в инструкции ViPNet_Administrator 4 указано ограничение на имя пользователя и клиента в ЦУС, в версии 3.2 было это указано, что "имя не должно содержат спец символов" и там в том числе кавычки, а в 4-й версии не могу найти. Чтоб было куда указать на вопрос - Почему ООО Капуста, а не ООО "Капуста" ? Говоришь небыло кавычек в 3 и не будет в 4.

[Wild]

в версии 4 при вводе символов сразу выдается ошибка, если данный символ не применим. т.е. Вы не сможете использовать имя с неприменимыми символами, в частности кавычками, а вот апостроф, например работает.

[Vintik]

2 часа назад, Wild сказал:

в версии 4 при вводе символов сразу выдается ошибка, если данный символ не применим. т.е. Вы не сможете использовать имя с неприменимыми символами, в частности кавычками, а вот апостроф, например работает.

Это я знаю, где это в инструкции указано спрашиваю, чтоб ответ "беснующим юристам" дать, на их "

Цитата

с ПФР .... в Соглашении по ЭДО абонентский пункт банка указан Абонентский пункт: ...  «Банк». У ПФР наш аб. пункт выгрузился иначе без ковычек

Хотя понятно это не должно быть проблемой, но они только заметили, т.к. пришлось заменить и я сказал не вопрос, но уточните чтоб там не было проблем что были АОА стали АО, вот они видно и заметили теперь что кавычек нет, хотя на 3-ке конечно их тоже не было.

Потому и роюсь в инструкции. чтоб изложить это с указанием именно тех. средств. 

[Wild]

В документации на 4.х не нашел.

Но тут есть момент, если ограничение видно визуально, то (предполагаю) решили что нет необходимости в документации на 4.х прописывать ограничения, а в 3.х такого не было и следовало в доке это указать, чтобы пользователи знали.

[Vintik]

6 часов назад, Wild сказал:

В документации на 4.х не нашел.

Но тут есть момент, если ограничение видно визуально, то (предполагаю) решили что нет необходимости в документации на 4.х прописывать ограничения, а в 3.х такого не было и следовало в доке это указать, чтобы пользователи знали.

Согласен, так же это предполагал, думал вдруг "Синее лицо" заметит и ответит, он хорошо подсказывает. Но всё же это упущение если это так, т.к. в любой документации по СЗИ везде прописывают такие моменты.