Перейти к контенту

Обновление Сертификатов На Ап

User_stv
 Поделиться

Рекомендуемые сообщения

User_stv

User_stv

Опубликовано
Опубликовано

Добрый день!

Задача в общем в следующем, на АП истекает срок действия сертификатов, фишка в том что авторизация происходит по токину и паролю, на токине хронятся ключи шифрования и прочая шелобуда.

Вопрос! Как провести обновление сертификатов.

Спасибо.

Ссылка на комментарий
Поделиться на других сайтах
AnTonN(c)

AnTonN(c)

Опубликовано
Опубликовано

В Подписи жмешь обновить сертификат и все будет ОК, Только токен должен быть вставлен в комп до конца обновления. И, конечно же, корневой должен быть новый в УКЦ.

Ссылка на комментарий
Поделиться на других сайтах
User_stv

User_stv

Опубликовано
  • Автор
Опубликовано

В Подписи жмешь обновить сертификат и все будет ОК, Только токен должен быть вставлен в комп до конца обновления. И, конечно же, корневой должен быть новый в УКЦ.

Обновление планируется проводить централизованно из ЦУСа, наличие токин в момент обновления не гарантирован. (ап просто может быть выключен)

Ссылка на комментарий
Поделиться на других сайтах
AnTonN(c)

AnTonN(c)

Опубликовано
Опубликовано

Тогда если версия 3.2.9, то есть опция во вкладке подпись Автоматически....изданные по инициативе админа УКЦ. Сертификат установится локально, а пользователю придется его переносить на токен.

Ссылка на комментарий
Поделиться на других сайтах
User_stv

User_stv

Опубликовано
  • Автор
Опубликовано

Тогда если версия 3.2.9, то есть опция во вкладке подпись Автоматически....изданные по инициативе админа УКЦ. Сертификат установится локально, а пользователю придется его переносить на токен.

Версия 3.1

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

Версия 3.1

Во-первых, данная процедура пройдёт только если сертификат ещё не просрочен. Если сертификат просрочен, то обновить подпись удалённо не удастся. Во-вторых,в мастере запроса можно указать "ввести данный сертификат в действие" (если хотите, чтобы он автоматически был введён в действие) и "ожидать ответа на запрос" (чтобы в телефонном режиме сразу после запроса был выслан ответ). Поскольку запрос на сертификат подписывается пользователем, то наличие галки "ожидать ответа на запрос" гарантирует, что пользователь дождётся ввода в действие сертификата. В мастере же можно указать где будет хранится закрытый ключ сертификата. В папке - так в папке (пользователь сам перенесёт). В токене - так в токене.

Если вы хотите всё сделать разом, то можно просто в УКЦ издать новые сертификаты и разослать их через ЦУС. Пользователь по Вашей инструкции вручную выберет сертификат и перенесёт его на съёмный носитель. Плюс данного способа - быстро и централизованно. Минус - пользователям придётся доделывать всё вручную. Первый вариант предпочтительнее.

Всё вышесказанное применимо для версии 3.1

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

Да, и ещё добавлю. Второй вариант подойдёт даже если подпись уже просрочена. Тем не менее, если у Вас полноценный удостоверяющий центр, то в этом случае придётся брать заявления на новую подпись в бумажном виде, так как в электронном виде запрос подписать пользователь уже не может.

Ссылка на комментарий
Поделиться на других сайтах
User_stv

User_stv

Опубликовано
  • Автор
Опубликовано

Да, и ещё добавлю. Второй вариант подойдёт даже если подпись уже просрочена. Тем не менее, если у Вас полноценный удостоверяющий центр, то в этом случае придётся брать заявления на новую подпись в бумажном виде, так как в электронном виде запрос подписать пользователь уже не может.

Большое спасибо!

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

Большое спасибо!

И ещё добавлю - чтобы создать принудительно в ЦУСе новую ключевую дискету, необходимо сначала произвести копирование справочников конкретного пользователя в УКЦ. А уже в УКЦ щёлкнуть на пользователя и кнопку "создать". После переноса в ЦУС и рассылки на АП новый сертификат будет доступен для выбора пользователю. (это касаемо второго варианта).

Ссылка на комментарий
Поделиться на других сайтах
User_stv

User_stv

Опубликовано
  • Автор
Опубликовано

И ещё добавлю - чтобы создать принудительно в ЦУСе новую ключевую дискету, необходимо сначала произвести копирование справочников конкретного пользователя в УКЦ. А уже в УКЦ щёлкнуть на пользователя и кнопку "создать". После переноса в ЦУС и рассылки на АП новый сертификат будет доступен для выбора пользователю. (это касаемо второго варианта).

Провел обновление сертификатов, издал на 3 года, а вот закрытый ключ действует всего год, как с ним быть?

Спасибо.

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

Провел обновление сертификатов, издал на 3 года, а вот закрытый ключ действует всего год, как с ним быть?

Спасибо.

Никак. Его нужно каждый год менять - без вариантов. В случае с пользователями - во время действия ЭП можно запросить новую. В случае с корневым - каждый год заблаговременно издавать (до истечения предыдущего).

Ссылка на комментарий
Поделиться на других сайтах
User_stv

User_stv

Опубликовано
  • Автор
Опубликовано

Никак. Его нужно каждый год менять - без вариантов. В случае с пользователями - во время действия ЭП можно запросить новую. В случае с корневым - каждый год заблаговременно издавать (до истечения предыдущего).

А можно подробно про него написать?

Спасибо!

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

А можно подробно про него написать?

Спасибо!

Всё очень просто - заходим в УКЦ под администратором. Идём в раздел "Администраторы" (самый низ дерева). Выбираем нужного администратора (текущего, у которого проблема). Правой кнопкой мыши щёлкаем, пункт меню "сертификат" -> "создать сертификат". Создаём новый сертификат, а после его создания (а мы ещё выжидаем, пока он не будет зарегистрирован официально в министерстве связи) выбираем "сертификат"->"сменить текущий" и указываем новый сертификат.

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

Я имел ввиду закрытый ключ, как с ним быть?

Я его и имел ввиду. Сертификат - это, элетронный документ, который включает в себя информацию о закрытом ключе. Новый ключ - новый сертификат. Поэтому, чтобы поменять закрытый ключ администратора, нужно издать новый сертификат (с новым закрытым ключём). Сертификат у администратора каждый год новый.

Ссылка на комментарий
Поделиться на других сайтах
User_stv

User_stv

Опубликовано
  • Автор
Опубликовано

А зачем же тогда сертификаты делаются на 2 и более года, если закрытый ключь дейсвует всего год. Чем грозит, когда сертификат еще действует, а закрытый ключь уже истек!

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

А зачем же тогда сертификаты делаются на 2 и более года, если закрытый ключь дейсвует всего год. Чем грозит, когда сертификат еще действует, а закрытый ключь уже истек!

Это сделано для того, чтобы проверить действительность подписи можно было ещё очень долго, но, при этом, подписывать ей уже нельзя, так как ключ тем меньше имеет доверия, чем больше он живёт. Это совершенно ничем не грозит. Просто подписывать не сможете им новые сертификаты (создавать их). Но, конечно, всегда можно перевести локальное время в Windows назад и баловаться с созданием новых сертификатов.

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
 Поделиться
Перейти к списку тем
×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.

  Я согласен