Управление ключами Центра Сертификации, используемыми для изготовления сертификатов
Опубликовано Илья Харченко on 2018-07-25 17:26

    В «КриптоПро УЦ» 2.0 имеется возможность выбрать ключ Центра Сертификации, который будет использоваться для изготовления сертификатов пользователей. Это может пригодится в том случае, если на УЦ сертификаты Администратора ЦС имеют разные алгоритмы, например, ГОСТ 2001 –для предыдущего, ГОСТ 2012 для текущего. Может возникнуть ситуация, при которой необходимо будет выпустить один или несколько сертификатов пользователей с алгоритмом ГОСТ 2001. Тогда нужно временно ввести в эксплуатацию предыдущий ключ ЦС, выпустить сертификаты на ГОСТ 2001, выгрузить ключ, вернуть в действие ключ ЦС с алгоритмом ГОСТ 2012 и продолжить выпуск сертификатов пользователей с алгоритмом ГОСТ 2012.

Внимание:

    1) После истечения 1 года и 3 месяцев с даты начала действия сертификата ЦС (или трех лет при использовании ПАКМ «КриптоПро HSM») соответствующий ключ Центра Сертификации нельзя использовать для подписания новых сертификатов пользователей, он должен использоваться только для подписания CRL.

    2) При выполнении действий по смене активного ключа ЦС для подписи сертификатов пользователей не нужно выгружать ключи изготовления CRL, они должны быть постоянно загружены.

Порядок действий:

    1) Запустить на сервере ЦС «Командная строка управления УЦ (Администратор)»

    2) Узнать индексы сертификатов и ключей Центра Сертификации.

Список сертификатов экземпляра Центра Сертификации можно отобразить командой:

PS C:\> certutil2 -config "localhost\CAName" -infoCert

Где СAName- имя текущего экземпляра ЦС

В выводе этой команды каждый сертификат будет отмечен индексом.

    3) Разрешение использовать ключа ЦС для изготовления сертификатов.

Разрешение использовать ключ для изготовления сертификатов осуществляется при помощи следующей команды:

PS C:\> certutil2 -config "localhost\CAName" -controlCert EnableCertificateIssuing <Index>

Где в качестве значения <Index> указывается индекс ключа Центра Сертификации, который становится активным для изготовления сертификатов пользователей.

СAName- имя текущего экземпляра ЦС

Далее в «Агенте управления ключами УЦ» будет возможность загрузить этот ключ  ЦС для подписи сертификатов пользователей.

Внимание: только один ключ ЦС может быть загружен в «Агенте управления ключами УЦ» для подписи сертификатов пользователей.

    4) Запрет использование ключа ЦС для изготовления сертификатов.

Запрет использования ключа для изготовления сертификатов осуществляется при помощи следующей команды:

PS C:\> certutil2 -config "localhost\<CAName>"  -controlCert DisableCertificateIssuing <Index>

Где в качестве значения <Index> указывается индекс ключа Центра Сертификации, который больше нельзя будет использовать для изготовления сертификатов пользователей.

СAName- имя текущего экземпляра ЦС

 

(17 плюсик(ов))
Класс!
Не очень :(

Коментарии (0)