Jump to content

Recommended Posts

Есть разветвленная сеть випнет: работало всё нормально. Производил первое запланированное обновлению ключей. У большей части пользователей вдало сообщение об истечении срока действия сертификата. У всех срок окончания в 2017 году. Пересоздание ключа решает проблему....но это не решение - сертификат со сроком жизни в 1 месяц.

Share this post


Link to post
Share on other sites

Есть разветвленная сеть випнет: работало всё нормально. Производил первое запланированное обновлению ключей. У большей части пользователей вдало сообщение об истечении срока действия сертификата. У всех срок окончания в 2017 году. Пересоздание ключа решает проблему....но это не решение - сертификат со сроком жизни в 1 месяц.

Срок действия сертификата указывается при создании электронной подписи в УКЦ. Какой срок поставили - такой и будет. А точно проблема с истечением срока? Может быть, с СОСами проблема образовалась? Что конкретно выскакивает у пользователей?

Share this post


Link to post
Share on other sites

Возможно одной из ключевых проблем было то что я нашёл свой админский сертификат в группе "отозванных".

Непонятно только как так: в Общем списке сертификат действителен до 2017 года, а в списке отозванных срок жизни месяц, и продлеваю обновлением только на месяц, других возможностей обновления нет и что самое странное после обновления из списка "отозванных" он не уходит. Сделал общее обновление ключей - у пользователей проблема ушла.

Но общая проблема считаю что осталась(.

Share this post


Link to post
Share on other sites

випнет монитор у пользователей:

сервис - настройка параметров безопасности - подпись - сертификаты - личные

есть ли там свежевыпущенные сертификаты и установлены ли они текущими?

если да, то:

сервис - настройка параметров безопасности - подпись - подробнее - состав - срок действия секретного ключа

дата окончания срока действия СК не прошла?

Share this post


Link to post
Share on other sites

випнет монитор у пользователей:

сервис - настройка параметров безопасности - подпись - сертификаты - личные

есть ли там свежевыпущенные сертификаты и установлены ли они текущими?

если да, то:

сервис - настройка параметров безопасности - подпись - подробнее - состав - срок действия секретного ключа

дата окончания срока действия СК не прошла?

Смотрю у себя, у администратора:по 1 пункту только 1 сертификат до 2017 года.

по 2 пункту:

С 6 июля 2012 г. 15:44:23 (GMT+04:00)

по 6 июля 2013 г. 15:44:23 (GMT+04:00)

но опять-же - в списке отозванных сертификатов мой висит со сроком работы 1 месяц. Доступна команда обновить - продлевает ровно на 1 месяц.

Share this post


Link to post
Share on other sites

мне помнится, что при создании сертификата можно указать срок действия, который по умолчанию равен 1 месяцу.

Share this post


Link to post
Share on other sites

Смотрю у себя, у администратора:по 1 пункту только 1 сертификат до 2017 года.

по 2 пункту:

С 6 июля 2012 г. 15:44:23 (GMT+04:00)

по 6 июля 2013 г. 15:44:23 (GMT+04:00)

но опять-же - в списке отозванных сертификатов мой висит со сроком работы 1 месяц. Доступна команда обновить - продлевает ровно на 1 месяц.

Тут, наверное, небольшая путаница. В списки отозванных отображается не сертификат администратора, а СОС им созданный (по его имени). У него срок обычно - 1 месяц. А сам сертификат (коневой) так и будет действовать до 2017. Кстати, у Вас какая версия випнет? Надеюсь, не 3.2?

Share this post


Link to post
Share on other sites

Тут, наверное, небольшая путаница. В списки отозванных отображается не сертификат администратора, а СОС им созданный (по его имени). У него срок обычно - 1 месяц. А сам сертификат (коневой) так и будет действовать до 2017. Кстати, у Вас какая версия випнет? Надеюсь, не 3.2?

версия 3.1(1.5124)

Сертификаты клиентов продолжают отваливаться по срокам(

Share this post


Link to post
Share on other sites

версия 3.1(1.5124)

Сертификаты клиентов продолжают отваливаться по срокам(

А можете сказать что именно за ошибку высвечивает? Что написано в свойствах сертификата в настройках безопасности монитора?

Share this post


Link to post
Share on other sites

Теперь всё понятно. Это никакая не ошибка. У Вас в настройках УКЦ срок действия СОС стоит равным один месяц.И сертификаты "отваливаются" по отсутствию текущего СОС. Список отозванных сертификатов имеет ограниченный срок действия, и чем он меньше - тем лучше. В случае, если Вы вовремя не обновляете СОС или он просто-напросто не доходит, то програмное обеспечение не может проверить действителен сертификат или нет, посколько не знает, отозван ли он. Это - естественный порядок работы средства ЭП. Список отозванных подписывается корневым сертификатом администратора. В VipNet список отозванных называется по имени сертификата, его подписавшего. В версии 3.1 подписывать может любой администратор.В версии 3.2 есть понятие множественных СОС и для каждого администратора он свой.

Share this post


Link to post
Share on other sites

УКЦ-Сервис-настройки-сертификаты-срок действия 72 месяца- напоминать за 15 дней

Это то, или я не там смотрю?

Или месяц где то по умолчанию забит и просто надо в срок меньший 30 дней проводить обновление? кстати впервые такая проблема возникла после проведения обновления.

Share this post


Link to post
Share on other sites

УКЦ-Сервис-настройки-сертификаты-срок действия 72 месяца- напоминать за 15 дней

Это то, или я не там смотрю?

Или месяц где то по умолчанию забит и просто надо в срок меньший 30 дней проводить обновление? кстати впервые такая проблема возникла после проведения обновления.

УКЦ->Сервис->Настройки->Сертификаты->Список отозванных->Срок действия списка при переиздании-> 30 дней (так у Вас, скорее всего сейчас стоит). Но это значение лучше таким и оставить... или сделать ещё меньше. Не считайте это ошибкой. СОСы не должны быть длинными.

Share this post


Link to post
Share on other sites

УКЦ->Сервис->Настройки->Сертификаты->Список отозванных->Срок действия списка при переиздании-> 30 дней (так у Вас, скорее всего сейчас стоит). Но это значение лучше таким и оставить... или сделать ещё меньше. Не считайте это ошибкой. СОСы не должны быть длинными.

стоит 60....

В итоге я так понял что сейчас мне нужно пересоздать всем новые дистрибутивы и делать обновлению ключей раз в 28-29 дней?

Share this post


Link to post
Share on other sites

стоит 60....

В итоге я так понял что сейчас мне нужно пересоздать всем новые дистрибутивы и делать обновлению ключей раз в 28-29 дней?

Нет. Нужно просто каждые 30 дней (хотя, судя по настройкам, 60) высылать обновлённые СОСы. Обновление ключей делать не обязательною

Share this post


Link to post
Share on other sites

Нет. Нужно просто каждые 30 дней (хотя, судя по настройкам, 60) высылать обновлённые СОСы. Обновление ключей делать не обязательною

Эт как не надо обновления ключей высылать? как раз в них и находится СОС. Еще конечно в ключевых наборах содержится, но обновлению ключей легче по весу.

Share this post


Link to post
Share on other sites

Эт как не надо обновления ключей высылать? как раз в них и находится СОС. Еще конечно в ключевых наборах содержится, но обновлению ключей легче по весу.

Обновление ключевой информации необходимо только в следующих случаях:

  • пришли СОСы из доверенных сетей;
  • отключена опция "Автоматически копировать список в ЦУС каждые...". При включённой опции есть возможность сделать рассылку без создания обновления ключей. Заметьте, что УКЦ и не предлагает их обновить принудительно (как это делается при СОСах из доверенных сетей).

Share this post


Link to post
Share on other sites

Нет. Нужно просто каждые 30 дней (хотя, судя по настройкам, 60) высылать обновлённые СОСы. Обновление ключей делать не обязательною

Как отдельно высылать Список Отозванных Сертификатов? Не нашёл такого пункта. Всегда думал что достаточно сделать обновление ключей узлов.

Share this post


Link to post
Share on other sites

Как отдельно высылать Список Отозванных Сертификатов? Не нашёл такого пункта. Всегда думал что достаточно сделать обновление ключей узлов.

Если у Вас стоит галочка "Автоматически копировать список в ЦУС каждые", то списки отозванных сертификатов будут разосланы через ЦУС на те узлы, для которых в ЦУСе задана такая необходимость ("Службы->Списки рассылки->Список рассылки СОС"). Использовать эту опцию рекомендуется только для тех узлов, где действительно требуется оперативное обновление СОСов.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.