Sport-kaliningrad.ru

Спорт Калининград
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Crl список отозванных сертификатов как установить

Список отзывов сертификатов (Certificate revocation list) — представляет собой файл указывающий на список сертификатов с указанием серийного номера сертификата, даты отзыва, причина отзыва. В целом списки отзыва сертификатов (CRL) используются для передачи сведений об отзыве сертификатов пользователям, компьютерам и приложениям, пытающимся проверить подлинность сертификата.

При каких ситуациях ваш сертификат может попасть в указанный список:

1. При выдаче сертификата УЦ ошибся в части реквизитов, поэтому был выдан новый сертификат.

2. Сертификатом завладело третье лицо, кто мог бы подписывать за вас (т.н. компрометация ключа).

3. Сертификат был отозван по заявлению владельца сертификата.

4. Сменилось уполномоченное лицо, владеющее сертификатом;

Формируется указанный список центром сертификации и публикуется в любое доступное место для пользователей, чтобы пользователь в свою очередь мог его установить.

После проведенной установки CRL файла ПО использующее функции подписания и шифрования будет проверять находится ли ваш сертификат в указанном списке. В случае если ваш сертификат находится в списке, то подписывать и шифровать файлы и документы данным сертификатом вы уже не сможете.

Что это нам дает? Прежде всего вы всегда можете быть уверены, что сертификат, с которым вы сейчас работаете, является действующим и легитимность выполняемых действий будет подтверждена. Соответственно все законно и мы можем работать в дальнейшем спокойно.

Предположим, что кому-то (или чему-то) сертификат больше не нужен (человек уволился, скомпрометирован секретный ключ и т.п.). Срок действия сертификата ещё не кончился, но нужно, чтобы он не работал. Для этого администратор CA обновляет список отозванных сертификатов и размещает его в доступном для всех месте.

Петя уволился (сам или нет..)
1. На место Пети посадили Колю, который получил полный доступ к всей информации Пети. При этом ещё не все знают, что Пети нет.
2. Маша (которая ещё не знает, что случилось) шлёт Пете файл (что-то личное?!), зашифровав его Петиним открытым ключом.
3. Коля имеет доступ к секретному ключу Пети и может прочитать информацию от Маши. Так же не забываем, что он может ставить ЭЦП от имени Пети.

Если бы Маша проверила Петин сертификат по CRL, то она бы узнала, что сертификатом Пети шифровать уже нельзя. Да и другие люди должны знать, что Петя ничего больше подписывать не должен. Т.е. все должны регулярно обновлять CRL (если это не делается автоматически или ПО само не производит on-line проверку сертификата).

Таким нехитрым образом происходит работа CRL. Более глубже вдаваться в теорию работы со списками отзывов сертификатов нет смысла, поэтому перейдем к практике.

interface31

Анонсы

Система клиентского доступа в OpenVPN построена вокруг инфраструктуры открытых ключей (PKI) и основным средством идентификации пользователя является сертификат. Располагая действительным сертификатом клиент может подключиться к любому серверу, использующему сертификаты вашего центра сертификации (CA). Если доступ пользователя необходимо прекратить, то выданный ему сертификат следует отозвать. В данной статье мы рассмотрим процесс отзыва сертификатов для различных версий Easy-RSA на платформах Windows и Linux, а также настройку OpenVPN севера для проверки сертификатов на отзыв.

Easy-RSA 2 Linux

Вторая версия Easy-RSA наиболее часто используется совместно с OpenVPN, так как входит в состав большинства актуальных на данный момент дистритбутивов. В нашем случае будет рассматриваться Ubuntu 18.04, но серьезных отличий с иными Linux системами нет, так как Easy-RSA это просто набор скриптов, облегачающий работу с OpenSSL.

Обычно корневая директория PKI находится в каталоге настроек OpenVPN — /etc/openvpn/easy-rsa, здесь и далее примем такое расположение как умолчание. Прежде чем выполнять отзыв, Easy-RSA потребуется немного настроить, откройте файл @openssl.conf и приведите к следующему виду строку:

Сохраните изменения, после чего создайте указанный файл:

Теперь можно приступать к отзыву, для этих целей используется скрипт revoke-full. Перейдем в директорию Easy-RSA:

И выполним отзыв, для этого нам нужно знать CN (Commom Name) сертификата, в нашем случае это ivanov:

Сообщение:

не является ошибкой! Оно сообщает о том, что проверка сертификата не увенчалась успехом по причине его отзыва.

После выполнения данной команды впервые в каталоге /etc/openvpn/easy-rsa/keys появится файл crl.pem — список отозванных сертификатов. Данный файл будет обновляться после каждого успешного отзыва.

Easy-RSA 2 Windows

В Windows никаких дополнительных настроек производить не нужно. А каталог Easy-RSA обычно располагается внутри каталога установки OpenVPN, по умолчанию это C:Program FilesOpenVPNeasy-rsa.

Перейдем в этот каталог (так как он является системным, то командная строка должна быть запущена от имени Администратора):

Результатом выполнения команды также будет создание или обновление файла списка отозванных сертификатов — crl.pem.

Easy-RSA 3 Linux

Новая версия Easy-RSA пока не имеет широкого распространения и присутствует в ограниченном количестве новых дистрибутивов, в частности в Debian 10. Приемы работы с ней значительно отличаются от Easy-RSA 2 и мы посвящали этому отдельную статью, в которой рассматривали в том числе и отзыв сертификатов.

В Easy-RSA 3 для отзыва сертификатов и создания/обновления списка отозванных сертификатов предназначены разные команды, поэтому вы можете сформировать CRL заранее и подключить его к конфигурации OpenVPN не дожидаясь отзыва.

Будем также считать, что директория Easy-RSA расположена в /etc/openvpn/easy-rsa, сразу перейдем в нее:

Затем сформируем список отозванных сертификатов:

Итогом выполнения данной команды будет появление файла crl.pem в директории pki.

Для отзыва сертификата выполните (предварительно перейдя в директорию Easy-RSA):

В данном случае вам потребуется явно подтвердить отзыв, введя yes на запрос утилиты.

После отзыва сертификата вам потребуется обновить список CRL, для этого еще раз выполните:

Еще раз напомним, что для отзыва сертификатов мы должны указать их CN, поэтому при их создании задавайте им осмысленные имена, чтобы потом не пришлось угадывать, как называется сертификат Иванова: client123, client231 или client321. Также помните о том, что отзыв сертификата — действие необратимое, даже если вы повторно выпустите сертификат с этим же именем (CN), это будет совсем другой сертификат, который придется заново выдать пользователю.

Настройка OpenVPN для работы со списком отозванных сертификатов (CRL)

После того, как вы создали или обновили CRL (файл crl.pem) его следует скопировать в директорию с ключами OpenVPN сервера, это действие следует повторять после каждого отзыва сертификата (и обновления файла crl.pem).

Читать еще:  Как подключить светодиодную ленту в ванной

Затем откроем конфигурацию сервера OpenVPN и добавим туда директиву, отвечающую за проверку отозванных сертификатов. В Linux:

В данном случае подразумевается, что ключи и CRL находятся в директории /etc/openvpn/keys.

Здесь мы также подразумеваем расположение каталогов по умолчанию, если это не так, то пути следует отредактировать.

При обновлении списка отозванных сертификатов достаточно просто скопировать с заменой файл crl.pem, если серверов несколько, то это нужно сделать на каждом из них.

После чего обязательно перезапустите службу OpenVPN сервера. Это нужно сделать потому, что OpenVPN перечитывает CRL один раз в час и в течении этого времени клиенты с отозванными сертификатами смогут продолжать подключаться и работать. В Linuх для этого выполните:

В Windows воспользуйтесь штатной оснасткой Службы.

Для клиента с отозванным сертификатом процесс подключения будет «зависать» на этапе согласования ключей и через 60 секунд выдавать в лог сообщение:

При этом клиент будет продолжать попытки подключения в соответствии со значениями опции keepalive. Если используется GUI, то клиент будет «вечно» висеть в желтом цвете.

Чтобы ограничить число переподключений используйте в конфигурации клиента опцию:

Которая задает максимальное количество переподключений, в данном случае 25, однако вы должны указать ее заранее, передать на клиента с отозванным сертификатом вы ее не сможете. Мы рекомендуем всегда использовать эту опцию, когда вы настраиваете OpenVPN клиент на узлах, которые вы не контролируете, например, на домашних ПК или ноутбуках сотрудников.

Crl список отозванных сертификатов как установить

Этот форум закрыт. Спасибо за участие!

  • Форумы
  • Просмотр пользователей форумов
  • Часто задаваемые вопросы

  • Remove From My Forums

Лучший отвечающий

Вопрос

Помогите пожалуйста. Небольшая сеть. Настроен один центр сертификации. Точки распространения прописаны через LDAP и Web сервер. Сертификаты с этими параметрами перевыпущены.

Обновляю на сервере сертификации списки отзывов — они обновляются. На доменных клиентах же никаких изменений. Хотя списки отзыва там уже просрочены — след обновление в нем написано должно было быть уже 20 января.

Конечно можно вручную установить списки. Но они же должны раз в цикл сами обновляться.

Ответы

Ура! заработало частично)

В общем на сервер терминалов зайти пока что так не могу. Зато на другие серверы нашел временное решение. Я подозреваю что всё-таки это из за того, что недоступны списки отзыва извне.

В общем я через групповую политику настраивал, чтоб два сервера автоматически получали по спец шаблону сертификат, который будет использоваться при удаленном подключении. Иначе винда по умолчанию использует самоподписанный сертификат. И эти специальные сертификаты видимо требуют чтоб их проверили по спискам отзывов. Т.к. они недоступны — то соединение и не устанавливается.

Я сейчас удалил эти сертификаты на двух серверах, поправил групповую политику чтоб использовались сапомодписанные сертификаты. И заработало — я получил доступ к этим двум серверам.

С терминал сервером тоже самое получается — у него в настройках узла сеансов удаленных рабочих столов задан специальный сертификат. Если его поменять на самоподписанный — то думаю тоже всё заработает. Но это не есть хорошо.

Я всё правильно понял? Мне сейчас надо пилить, чтобы были доступны извне списки отзыва сертификатов и по идеи должны заработать тогда будут нормальные сертификаты, а не самоподписанные?

  • Помечено в качестве ответа Vinokurov Yuriy 30 января 2012 г. 8:43

Все ответы

Ой — прошу прощения. Разобрался что это действительно не то)) Я просто увидел в оснастке сертификаты — промежуточные центры сертификации — списки отзывов. На моем ЦС там правда лежат свежие списки отзывов. Но на других компах там ничего не должно быть — я просто на одном из них до этого ставил тоже центр сертификации и эти списки остались. И я решил что они везде должны обновляться.

А проблема вообще возникла такая. Есть сервер терминалов, на нем же шлюз удаленных рабочих столов. Отдельно есть контроллер домена, на нем центр сертификации. Соединяюсь из дома. Windows XPsp3. Самый последний для XP клиент удаленных раб столов. В общем если отключать на XP проверку на уровне сети — я могу нормально заходить через шлюз терминалов на любой комп. Если я включаю проверку на уровне сети (прописываю в реестре нужные ключи) — то зайти я могу только на контроллер домена, т.е. как раз на комп, где стоит центр сертификации. На любой другой компьютер пытаюсь зайти — вылазит такое окно

Подключение было разорвано, поскольку был получен непредусмотренный сертификат проверки подлинности сервера от удаленного компьютера.

Повторите попытку подключения. Если проблема сохранится, обратитесь к владельцу удаленного компьютера или к сетевому администратору

Тут на форуме была у человека такая проблема — но у него решилось обновлением на сервере расписания и списков отзыва сертификатов.

Crl список отозванных сертификатов как установить

Область применения ЭП довольно широка. Например, многие специальные сервисы требуют верификации пользователя с её помощью: Госуслуги, онлайн-сервисы для управления средствами в банке и электронные площадки и другие. Поэтому любые технические неполадки, возникающие при использовании ЭП, могут вызвать различные серьёзные: от упущенной выгоды до материальных убытков.

Какие бывают ошибки

Проблемы при использовании ЭП, с которыми пользователи встречаются чаще всего, можно условно разделить на три группы:

Проблемы с сертификатом Они появляются, когда сертификат не выбран, не найден или не верен.

Проблемы с подписанием документа. Ошибки возникают при попытке подписать документ.

Проблема при авторизации на торговых площадках.

Рассмотрим неполадки подробнее и разберёмся, как их решать.

Сертификат не найден

Иногда при попытке подписать электронный документ с помощью ЭП пользователь может столкнуться с ошибкой «Не удалось найти ни одного сертификата, пригодного для создания подписи»

У подобных ошибок могут быть следующие причины:

1. На компьютере не установлены корневые сертификаты Удостоверяющего Центра (УЦ), в котором была получена ЭП. Необходимо установить либо обновить корневой сертификат. Установка корневых сертификатов удостоверяющего центра подробно описана в нашей инструкции.

2. На ПК не установлено ни одного личного сертификата ЭП. Для применения ЭП необходимы и личные сертификаты. Об их установке мы писали в другой статье.

3. Установленные на компьютере необходимые сертификаты не валидны. Сертификаты отозваны или просрочены. Уточните статус сертификата в УЦ. Ошибка с текстом «Ваш сертификат ключа подписи включён в список отозванных» возникает, если у сертификата закончился срок действия или на ПК нужно обновить список сертификатов. В последней ситуации следует вручную загрузить перечень отозванных сертификатов.

Читать еще:  Как установить экран под ванну лагуна

Для установки списка отозванных сертификатов:

Откройте личный сертификат пользователя в окне Свойства браузера. Чтобы открыть его, наберите «Свойства браузера» в поисковой строке меню Пуск. Перейдите во вкладку Содержание и нажмите кнопку «Сертификаты».

Во вкладке Состав выберите из списка пункт «Точки распространения списков отзыва».

В блоке Имя точки распространения скопируйте ссылку на загрузку файла со списком отзыва.

Скачайте по указанной ссылке файл. Нажмите по нему правой кнопкой мыши и выберите в контекстном меню «Установить список отзыва (CRL)».

Следуйте указаниям «Мастера импорта сертификатов».

Не виден сертификат на носителе

Как правило, причина такой проблемы — сбой в работе программных компонентов. Для её решения достаточно перезагрузить компьютер. Однако иногда этого бывает недостаточно, поэтому требуется переустановка драйверов или обращение в службу техподдержки.

К наиболее распространённым причинам такой проблемы относятся следующие случаи:

Драйвер носителя не установлен или установлен некорректно. Для решения проблемы необходимо извлечь носитель электронной подписи из ПК и скачать последнюю версию драйвера носителя с официальных ресурсов. Если переустановка драйвера не помогла, подключите носитель к другому ПК, чтобы убедиться в исправности токена. Если токен определится другой системой, попробуйте удалить на неисправном компьютере драйвер носителя и установить его заново.

Долгое опознание носителя. Для решения проблемы необходимо дождаться завершения процесса или обновить версию операционной системы.

Некорректная работа USB-порта. Подключите токен к другому USB-порту, чтобы убедиться, что проблема не в носителе ЭП. Если система определила токен, перезагрузите компьютер. Если это не поможет, следует обратиться службу технической поддержки.

Неисправность носителя. Если при подключении токена к другому компьютеру или USB-порту система не определяет его, значит, проблема в самом носителе. Устранение неисправности возможно в данном случае лишь одним путём — нужно обратиться в сервисный центр для выпуска нового носителя.

ЭП не подписывает документ

Причин у подобной проблемы множество. Среди самых распространённых можно выделить следующие неполадки:

Закрытый ключ на используемом контейнере не соответствует открытому ключу сертификата. Возможно был выбран не тот контейнер, поэтому следует проверить все закрытые контейнеры на компьютере. Если необходимый контейнер по тем или иным причинам отсутствует, владельцу придётся обращаться в удостоверяющий центр для перевыпуска ЭП.

Ошибка «Сертификат недействителен» (certificate is not valid). Следует повторно установить сертификат ЭП по инструкциям УЦ в зависимости от используемого криптопровайдера — КриптоПро CSP, ViPNet CSP или другого.

Сертификат ЭП определяется как непроверенный. В этом случае необходимо переустановить корневой сертификат удостоверяющего центра.

Истёк срок действия криптопровайдера. Для решения этой проблемы необходим новый лицензионный ключ к программе-криптопровайдеру. Для его получения необходимо обращаться к специалистам УЦ или к ответственным сотрудникам своей организации.

Подключён носитель с другим сертификатом. Убедитесь, что подключён правильный токен. Проверьте также, не подключены ли носители других сертификатов. Отключите другие носители в случае их обнаружения.

В момент подписания электронных документов или формирования запроса в различных может возникнуть ошибка «Невозможно создание объекта сервером программирования объектов».

В этой ситуации помогает установка и регистрация библиотеки Capicom:

Распакуйте и переместите файлы capicom.dll и capicom.inf в каталог syswow64 , находящийся в корневой папке ОС.

Откройте командную строку от имени администратора — для этого в меню Пуск наберите «Командная строка», нажмите по найденному приложению правой кнопкой мыши и выберите Запуск от имени администратора.

Введите «c:windowssyswow64regsvr32.exe capicom.dll» (без кавычек) и нажмите ENTER. Должно появиться уведомление о том, что команда выполнена успешно.


Выбранная подпись не авторизована

Эта ошибка возникает из-за того, что пользователь не зарегистрирован на площадке, либо не зарегистрирован новый сертификат ключа ЭП. Решением проблемы будет регистрация нового сертификата.

Процесс запроса на авторизацию ЭП на разных торговых площадках может отличаться: часто нужно отправлять запрос оператору системы на авторизацию, иногда рабочее место настраивается автоматически.

Если ошибка сохраняется, возможно, следует отключить защитное ПО или добавить сайт электронной площадки в исключения.

Если ваша проблема с электронной подписью не решена, но обратитесь к нашим специалистам техподдержки.

Как исправить ошибку в КриптоАРМ: «Нет полного доверия к сертификату подписи»

Программа «КриптоАРМ» сегодня входит в число стандартного ПО для простановки электронной цифровой подписи. Она постоянно совершенствуется, дорабатывается для предотвращения сбоев при использовании.

В большинстве случаев проблем при работе с «КриптоАРМ» не возникает, так как интерфейс программы интуитивно понятен, а алгоритмы безопасности полностью соответствуют актуальным стандартам. Одновременно пользователи периодически жалуются на наличие ошибки в виде отсутствия полного доверия к сертификату цифровой подписи. Выглядит ошибка так:

Проблему можно исправить своими силами, без обращения за помощью к техническим специалистам.

Особенности ошибки

Подобная проблема со стороны операционной системы ПК или ноутбука свидетельствует о невозможности определить уровень доверия к удостоверяющему центру, который оформил данный сертификат для ЭЦП. Это автоматически сказывается на уровне доверия к самой цифровой подписи.

Непосредственно эта ошибка никак не влияет на работу «КриптоАРМ» или ЭЦП, но для предотвращения последующих конфликтов во время проверки комплекта ключей стоит ее исправить. Сделать это можно самостоятельно, выполнив несколько следующих шагов.

Решение проблемы

Шаг № 1. Переводим программу в экспертный режим, который предоставляет доступ к полному перечню функций.

Шаг № 2. Выбираем подозрительный для операционной системы сертификат ЭЦП. Для этого:

    подключаем носитель с цифровой подписью к вашему компьютеру;

Шаг № 3. Добавляем проблемный сертификат в перечень доверенных (именно отсутствие в последнем служит причиной появления ошибки). Для этого:

  1. перейдите в меню программы «КриптоАРМ»;
  2. войдите во вкладку «Свойства» конкретного проблемного сертификата (ее можно найти в подразделе «Личное хранилище» раздела «Сертификаты»);

Сам процесс занимает несколько секунд и требует последующей перезагрузки системы.

Шаг № 4. Финальным этапом остается проверка сертификата по перечню отозванных. Для этого:

  1. выберите нужный сертификат во вкладке «Свойства сертификата»;
  2. выберите пункт «По CRL, полученному в УЦ»;
  3. кликните по кнопке «Проверить».

Теперь можно перейти в личное хранилище, где должна быть обновлена вся информация. Если появилась зеленая галочка, то это признак устранения проблемы и наличия полного доверия со стороны операционной системы к данной ЭЦП.

Как установить отозванные

В отдельных случаях понадобится установка списка отозванных сертификатов (СОС) в дополнительном порядке. Для этого выполните следующие действия:

  1. откройте Internet Explorer;
  2. перейдите в разделе «Сервис» по пути «Свойства» — «Содержание» — «Сертификаты»;
  3. в подразделе «Имя точки» скопируйте в файл имеющуюся ссылку на список;

Иногда в перечне списка СОС может быть две ссылки. В этом случае понадобится повторить данный шаг.

После завершения всех действий перезагрузите ваш компьютер. Если все прошло корректно и действия были правильными, то проблем с исправлением ошибок, установкой СОС не возникает. Проблемой здесь может стать только нестабильность сетевого соединения с интернетом.

Если вам понадобилась дополнительная техническая консультация или появилась необходимость оформить ЭЦП любого типа, сделать это можно в УЦ «Астрал-М». Компания имеет аккредитацию Минкомсвязи и предлагает клиентам возможность открытия цифровых подписей любого типа. Обращаясь к нам, вы получаете:

  • доступную цену на услуги;
  • оперативность оформления ЭЦП;
  • консультации по вопросам сбора пакета документов.

Получить дополнительную информацию можно по телефону, либо оставив запрос на сайте. Мы в течение 5 минут после получения заявки свяжемся с вами для уточнения вопросов. Мы расскажем, как получить электронную подпись и какие документы потребуются для этого.

Как обновить корневой сертификат

При наступлении нового года, обычно требуется загрузить и переустановить новые обновленные корневые ключи удостоверяющих центров.

Чаще всего напоминание об этом выводит либо сама операционная система, либо программное обеспечение, которое использует ЭЦП.

Как провести обновление:

  • Вручную скачать корневые сертификаты и установить новые в операционную систему;
  • С помощью специальных вспомогательных программ, которые бесплатно распространяют многие удостоверяющие центры. Такие программы проверяют и устанавливают все необходимые сертификаты в автоматическом режиме.

Обновление является простой операцией. И ничем не отличается от установки нового сертификата. Производить удаление старого ключа не требуется, поскольку система сама его пометит как недействительный при истечении срока действия.

Цепочка сертификатов

Обновлён неквалифицированный сертификат «Росатом» (2021-2022)

Корпоративный удостоверяющий центр в плановом порядке обновил сертификат центра сертификации «Росатом». Чтобы обеспечить доверие к обновлённому сертификату, нужно установить
неквалифицированный сертификат Центра сертификации «Росатом» в хранилище «Доверенные корневые центры сертификации».

Также рекомендуем проверить списки отозванных сертификатов центра сертификации «Росатом» по ссылке: http://ssca.rosatom.ru/cdp/36939760ed690db41ed0681c2f76a1564e4316c8.crl.

Обновлён неквалифицированный сертификат (2020-2021)

Корпоративный удостоверяющий центр в плановом порядке обновил сертификат центра сертификации «Росатом». Чтобы обеспечить доверие к обновлённому сертификату, нужно установить
неквалифицированный сертификат Центра сертификации «Росатом» в хранилище «Доверенные корневые центры сертификации».

Также рекомендуем проверить списки отозванных сертификатов центра сертификации «Росатом» по ссылке: http://ssca.rosatom.ru/cdp/4e882c01c1be256cfa93c6d63a03dc8aa73a6103.crl.

Обновлён квалифицированный сертификат «АО «Гринатом» (2020-2021)

Корпоративный удостоверяющий центр в плановом порядке обновил сертификат «АО «Гринатом».

Чтобы обеспечить доверие к обновлённому сертификату, нужно:

сертификат «Акционерное общество «Гринатом» (файл «root_greenatom3_2021.crt») установить в хранилище «Промежуточные центры сертификации»,

сертификат «Минкомсвязь России на ГОСТе 2012» (файл «Root_GUC2012.crt») оставить прежним (он должен быть установлен в хранилище «Доверенные корневые центры сертификации»).

Обновлён квалифицированный сертификат «АО «Гринатом» (ГОСТ Р 34.10-2012)

Корпоративный удостоверяющий центр в плановом порядке обновил сертификат «АО «Гринатом» (ГОСТ Р 34.10-2012).

Чтобы обеспечить доверие к обновлённому сертификату, нужно:

сертификат «Акционерное общество «Гринатом» (файл «Root_Greenatom2_2012.crt») установить в хранилище «Промежуточные центры сертификации»,

сертификат «Минкомсвязь России на ГОСТе 2012» (файл «Root_GUC2012.crt») оставить прежним (он должен быть установлен в хранилище «Доверенные корневые центры сертификации»).

Обновлён сертификат «АО «Гринатом» (ГОСТ Р 34.10-2001)

Корпоративный удостоверяющий центр в плановом порядке обновил сертификат «АО «Гринатом» (ГОСТ Р 34.10-2001). С 14 декабря 2018 все новые сертификаты пользователей будут подписываться данным сертификатом.

Чтобы обеспечить доверие к обновлённому сертификату, нужно:

сертификат «АО «Гринатом» (файл «Root_CA_Greenatom2019. crt)» установить в хранилище «Промежуточные центры сертификации»,

сертификат издателя «Головной удостоверяющий центр» (файл «GUC.crt») оставить прежним (он должен быть установлен в хранилище «Доверенные корневые центры сертификации»).

Квалифицированные сертификаты (ГОСТ Р 34.10-2012)

Чтобы обеспечить доверие к сертификатам Корпоративного удостоверяющего центра Госкорпорации «Росатом», необходимо:

сертификат «Минкомсвязь России на ГОСТе 2012» (файл «Root_GUC2012.crt») установить в хранилище «Доверенные корневые центры сертификации»,

сертификат «Акционерное общество «Гринатом» (файл «Root_Greenatom_2012.crt») установить в хранилище «Промежуточные центры сертификации».

Также рекомендуем проверить списки отозванных сертификатов Головного удостоверяющего центра Минкомсвязи РФ по следующим ссылкам:

Квалифицированные сертификаты 2018 года

Чтобы обеспечить доверие к сертификатам Корпоративного удостоверяющего центра Госкорпорации «Росатом», необходимо:

сертификат «Головной удостоверяющий центр» (файл «GUC.crt») установить в хранилище «Доверенные корневые центры сертификации»,

сертификат «АО «Гринатом» (файл «Root_CA_Grenatom.cer») установить в хранилище «Промежуточные центры сертификации».

Квалифицированные сертификаты 2017 года

Чтобы обеспечить доверие к сертификатам Корпоративного удостоверяющего центра Госкорпорации «Росатом», необходимо:

сертификат «Головной удостоверяющий центр» (файл «GUC.crt») установить в хранилище «Доверенные корневые центры сертификации»,

сертификат «УЦ 1 ИС ГУЦ» (файл «UC1GUC.crt») установить в хранилище «Промежуточные центры сертификации»,

сертификат «КУЦ Госкорпорации «Росатом» (файл «KUC.crt») установить в хранилище «Промежуточные центры сертификации».

Также рекомендуем проверить списки отозванных сертификатов Головного удостоверяющего центра Минкомсвязи РФ по следующим ссылкам:

Корневые квалифицированные сертификаты

Чтобы обеспечить доверие к сертификатам Корпоративного удостоверяющего центра Госкорпорации «Росатом», необходимо установить корневые сертификаты удостоверяющего центра:

сертификат корневого удостоверяющего центра (файл «Root Rosatom GOST CA.crt») – в хранилище «Доверенные корневые центры сертификации»,

сертификат выдающего удостоверяющего центра (файл «Rosatom GOST CA.crt») – в хранилище «Промежуточные центры сертификации».

Чтобы установить сертификаты, скачайте утилиту и запустите её от имени администратора. После установки, проверьте правильность установки сертификатов в хранилище операционной системы. Подробная инструкция расположена по ссылке.

Обновлён неквалифицированный сертификат 2019 года

Корпоративный удостоверяющий центр в плановом порядке обновил сертификат «АО «Гринатом». Чтобы обеспечить доверие к обновлённому сертификату, нужно установить неквалифицированный сертификат Центра сертификации «Росатом» в хранилище «Доверенные корневые центры сертификации».

Также рекомендуем проверить списки отозванных сертификатов удостоверяющего центра АО «Гринатом» по следующим ссылкам:

Неквалифицированные сертификаты (ГОСТ Р 34.10-2012)

Чтобы обеспечить доверие к неквалифицированным сертификатам Корпоративного удостоверяющего центра Госкорпорации «Росатом», нужно установить сертификат «АО «Гринатом» (ГОСТ 2012) в хранилище «Доверенные корневые центры сертификации».

Также рекомендуем проверить списки отозванных сертификатов удостоверяющего центра Госкорпорации «Росатом» по следующим ссылкам:

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector