Jump to content

Recommended Posts

Добрый день!

Задача в общем в следующем, на АП истекает срок действия сертификатов, фишка в том что авторизация происходит по токину и паролю, на токине хронятся ключи шифрования и прочая шелобуда.

Вопрос! Как провести обновление сертификатов.

Спасибо.

Share this post


Link to post
Share on other sites

В Подписи жмешь обновить сертификат и все будет ОК, Только токен должен быть вставлен в комп до конца обновления. И, конечно же, корневой должен быть новый в УКЦ.

Share this post


Link to post
Share on other sites

В Подписи жмешь обновить сертификат и все будет ОК, Только токен должен быть вставлен в комп до конца обновления. И, конечно же, корневой должен быть новый в УКЦ.

Обновление планируется проводить централизованно из ЦУСа, наличие токин в момент обновления не гарантирован. (ап просто может быть выключен)

Share this post


Link to post
Share on other sites

Тогда если версия 3.2.9, то есть опция во вкладке подпись Автоматически....изданные по инициативе админа УКЦ. Сертификат установится локально, а пользователю придется его переносить на токен.

Share this post


Link to post
Share on other sites

Тогда если версия 3.2.9, то есть опция во вкладке подпись Автоматически....изданные по инициативе админа УКЦ. Сертификат установится локально, а пользователю придется его переносить на токен.

Версия 3.1

Share this post


Link to post
Share on other sites

Версия 3.1

Во-первых, данная процедура пройдёт только если сертификат ещё не просрочен. Если сертификат просрочен, то обновить подпись удалённо не удастся. Во-вторых,в мастере запроса можно указать "ввести данный сертификат в действие" (если хотите, чтобы он автоматически был введён в действие) и "ожидать ответа на запрос" (чтобы в телефонном режиме сразу после запроса был выслан ответ). Поскольку запрос на сертификат подписывается пользователем, то наличие галки "ожидать ответа на запрос" гарантирует, что пользователь дождётся ввода в действие сертификата. В мастере же можно указать где будет хранится закрытый ключ сертификата. В папке - так в папке (пользователь сам перенесёт). В токене - так в токене.

Если вы хотите всё сделать разом, то можно просто в УКЦ издать новые сертификаты и разослать их через ЦУС. Пользователь по Вашей инструкции вручную выберет сертификат и перенесёт его на съёмный носитель. Плюс данного способа - быстро и централизованно. Минус - пользователям придётся доделывать всё вручную. Первый вариант предпочтительнее.

Всё вышесказанное применимо для версии 3.1

Share this post


Link to post
Share on other sites

Да, и ещё добавлю. Второй вариант подойдёт даже если подпись уже просрочена. Тем не менее, если у Вас полноценный удостоверяющий центр, то в этом случае придётся брать заявления на новую подпись в бумажном виде, так как в электронном виде запрос подписать пользователь уже не может.

Share this post


Link to post
Share on other sites

Да, и ещё добавлю. Второй вариант подойдёт даже если подпись уже просрочена. Тем не менее, если у Вас полноценный удостоверяющий центр, то в этом случае придётся брать заявления на новую подпись в бумажном виде, так как в электронном виде запрос подписать пользователь уже не может.

Большое спасибо!

Share this post


Link to post
Share on other sites

Большое спасибо!

И ещё добавлю - чтобы создать принудительно в ЦУСе новую ключевую дискету, необходимо сначала произвести копирование справочников конкретного пользователя в УКЦ. А уже в УКЦ щёлкнуть на пользователя и кнопку "создать". После переноса в ЦУС и рассылки на АП новый сертификат будет доступен для выбора пользователю. (это касаемо второго варианта).

Share this post


Link to post
Share on other sites

И ещё добавлю - чтобы создать принудительно в ЦУСе новую ключевую дискету, необходимо сначала произвести копирование справочников конкретного пользователя в УКЦ. А уже в УКЦ щёлкнуть на пользователя и кнопку "создать". После переноса в ЦУС и рассылки на АП новый сертификат будет доступен для выбора пользователю. (это касаемо второго варианта).

Провел обновление сертификатов, издал на 3 года, а вот закрытый ключ действует всего год, как с ним быть?

Спасибо.

Share this post


Link to post
Share on other sites

Провел обновление сертификатов, издал на 3 года, а вот закрытый ключ действует всего год, как с ним быть?

Спасибо.

Никак. Его нужно каждый год менять - без вариантов. В случае с пользователями - во время действия ЭП можно запросить новую. В случае с корневым - каждый год заблаговременно издавать (до истечения предыдущего).

Share this post


Link to post
Share on other sites

Никак. Его нужно каждый год менять - без вариантов. В случае с пользователями - во время действия ЭП можно запросить новую. В случае с корневым - каждый год заблаговременно издавать (до истечения предыдущего).

А можно подробно про него написать?

Спасибо!

Share this post


Link to post
Share on other sites

А можно подробно про него написать?

Спасибо!

Всё очень просто - заходим в УКЦ под администратором. Идём в раздел "Администраторы" (самый низ дерева). Выбираем нужного администратора (текущего, у которого проблема). Правой кнопкой мыши щёлкаем, пункт меню "сертификат" -> "создать сертификат". Создаём новый сертификат, а после его создания (а мы ещё выжидаем, пока он не будет зарегистрирован официально в министерстве связи) выбираем "сертификат"->"сменить текущий" и указываем новый сертификат.

Share this post


Link to post
Share on other sites

Я имел ввиду закрытый ключ, как с ним быть?

Я его и имел ввиду. Сертификат - это, элетронный документ, который включает в себя информацию о закрытом ключе. Новый ключ - новый сертификат. Поэтому, чтобы поменять закрытый ключ администратора, нужно издать новый сертификат (с новым закрытым ключём). Сертификат у администратора каждый год новый.

Share this post


Link to post
Share on other sites

А зачем же тогда сертификаты делаются на 2 и более года, если закрытый ключь дейсвует всего год. Чем грозит, когда сертификат еще действует, а закрытый ключь уже истек!

Share this post


Link to post
Share on other sites

А зачем же тогда сертификаты делаются на 2 и более года, если закрытый ключь дейсвует всего год. Чем грозит, когда сертификат еще действует, а закрытый ключь уже истек!

Это сделано для того, чтобы проверить действительность подписи можно было ещё очень долго, но, при этом, подписывать ей уже нельзя, так как ключ тем меньше имеет доверия, чем больше он живёт. Это совершенно ничем не грозит. Просто подписывать не сможете им новые сертификаты (создавать их). Но, конечно, всегда можно перевести локальное время в Windows назад и баловаться с созданием новых сертификатов.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.