User_stv Опубликовано 23 Октября 2012 Жалоба Поделиться Опубликовано 23 Октября 2012 Добрый день!Задача в общем в следующем, на АП истекает срок действия сертификатов, фишка в том что авторизация происходит по токину и паролю, на токине хронятся ключи шифрования и прочая шелобуда.Вопрос! Как провести обновление сертификатов.Спасибо. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 23 Октября 2012 Жалоба Поделиться Опубликовано 23 Октября 2012 В Подписи жмешь обновить сертификат и все будет ОК, Только токен должен быть вставлен в комп до конца обновления. И, конечно же, корневой должен быть новый в УКЦ. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
User_stv Опубликовано 23 Октября 2012 Автор Жалоба Поделиться Опубликовано 23 Октября 2012 В Подписи жмешь обновить сертификат и все будет ОК, Только токен должен быть вставлен в комп до конца обновления. И, конечно же, корневой должен быть новый в УКЦ.Обновление планируется проводить централизованно из ЦУСа, наличие токин в момент обновления не гарантирован. (ап просто может быть выключен) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 23 Октября 2012 Жалоба Поделиться Опубликовано 23 Октября 2012 Тогда если версия 3.2.9, то есть опция во вкладке подпись Автоматически....изданные по инициативе админа УКЦ. Сертификат установится локально, а пользователю придется его переносить на токен. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
User_stv Опубликовано 24 Октября 2012 Автор Жалоба Поделиться Опубликовано 24 Октября 2012 Тогда если версия 3.2.9, то есть опция во вкладке подпись Автоматически....изданные по инициативе админа УКЦ. Сертификат установится локально, а пользователю придется его переносить на токен.Версия 3.1 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 24 Октября 2012 Жалоба Поделиться Опубликовано 24 Октября 2012 Версия 3.1Во-первых, данная процедура пройдёт только если сертификат ещё не просрочен. Если сертификат просрочен, то обновить подпись удалённо не удастся. Во-вторых,в мастере запроса можно указать "ввести данный сертификат в действие" (если хотите, чтобы он автоматически был введён в действие) и "ожидать ответа на запрос" (чтобы в телефонном режиме сразу после запроса был выслан ответ). Поскольку запрос на сертификат подписывается пользователем, то наличие галки "ожидать ответа на запрос" гарантирует, что пользователь дождётся ввода в действие сертификата. В мастере же можно указать где будет хранится закрытый ключ сертификата. В папке - так в папке (пользователь сам перенесёт). В токене - так в токене.Если вы хотите всё сделать разом, то можно просто в УКЦ издать новые сертификаты и разослать их через ЦУС. Пользователь по Вашей инструкции вручную выберет сертификат и перенесёт его на съёмный носитель. Плюс данного способа - быстро и централизованно. Минус - пользователям придётся доделывать всё вручную. Первый вариант предпочтительнее.Всё вышесказанное применимо для версии 3.1 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 24 Октября 2012 Жалоба Поделиться Опубликовано 24 Октября 2012 Да, и ещё добавлю. Второй вариант подойдёт даже если подпись уже просрочена. Тем не менее, если у Вас полноценный удостоверяющий центр, то в этом случае придётся брать заявления на новую подпись в бумажном виде, так как в электронном виде запрос подписать пользователь уже не может. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
User_stv Опубликовано 25 Октября 2012 Автор Жалоба Поделиться Опубликовано 25 Октября 2012 Да, и ещё добавлю. Второй вариант подойдёт даже если подпись уже просрочена. Тем не менее, если у Вас полноценный удостоверяющий центр, то в этом случае придётся брать заявления на новую подпись в бумажном виде, так как в электронном виде запрос подписать пользователь уже не может.Большое спасибо! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 26 Октября 2012 Жалоба Поделиться Опубликовано 26 Октября 2012 Большое спасибо!И ещё добавлю - чтобы создать принудительно в ЦУСе новую ключевую дискету, необходимо сначала произвести копирование справочников конкретного пользователя в УКЦ. А уже в УКЦ щёлкнуть на пользователя и кнопку "создать". После переноса в ЦУС и рассылки на АП новый сертификат будет доступен для выбора пользователю. (это касаемо второго варианта). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
User_stv Опубликовано 29 Октября 2012 Автор Жалоба Поделиться Опубликовано 29 Октября 2012 И ещё добавлю - чтобы создать принудительно в ЦУСе новую ключевую дискету, необходимо сначала произвести копирование справочников конкретного пользователя в УКЦ. А уже в УКЦ щёлкнуть на пользователя и кнопку "создать". После переноса в ЦУС и рассылки на АП новый сертификат будет доступен для выбора пользователю. (это касаемо второго варианта).Провел обновление сертификатов, издал на 3 года, а вот закрытый ключ действует всего год, как с ним быть?Спасибо. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 29 Октября 2012 Жалоба Поделиться Опубликовано 29 Октября 2012 Провел обновление сертификатов, издал на 3 года, а вот закрытый ключ действует всего год, как с ним быть?Спасибо.Никак. Его нужно каждый год менять - без вариантов. В случае с пользователями - во время действия ЭП можно запросить новую. В случае с корневым - каждый год заблаговременно издавать (до истечения предыдущего). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
User_stv Опубликовано 30 Октября 2012 Автор Жалоба Поделиться Опубликовано 30 Октября 2012 Никак. Его нужно каждый год менять - без вариантов. В случае с пользователями - во время действия ЭП можно запросить новую. В случае с корневым - каждый год заблаговременно издавать (до истечения предыдущего).А можно подробно про него написать?Спасибо! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 30 Октября 2012 Жалоба Поделиться Опубликовано 30 Октября 2012 А можно подробно про него написать?Спасибо!Всё очень просто - заходим в УКЦ под администратором. Идём в раздел "Администраторы" (самый низ дерева). Выбираем нужного администратора (текущего, у которого проблема). Правой кнопкой мыши щёлкаем, пункт меню "сертификат" -> "создать сертификат". Создаём новый сертификат, а после его создания (а мы ещё выжидаем, пока он не будет зарегистрирован официально в министерстве связи) выбираем "сертификат"->"сменить текущий" и указываем новый сертификат. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
User_stv Опубликовано 30 Октября 2012 Автор Жалоба Поделиться Опубликовано 30 Октября 2012 Я имел ввиду закрытый ключ, как с ним быть? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 30 Октября 2012 Жалоба Поделиться Опубликовано 30 Октября 2012 Я имел ввиду закрытый ключ, как с ним быть?Я его и имел ввиду. Сертификат - это, элетронный документ, который включает в себя информацию о закрытом ключе. Новый ключ - новый сертификат. Поэтому, чтобы поменять закрытый ключ администратора, нужно издать новый сертификат (с новым закрытым ключём). Сертификат у администратора каждый год новый. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
User_stv Опубликовано 31 Октября 2012 Автор Жалоба Поделиться Опубликовано 31 Октября 2012 А зачем же тогда сертификаты делаются на 2 и более года, если закрытый ключь дейсвует всего год. Чем грозит, когда сертификат еще действует, а закрытый ключь уже истек! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 31 Октября 2012 Жалоба Поделиться Опубликовано 31 Октября 2012 А зачем же тогда сертификаты делаются на 2 и более года, если закрытый ключь дейсвует всего год. Чем грозит, когда сертификат еще действует, а закрытый ключь уже истек!Это сделано для того, чтобы проверить действительность подписи можно было ещё очень долго, но, при этом, подписывать ей уже нельзя, так как ключ тем меньше имеет доверия, чем больше он живёт. Это совершенно ничем не грозит. Просто подписывать не сможете им новые сертификаты (создавать их). Но, конечно, всегда можно перевести локальное время в Windows назад и баловаться с созданием новых сертификатов. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.