Окончание Срока Сертификата

[dreamer]

Есть разветвленная сеть випнет: работало всё нормально. Производил первое запланированное обновлению ключей. У большей части пользователей вдало сообщение об истечении срока действия сертификата. У всех срок окончания в 2017 году. Пересоздание ключа решает проблему....но это не решение - сертификат со сроком жизни в 1 месяц.

[slavanchuk]

Есть разветвленная сеть випнет: работало всё нормально. Производил первое запланированное обновлению ключей. У большей части пользователей вдало сообщение об истечении срока действия сертификата. У всех срок окончания в 2017 году. Пересоздание ключа решает проблему....но это не решение - сертификат со сроком жизни в 1 месяц.

Срок действия сертификата указывается при создании электронной подписи в УКЦ. Какой срок поставили - такой и будет. А точно проблема с истечением срока? Может быть, с СОСами проблема образовалась? Что конкретно выскакивает у пользователей?

[dreamer]

Возможно одной из ключевых проблем было то что я нашёл свой админский сертификат в группе "отозванных".

Непонятно только как так: в Общем списке сертификат действителен до 2017 года, а в списке отозванных срок жизни месяц, и продлеваю обновлением только на месяц, других возможностей обновления нет и что самое странное после обновления из списка "отозванных" он не уходит. Сделал общее обновление ключей - у пользователей проблема ушла.

Но общая проблема считаю что осталась(.

[elly]

випнет монитор у пользователей:

сервис - настройка параметров безопасности - подпись - сертификаты - личные

есть ли там свежевыпущенные сертификаты и установлены ли они текущими?

если да, то:

сервис - настройка параметров безопасности - подпись - подробнее - состав - срок действия секретного ключа

дата окончания срока действия СК не прошла?

[dreamer]

випнет монитор у пользователей:

сервис - настройка параметров безопасности - подпись - сертификаты - личные

есть ли там свежевыпущенные сертификаты и установлены ли они текущими?

если да, то:

сервис - настройка параметров безопасности - подпись - подробнее - состав - срок действия секретного ключа

дата окончания срока действия СК не прошла?

Смотрю у себя, у администратора:по 1 пункту только 1 сертификат до 2017 года.

по 2 пункту:

С 6 июля 2012 г. 15:44:23 (GMT+04:00)

по 6 июля 2013 г. 15:44:23 (GMT+04:00)

но опять-же - в списке отозванных сертификатов мой висит со сроком работы 1 месяц. Доступна команда обновить - продлевает ровно на 1 месяц.

[elly]

мне помнится, что при создании сертификата можно указать срок действия, который по умолчанию равен 1 месяцу.

[slavanchuk]

Смотрю у себя, у администратора:по 1 пункту только 1 сертификат до 2017 года.

по 2 пункту:

С 6 июля 2012 г. 15:44:23 (GMT+04:00)

по 6 июля 2013 г. 15:44:23 (GMT+04:00)

но опять-же - в списке отозванных сертификатов мой висит со сроком работы 1 месяц. Доступна команда обновить - продлевает ровно на 1 месяц.

Тут, наверное, небольшая путаница. В списки отозванных отображается не сертификат администратора, а СОС им созданный (по его имени). У него срок обычно - 1 месяц. А сам сертификат (коневой) так и будет действовать до 2017. Кстати, у Вас какая версия випнет? Надеюсь, не 3.2?

[dreamer]

Тут, наверное, небольшая путаница. В списки отозванных отображается не сертификат администратора, а СОС им созданный (по его имени). У него срок обычно - 1 месяц. А сам сертификат (коневой) так и будет действовать до 2017. Кстати, у Вас какая версия випнет? Надеюсь, не 3.2?

версия 3.1(1.5124)

Сертификаты клиентов продолжают отваливаться по срокам(

[slavanchuk]

версия 3.1(1.5124)

Сертификаты клиентов продолжают отваливаться по срокам(

А можете сказать что именно за ошибку высвечивает? Что написано в свойствах сертификата в настройках безопасности монитора?

[dreamer]

А можете сказать что именно за ошибку высвечивает? Что написано в свойствах сертификата в настройках безопасности монитора?

скрин ошибки

[slavanchuk]

скрин ошибки

Теперь всё понятно. Это никакая не ошибка. У Вас в настройках УКЦ срок действия СОС стоит равным один месяц.И сертификаты "отваливаются" по отсутствию текущего СОС. Список отозванных сертификатов имеет ограниченный срок действия, и чем он меньше - тем лучше. В случае, если Вы вовремя не обновляете СОС или он просто-напросто не доходит, то програмное обеспечение не может проверить действителен сертификат или нет, посколько не знает, отозван ли он. Это - естественный порядок работы средства ЭП. Список отозванных подписывается корневым сертификатом администратора. В VipNet список отозванных называется по имени сертификата, его подписавшего. В версии 3.1 подписывать может любой администратор.В версии 3.2 есть понятие множественных СОС и для каждого администратора он свой.

[dreamer]

УКЦ-Сервис-настройки-сертификаты-срок действия 72 месяца- напоминать за 15 дней

Это то, или я не там смотрю?

Или месяц где то по умолчанию забит и просто надо в срок меньший 30 дней проводить обновление? кстати впервые такая проблема возникла после проведения обновления.

[slavanchuk]

УКЦ-Сервис-настройки-сертификаты-срок действия 72 месяца- напоминать за 15 дней

Это то, или я не там смотрю?

Или месяц где то по умолчанию забит и просто надо в срок меньший 30 дней проводить обновление? кстати впервые такая проблема возникла после проведения обновления.

УКЦ->Сервис->Настройки->Сертификаты->Список отозванных->Срок действия списка при переиздании-> 30 дней (так у Вас, скорее всего сейчас стоит). Но это значение лучше таким и оставить... или сделать ещё меньше. Не считайте это ошибкой. СОСы не должны быть длинными.

[dreamer]

УКЦ->Сервис->Настройки->Сертификаты->Список отозванных->Срок действия списка при переиздании-> 30 дней (так у Вас, скорее всего сейчас стоит). Но это значение лучше таким и оставить... или сделать ещё меньше. Не считайте это ошибкой. СОСы не должны быть длинными.

стоит 60....

В итоге я так понял что сейчас мне нужно пересоздать всем новые дистрибутивы и делать обновлению ключей раз в 28-29 дней?

[slavanchuk]

стоит 60....

В итоге я так понял что сейчас мне нужно пересоздать всем новые дистрибутивы и делать обновлению ключей раз в 28-29 дней?

Нет. Нужно просто каждые 30 дней (хотя, судя по настройкам, 60) высылать обновлённые СОСы. Обновление ключей делать не обязательною

[AnTonN(c)]

Нет. Нужно просто каждые 30 дней (хотя, судя по настройкам, 60) высылать обновлённые СОСы. Обновление ключей делать не обязательною

Эт как не надо обновления ключей высылать? как раз в них и находится СОС. Еще конечно в ключевых наборах содержится, но обновлению ключей легче по весу.

[slavanchuk]

Эт как не надо обновления ключей высылать? как раз в них и находится СОС. Еще конечно в ключевых наборах содержится, но обновлению ключей легче по весу.

Обновление ключевой информации необходимо только в следующих случаях:

• пришли СОСы из доверенных сетей;
  
• отключена опция "Автоматически копировать список в ЦУС каждые...". При включённой опции есть возможность сделать рассылку без создания обновления ключей. Заметьте, что УКЦ и не предлагает их обновить принудительно (как это делается при СОСах из доверенных сетей).
  

[dreamer]

Нет. Нужно просто каждые 30 дней (хотя, судя по настройкам, 60) высылать обновлённые СОСы. Обновление ключей делать не обязательною

Как отдельно высылать Список Отозванных Сертификатов? Не нашёл такого пункта. Всегда думал что достаточно сделать обновление ключей узлов.

[slavanchuk]

Как отдельно высылать Список Отозванных Сертификатов? Не нашёл такого пункта. Всегда думал что достаточно сделать обновление ключей узлов.

Если у Вас стоит галочка "Автоматически копировать список в ЦУС каждые", то списки отозванных сертификатов будут разосланы через ЦУС на те узлы, для которых в ЦУСе задана такая необходимость ("Службы->Списки рассылки->Список рассылки СОС"). Использовать эту опцию рекомендуется только для тех узлов, где действительно требуется оперативное обновление СОСов.