Проблема С Запросом На Кросс-Сертификацию.

[KSS]

Здравствуйте.

Помогите решить задачу.

Мы получили аккредитацию в Минкомсвязи и сейчас необходимо произвести иерархическую кросс-сертификацию с ними.

Я в УКЦ создал запрос к выше стоящему УЦ, экспортировал его и отправил в Минкомсвязь. После они мне сообщили что в запросе на кросс-сертификат отсутствует расширение 2.5.29.14.

OID 2.5.29.14 – идентификатор ключа субъекта (SubjectKeyIdentifier).

Как мне его в состав кросс-сертификата вставить?

Пишите сюда, в аську 1817359, на почту kss@sbv.ru, skype: kssname.

Уж очень сильно нужна помощь.

[xrockx]

А зачем Вы создавали запрос к Вышестоящему УЦ, если нужно создать запрос на Кроссертификат.

Это Совершенно Две Разные Вещи.

[KSS]

В соответствии с руководством администратора ViPNet Administrator УКЦ 3.2 (ФРКЕ.00006-05 32 02) установление доверительных отношений на основе иерархической модели описано ниже.

Если вам требуется установить доверительные отношения с УЦ на основе иерархической модели и ваш УЦ является подчиненным по отношению к нему, выполните следующие действия:

1 Сформируйте запрос на сертификат к вышестоящему УЦ для администратора программы ViPNet УКЦ. Подробнее см. раздел Создание запроса на сертификат к вышестоящему УЦ (на стр. 202).

...

[Xenobius]

В руководстве администратора, полагаю, подразумевается иерархическая модель именно внутри конкретной сети ViPNet. Например, если внутри именно Вашей сети есть один главный УЦ и несколько подчиненных (головное предприятие и несколько территориальных офисов).

[KSS]

Возможно, но про это ничего не сказано, а если сделать запрос на кросс-сертификацию, то это получится распределенная модель.

Администраторы проясните ситуацию!

[xrockx]

У Вас УЦ подчиненный или самостоятельный?

Если подчиненный, кроссертификация происходит на уровне головного УЦ или и подчиненных?

В любом случае, думаю в Вашем случае все равно нужен запрос на Кроссертификат.

Во всяком случае УЦ Минкомсвязи именно его от Вас ждет.

[Xenobius]

Возможно, но про это ничего не сказано, а если сделать запрос на кросс-сертификацию, то это получится распределенная модель.

Администраторы проясните ситуацию!

Само собой, про процедуру аккредитации в Минкомсвязи ничего не будет написано в документации к программному комплексу.

[KSS]

У Вас УЦ подчиненный или самостоятельный?

Я сомневаюсь, что УЦ Минкомсвязи работает по распределенной модели, следовательно, мы будем подчиненными.

Есть даже куча их приказов где они себя называют "Головной УЦ".

[xrockx]

Я сомневаюсь, что УЦ Минкомсвязи работает по распределенной модели, следовательно, мы будем подчиненными.

Есть даже куча их приказов где они себя называют "Головной УЦ".

Причем здесь они (Минкомсвязь).

У Вас УЦ подчиненный?

Допустим ПФР:

Головной УЦ находится в Москве, а подчиненные во всех регионах, но даже при этой схеме, все подчиненные регионы создавали запрос на кроссертификат в Минкомсвязь напрямую.

[Xenobius]

Причем здесь они (Минкомсвязь).

У Вас УЦ подчиненный?

Допустим ПФР:

Головной УЦ находится в Москве, а подчиненные во всех регионах, но даже при этой схеме, все подчиненные регионы создавали запрос на кроссертификат в Минкомсвязь напрямую.

Поддерживаю.

http://minsvyaz.ru/ru/directions/?regulator=118 (ссылка "Перечень аккредитованых удостоверяющих центров...", в таблице с номера 207 по номер 254 отделения ПФР).

[KSS]

У Вас УЦ подчиненный?

Нет, мы самостоятельные.

[KSS]

http://minsvyaz.ru/common/upload/Perechen_A_UZ-new.pdf

пункт 341

[xrockx]

Нет, мы самостоятельные.

Ну тогда в Вашем случае нужно просто создать запрос на Кроссертификат и направить его в Минкомсвязь!

И, Думаю, все будет Хорошо! =)))

[KSS]

В продолжение темы, мы в Минсвязь отправили запрос на кросс-сертификат после чего нам выпустили 2 кросс-сертификата. Ссылка на сертификаты http://e-trust.gosus...lterCryptClass=.

Что мне делать с ними? Нужно ли их как-то импортировать в УКЦ?

Следующий шаг у нас — это настройка взаимодействия с площадками, ПФР и т.п. Так вот подписи, которые будут выпускаться для наших клиентов должны подписываться и заверяться нашим корневым сертификатом администратора или этим кросс-сертификатом?

В документации на ViPNet нет информации, а если все-таки есть дайте пожалуйста ссылку на документ.

[xrockx]

В продолжение темы, мы в Минсвязь отправили запрос на кросс-сертификат после чего нам выпустили 2 кросс-сертификата.

Ничего в ЦУС импортировать не надо!

Ваши кроссертификаты служат только для проверки Ваших сертификатов на другой стороне.

Можете их сами передать, либо они сами их могут взять с сайта Минкомсвязи.

[KSS]

Ваши кроссертификаты служат только для проверки Ваших сертификатов на другой стороне.

Т.е. на другой стороне? Я так понимаю сертификаты наших клиентов, могут проверять любые люди, имеющие этот выпущенный сертификат сертификат и кросс-сертификат?

[xrockx]

Т.е. на другой стороне?

Я имел ввиду, что кроссертификат нужен только проверяющей стороне. Вам, фактически он не нужен. =)))

[KSS]

Интересно получается, а что мешает им взять наш корневой и проверить? Или похоже у Минсвязи нет доверия к нашему корневому.

Так ради интереса вы является админом аккред. УЦ?

[xrockx]

Так ради интереса вы является админом аккред. УЦ?

Да Мы Аккредитованы.

А ответ Вы сами правильно сформулировали - для Всех Аккредитованных УЦ при проверке сертификатов Цепочка должна строиться до головного УЦ МинКомСвязи! =)

[mascom]

Доброго времени суток, интересует такой вопрос как в кросс-сертификат добавить политику 1.2.643.100.111 (Средство электронной подписи владельца).

В корневом сертификате данное поле присутствует, но при создании кросса добавить его вручную либо автоматически не получается.

Подскажите пожалуйста как решить данную проблему?

[COBRA]

Доброго времени суток, интересует такой вопрос как в кросс-сертификат добавить политику 1.2.643.100.111 (Средство электронной подписи владельца). В корневом сертификате данное поле присутствует, но при создании кросса добавить его вручную либо автоматически не получается. Подскажите пожалуйста как решить данную проблему?

как проблему решили? расскажите где почитать?