Изменение компонентов имени УЦ
Опубликовано Илья Харченко on 2018-07-25 17:42
|
|
Не рекомендуется изменять компоненты имени УЦ кроме случаев, когда это обусловлено обоснованной необходимостью, такой как изменение наименования, адреса или других реквизитов УЦ. Изменение компонентов имени УЦ производится на сервере ЦС. Для выполнения приведённых команд нужно запустить из меню Пуск: КРИПТО-ПРО – «Командная строка управления УЦ (Администратор)». Примеры ввода команд приведены в следующем виде: > Ping-CA 'ООО "Полезное дело" (ГОСТ 2001)' Центр сертификации ООО "Полезное дело" (ГОСТ 2001) доступен и готов к выпуску сертификатов. Символом > в примерах предваряются команды, которые следует вводить (при этом сам символ > вводить не нужно). Строки, которые выводятся в окне в результате выполнения команд, не предваряются этим символом. Изменение компонентов имени существующего ЦС разделяется на два случая: • Изменяется значение любого компонента имени, кроме компонента «Общее имя» (CN, Common Name); • Изменяется значение компонента «Общее имя».
Следующие разделы описывают, как производится изменение имени УЦ в каждом из этих случаев. Если изменяются как компонент «Общее имя», так и другие, нужно выполнить инструкции из обоих разделов. Внимание! Если УЦ использует службу OCSP, то перед выпуском нового сертификата ЦС следует: а) выпустить сертификаты для действующих экземпляров службы OCSP; б) для обслуживания сертификатов, которые будут выпущены после ввода в действие нового сертификата ЦС, требуется создать новый экземпляр службы OCSP (с созданием нового сертификата OCSP, подписанного новым сертификатом ЦС); в) настроить новый адрес OCSP для добавления в сертификаты, выпускаемые на УЦ.
Изменение компонентов имени УЦ, за исключением общего имени Для изменения компонентов имени в окне «Командная строка управления УЦ (Администратор)» нужно выполнить команду:
Где <имя ЦС> - имя экземпляра ЦС, для которого производятся изменения. Новые значения изменяемых компонентов указываются в формате: <компонент>=<значение> Где <компонент> - краткое обозначение компонента имени, а <значение> - значение. Отобразить текущее имя ЦС можно командой:
Например, есть УЦ со следующим именем:
Для того, чтобы изменить компонент, соответствующий имени подразделения (OU), нужно выполнить следующую команду:
При выполнении команда запрашивает подтверждение на выполнение изменение, на которое надо ответить утвердительно (y). В результате выполнения команды имя ЦС изменится:
Аналогичным образом можно изменить и значения других компонент. Если значение содержит символ двойных кавычек ("), запятой (,), точки с запятой (;), или плюс (+) то значение должно быть обрамлено в двойные кавычки, а двойные кавычки внутри значения должны быть удвоены, например:
Для того, чтобы удалить компонент имени, в качестве значения нужно указать прочерк:
Добавить компонент обратно можно указав для него новое значение:
Если значение содержит одинарные кавычки (') их нужно удваивать, но их наличие не требует обрамления в двойные кавычки. Изменение любых компонент имени, кроме «Общего имени» не влияет на выпуск сертификатов на уже существующих ключах УЦ. Изменённое имя будет использовано при создании запроса на сертификат УЦ при выполнении следующей смены ключа УЦ в соответствии с документацией.
Изменение общего имени УЦ Общее имя используется также в качестве имени экземпляра ЦС, поэтому его изменение требует выполнения дополнительных действий. Изменение общего имени выполняется командой в окне «Командная строка управления УЦ (Администратор)»:
Где <имя ЦС> - имя экземпляра ЦС, для которого производятся изменения. Новое значение общего имени не требует обрамления в двойные кавычки. Одинарные кавычки внутри значения нужно удваивать. Пример команды для изменения общего имени ЦС:
После изменения общего имени следует перезапустить Диспетчер УЦ (если он был запущен). Для правильного функционирования публикации CRL следует в Диспетчере УЦ перейти в раздел настройки расписаний выпуска CRL, внести любое изменение в расписание и сохранить изменение. На сервере ЦР следует изменить имя ЦС в настройках соединения с ЦС. Для этого нужно выполнить команды:
Пример выполнения команд:
Список настроенных подключений можно посмотреть командой:
После изменения имени ЦС в настройках ЦС нужно проверить работу соединения с ЦС командой:
Изменённое имя будет использовано при создании запроса на сертификат УЦ при выполнении следующей смены ключа УЦ в соответствии с документацией. Примечание Если на сервере ЦР настроен режим совместимости с ИВП 1.5, то после изменения «Общего имени» нужно заменить имя ЦС в настройках веб-приложения для ИВП 1.5 с помощью команды Update-RACompatApp. | |
|