Jump to content
KSS

Проблема С Запросом На Кросс-Сертификацию.

Recommended Posts

Здравствуйте.

Помогите решить задачу.

Мы получили аккредитацию в Минкомсвязи и сейчас необходимо произвести иерархическую кросс-сертификацию с ними.

Я в УКЦ создал запрос к выше стоящему УЦ, экспортировал его и отправил в Минкомсвязь. После они мне сообщили что в запросе на кросс-сертификат отсутствует расширение 2.5.29.14.

OID 2.5.29.14 – идентификатор ключа субъекта (SubjectKeyIdentifier).

Как мне его в состав кросс-сертификата вставить?

Пишите сюда, в аську 1817359, на почту kss@sbv.ru, skype: kssname.

Уж очень сильно нужна помощь.

Share this post


Link to post
Share on other sites

А зачем Вы создавали запрос к Вышестоящему УЦ, если нужно создать запрос на Кроссертификат.

Это Совершенно Две Разные Вещи.

Share this post


Link to post
Share on other sites

В соответствии с руководством администратора ViPNet Administrator УКЦ 3.2 (ФРКЕ.00006-05 32 02) установление доверительных отношений на основе иерархической модели описано ниже.

Если вам требуется установить доверительные отношения с УЦ на основе иерархической модели и ваш УЦ является подчиненным по отношению к нему, выполните следующие действия:

1 Сформируйте запрос на сертификат к вышестоящему УЦ для администратора программы ViPNet УКЦ. Подробнее см. раздел Создание запроса на сертификат к вышестоящему УЦ (на стр. 202).

...

Share this post


Link to post
Share on other sites

В руководстве администратора, полагаю, подразумевается иерархическая модель именно внутри конкретной сети ViPNet. Например, если внутри именно Вашей сети есть один главный УЦ и несколько подчиненных (головное предприятие и несколько территориальных офисов).

Share this post


Link to post
Share on other sites

Возможно, но про это ничего не сказано, а если сделать запрос на кросс-сертификацию, то это получится распределенная модель.

Администраторы проясните ситуацию!

Share this post


Link to post
Share on other sites

У Вас УЦ подчиненный или самостоятельный?

Если подчиненный, кроссертификация происходит на уровне головного УЦ или и подчиненных?

В любом случае, думаю в Вашем случае все равно нужен запрос на Кроссертификат.

Во всяком случае УЦ Минкомсвязи именно его от Вас ждет.

Share this post


Link to post
Share on other sites

Возможно, но про это ничего не сказано, а если сделать запрос на кросс-сертификацию, то это получится распределенная модель.

Администраторы проясните ситуацию!

Само собой, про процедуру аккредитации в Минкомсвязи ничего не будет написано в документации к программному комплексу. ;)

Share this post


Link to post
Share on other sites

У Вас УЦ подчиненный или самостоятельный?

Я сомневаюсь, что УЦ Минкомсвязи работает по распределенной модели, следовательно, мы будем подчиненными.

Есть даже куча их приказов где они себя называют "Головной УЦ".

Share this post


Link to post
Share on other sites

Я сомневаюсь, что УЦ Минкомсвязи работает по распределенной модели, следовательно, мы будем подчиненными.

Есть даже куча их приказов где они себя называют "Головной УЦ".

Причем здесь они (Минкомсвязь).

У Вас УЦ подчиненный?

Допустим ПФР:

Головной УЦ находится в Москве, а подчиненные во всех регионах, но даже при этой схеме, все подчиненные регионы создавали запрос на кроссертификат в Минкомсвязь напрямую.

Share this post


Link to post
Share on other sites

Причем здесь они (Минкомсвязь).

У Вас УЦ подчиненный?

Допустим ПФР:

Головной УЦ находится в Москве, а подчиненные во всех регионах, но даже при этой схеме, все подчиненные регионы создавали запрос на кроссертификат в Минкомсвязь напрямую.

Поддерживаю.

http://minsvyaz.ru/ru/directions/?regulator=118 (ссылка "Перечень аккредитованых удостоверяющих центров...", в таблице с номера 207 по номер 254 отделения ПФР).

Share this post


Link to post
Share on other sites

Нет, мы самостоятельные.

Ну тогда в Вашем случае нужно просто создать запрос на Кроссертификат и направить его в Минкомсвязь!

И, Думаю, все будет Хорошо! =)))

Share this post


Link to post
Share on other sites

В продолжение темы, мы в Минсвязь отправили запрос на кросс-сертификат после чего нам выпустили 2 кросс-сертификата. Ссылка на сертификаты http://e-trust.gosus...lterCryptClass=.

Что мне делать с ними? :mellow: Нужно ли их как-то импортировать в УКЦ?

Следующий шаг у нас — это настройка взаимодействия с площадками, ПФР и т.п. Так вот подписи, которые будут выпускаться для наших клиентов должны подписываться и заверяться нашим корневым сертификатом администратора или этим кросс-сертификатом?

В документации на ViPNet нет информации, а если все-таки есть дайте пожалуйста ссылку на документ.

Share this post


Link to post
Share on other sites

В продолжение темы, мы в Минсвязь отправили запрос на кросс-сертификат после чего нам выпустили 2 кросс-сертификата.

Ничего в ЦУС импортировать не надо!

Ваши кроссертификаты служат только для проверки Ваших сертификатов на другой стороне.

Можете их сами передать, либо они сами их могут взять с сайта Минкомсвязи.

Share this post


Link to post
Share on other sites

Ваши кроссертификаты служат только для проверки Ваших сертификатов на другой стороне.

Т.е. на другой стороне? Я так понимаю сертификаты наших клиентов, могут проверять любые люди, имеющие этот выпущенный сертификат сертификат и кросс-сертификат?

Share this post


Link to post
Share on other sites

Т.е. на другой стороне?

Я имел ввиду, что кроссертификат нужен только проверяющей стороне. Вам, фактически он не нужен. =)))

Share this post


Link to post
Share on other sites

Интересно получается, а что мешает им взять наш корневой и проверить? :) Или похоже у Минсвязи нет доверия к нашему корневому.

Так ради интереса вы является админом аккред. УЦ?

Share this post


Link to post
Share on other sites

Так ради интереса вы является админом аккред. УЦ?

Да Мы Аккредитованы.

А ответ Вы сами правильно сформулировали - для Всех Аккредитованных УЦ при проверке сертификатов Цепочка должна строиться до головного УЦ МинКомСвязи! =)

Share this post


Link to post
Share on other sites

Доброго времени суток, интересует такой вопрос как в кросс-сертификат добавить политику 1.2.643.100.111 (Средство электронной подписи владельца).

В корневом сертификате данное поле присутствует, но при создании кросса добавить его вручную либо автоматически не получается.

Подскажите пожалуйста как решить данную проблему?

Share this post


Link to post
Share on other sites
Доброго времени суток, интересует такой вопрос как в кросс-сертификат добавить политику 1.2.643.100.111 (Средство электронной подписи владельца). В корневом сертификате данное поле присутствует, но при создании кросса добавить его вручную либо автоматически не получается. Подскажите пожалуйста как решить данную проблему?

как проблему решили? расскажите где почитать?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.