Статус Сертификата Недействителен

[~user~]

При просмотре информации о текущем сертификате увидел что статус - недействителен.

Сертификат действителен по 2015 год.

Как устранить эту проблему.

Только объяните по подробнее, с VipNEt ни разу не имел дело.

[spcom]

При просмотре информации о текущем сертификате увидел что статус - недействителен.

Сертификат действителен по 2015 год.

Как устранить эту проблему.

Только объяните по подробнее, с VipNEt ни разу не имел дело.

Список отозванных сертификатов - актуальный? скорее всего в нем дело...

[~user~]

Список отозванных сертификатов - актуальный? скорее всего в нем дело...

Как узнать что сертификат актуален?? Он годен до 2015года, распишите по подробнее я 1ый раз с vipnet столкнулся.

[AnTonN(c)]

При просмотре информации о текущем сертификате увидел что статус - недействителен.

Сертификат действителен по 2015 год.

Как устранить эту проблему.

Только объяните по подробнее, с VipNEt ни разу не имел дело.

Сертификат для клиента в ViPNet по умолчанию выдается на 5 лет. Видим, что срок действия 2015. Значит ЗАКРЫТЫЙ ключ был создан в 2010 году, который действителен 1 год! А вообще причину недействительности сертификата можно увидеть в самом сертификате и плясать уже от этого.

[vipnet user]

Здравствуйте, подскажите пожалуйста у меня может возникнуть подобная проблема.

При запуске УКЦ появляется предупреждение.

Срок действия секретного ключа сертификата администратора истекает через 13 дней. Обновите сертификат администратора.

Если смотреть свойства сертификата то он действителен по 2017 год, а вот срок действия секретного ключа почему-то только до апреля 2012 года, вот он и истекает. Как именно его обновить? Или нужно согласно руководству администратора Удостоверяющего и ключевого центра пункт 9.4 "Издание корневого сертификата текущего администратора" - создавать новый корневой сертификат? И его срок действия секретного ключа будет с 2012 по 2013 год?

Дальше этот сертификат через ЦУС разошлется клиентам? У них не изменятся пароли пользователей и администраторов? Нужно ли будет им формировать новые ключевые наборы после этого? Что будет если срок действия секретного ключа истечет? Сеть отвалится и шифрование или только ЭЦП будет не действительна?

[AnTonN(c)]

Здравствуйте, подскажите пожалуйста у меня может возникнуть подобная проблема.

При запуске УКЦ появляется предупреждение.

Если смотреть свойства сертификата то он действителен по 2017 год, а вот срок действия секретного ключа почему-то только до апреля 2012 года, вот он и истекает. Как именно его обновить? Или нужно согласно руководству администратора Удостоверяющего и ключевого центра пункт 9.4 "Издание корневого сертификата текущего администратора" - создавать новый корневой сертификат? И его срок действия секретного ключа будет с 2012 по 2013 год?

Дальше этот сертификат через ЦУС разошлется клиентам? У них не изменятся пароли пользователей и администраторов? Нужно ли будет им формировать новые ключевые наборы после этого? Что будет если срок действия секретного ключа истечет? Сеть отвалится и шифрование или только ЭЦП будет не действительна?

Или нужно согласно руководству администратора Удостоверяющего и ключевого центра пункт 9.4 "Издание корневого сертификата текущего администратора" - создавать новый корневой сертификат?

Да.

И его срок действия секретного ключа будет с 2012 по 2013 год?

Да.

Дальше этот сертификат через ЦУС разошлется клиентам?

Создадутся автоматом обновления КН, которые надо будет разослать через ЦУС. В них будет содержаться ДЕЙСТВУЮЩИЙ корневой сертификат.

У них не изменятся пароли пользователей и администраторов?

Нет.

Нужно ли будет им формировать новые ключевые наборы после этого?

Нет.

Что будет если срок действия секретного ключа истечет?

Секретного ключа кого?

Сеть отвалится и шифрование или только ЭЦП будет не действительна?

Только ЭЦП будет недействительна.

[vipnet user]

Спасибо, вроде сделал все по инструкции - сработало, перенес обновления ключей в ЦУС, оттуда разослал абонентам, теперь при заходе в УКЦ никаких предупреждений не выскакивает, секретный ключ сроком до 2013 года стал, но теперь одно но. На клиентах почему-то все равно выскакивает окно с предупреждением об истечение сертификата и предлагается выбрать из двух - один который истекает в апреле, другой вроде до июля. А вот где новый, который я успешно обновил? Не дошел что ли еще или я что-то неправильно делаю в цепи: Обновить сертификат администратора - Обновления ключей - Перенести в ЦУС - Из ЦУС обновления ключевой информации разослать всем?

[AnTonN(c)]

Ты обновил только закрытый ключ издателя. Если он сейчас действующий, то Обновлением КН он доставится до узлов. Каждый последующий изданный сертификат будет подписан "новым" ключом...Короче, у пользователя создай запрос на обновление сертификата и все будет ок.

[vipnet user]

Короче, у пользователя создай запрос на обновление сертификата и все будет ок.

А можно поподробнее как это? И у всех это сделать будет проблематично - территтория большая, АП много.

Главное, что я узрел - если у клиента заходить в свойства безопасности, то эти два сертификата, которые истекают, находятся в вкладе "Личные сертификаты", а тот, который я сформировал новый, находится в вкладе "Корневые сертификаты", т.е. он дошел до абонента, но вот в чем разница, когда истечет личный, то клиент будет работать с корневым?

Вообще, запутался во всех этих сертификатах.

[vipnet user]

Вот о каких я сертификатах, если у клиента смотреть меню Сервис - Настройка параметров безопасности

/>http://funkyimg.com/u2/1559/129/837511v1.jpg

Далее, Кнопка "Сертификаты"

/>http://funkyimg.com/u2/1559/130/353013v2.jpg

И вот эти самые "Личные сертификаты" истекают

А вот вкладка доверенного корневого сертификата, который как видно я обновил и до клиента он дошел.

/>http://funkyimg.com/u2/1559/131/700993v3.jpg

Отсюда вопрос, личные сертификаты можно как-то обновить из УКЦ и прислать клиентам автоматически, или клиенты должны сами отправить запрос на обновления сертификата согласно руководству пользователя VipNet Monitor Глава 10 - пункт "Обновление сертификата", которые в УКЦ можно одобрить или отклонить? Хотелось бы процесс максимально автоматизировать и от пользователя абстрагировать.

[rfvbk]

Или нужно согласно руководству администратора Удостоверяющего и ключевого центра пункт 9.4 "Издание корневого сертификата текущего администратора" - создавать новый корневой сертификат?

Да.

И его срок действия секретного ключа будет с 2012 по 2013 год?

Да.

Дальше этот сертификат через ЦУС разошлется клиентам?

Создадутся автоматом обновления КН, которые надо будет разослать через ЦУС. В них будет содержаться ДЕЙСТВУЮЩИЙ корневой сертификат.

У них не изменятся пароли пользователей и администраторов?

Нет.

Нужно ли будет им формировать новые ключевые наборы после этого?

Нет.

Что будет если срок действия секретного ключа истечет?

Секретного ключа кого?

Сеть отвалится и шифрование или только ЭЦП будет не действительна?

Только ЭЦП будет недействительна.

Дальше этот сертификат через ЦУС разошлется клиентам?

Создадутся автоматом обновления КН, которые надо будет разослать через ЦУС. В них будет содержаться ДЕЙСТВУЮЩИЙ корневой сертификат.

А как узнать дошел ли новый корневой сертификат на АП? Во вкладке "Доверенные корневые сертификаты" в окне "Менеджер сертификатов" на всех АП только старый корневой сертификат администратора. Или новый не должен появляться в этом списке? Помогите пожалуйста, осталось несколько дней до истечения старого корневого сертификата. Версия Администратора 3.1. У меня есть небольшие предположения, что по каким-то причинам не сформировались, новые КН и соотвественно не разослались, при создании нового корневого сертификата. Как можно узнать на АП пришли ли новые КН?

[AnTonN(c)]

Проконтролировать обновления можно в ЦУС в журнале запросов/ответов (F9).

Разверни сеть на виртуалке и попробуй на практике.

[kwarm]

аналогичный вопрос. ЭЦП стоит только у пользователей связанных по служебной необходимости с другими структурами (там тоже вип нет клиент).

Сегодня написала машина, что просрочен закрытый ключ ЭЦП.

Пользователь только подписывает письма. Сама эцп все еще действует. Нужно перевыпускать эцп или нет?

[AnTonN(c)]

Это очень странно, что подписывать есть возможность при просроченном закрытом ключе. Я бы сказал невозможно. ЭЦП конечно необходимо обновлять. В какой программе подписываются письма?

[rfvbk]

Отсюда вопрос, личные сертификаты можно как-то обновить из УКЦ и прислать клиентам автоматически, или клиенты должны сами отправить запрос на обновления сертификата согласно руководству пользователя VipNet Monitor Глава 10 - пункт "Обновление сертификата", которые в УКЦ можно одобрить или отклонить? Хотелось бы процесс максимально автоматизировать и от пользователя абстрагировать.

Очень интересует этот же вопрос, пользователям очень проблематично показывать куда надо нажимать, их много и они далеко, может кто расскажет?

[slavanchuk]

Копируем из ЦУС в УКЦ справочники пользователя. После этого в УКЦ появляется возможность создать ещё раз ключевую дискету для пользователя (в разделе пользователи своей сети). При создании КД он создаст новый сертификат, который через ЦУС можно будет отправить пользователю. Раньше так и делал. Сейчас подобное не практикуем, так как нужно с них ещё собрать бумаги (заявления).

[AnTonN(c)]

По умолчанию высланный сертификат не установится. Пользователю придется его выбирать руками.

[slavanchuk]

Да, выбирать однозначно придётся. Но это проще, чем заново звать за новым dst .

[rfvbk]

По умолчанию высланный сертификат не установится. Пользователю придется его выбирать руками.

т.е. если у пользователя стоит галка "Автоматически вводить в действие сертификаты, изданные по инициативе администртора УКЦ" во вкладке "Подпись" Настроек параметров безопасности, то данный сертификат установится без каких-то действий пользователя? надо попробоватьтогда

[AnTonN(c)]

При этой галке установка сертификата пройдет автоматом.

Но она по умолчанию отключена.

[Алексей64]

У меня схожая ситуация но не такая.

Сертификат администратра УКЦ действителен. При переиздании рассылался, у всех принялся.

Попутно у некоторых пользователей просрочились их сертификаты. Пеереиздавались запросами. Все принялось, корневой установился.

У тех у кого не создался запрос из-за просрочки, переиздал в ручную через ЦУС и УКЦ, все принялось и ввелось в действие.

НО! у одного пользователя истек срок действия его сертификата. Переиздаю, он принимает обновление ключевое но пишет не действителен, и видимо ему не приходит новый сертификат администратора УКЦ, поскольку окна с принятием его не выходит, и в списках сертификатов его не нахожу, и новый сертификат пользователя пишет не действителен.

Вопрос Можно ли как-то одному пользователю переслать корневой сертификат?

[Алексей64]

Ответ: Можно. Тупанул. В ЦУС журнале нашел дату рассылки корневого серта нужному АП. Увидел что не доставлен(чтд). Заново отправил. Все принялось и заработало.

[Вячеслав УАиГ]

Здрайствуте , нужна ваша помошь, стоит VipNet клиент3.2 (10.15632),( монитор), ошибка часто выскакивает "Предупреждение сервиса безопасности" т.е Не найден действительный список отозванных сертификатов т.к у меня текущий сертификат подписи недействительный ,как решить проблему ,весь форум почитал несмог найти ответа, как по порядку надо все сделать чтоб устранить проблему?

[ingenico]

"Не найден действительный список отозванных сертификатов" - это значит надо обновить CRL и разослать его на все сетевые узлы.

В УКЦ идите в раздел "Удостоверяющий Центр - Списки отозванных сертификатов - Своя сеть" и обновите (правой кнопкой мышки) свой CRL.

Далее в меню "Сервис - Автоматически создать - Обновления ключей узлов". Создадутся обновления, куда войдет новый CRL.

Эти обновления появятся в "Ключевой центр - Своя сеть ViPNet - Ключи - Обновления ключей узлов".

Все эти обновления надо перенести в ЦУС и разослать на сетевые узлы.

Проконтролировать чтобы обновления успешно дошли и применились на всех сетевых узлах.

[svetlanalanya]

Подскажите как перенести в ЦУС и разослать на сетевые узлы обновления?