Информация о способах перехода аккредитованных УЦ на ГОСТ 2012
Опубликовано Илья Харченко on 2018-07-25 17:57
|
|
Уважаемые Клиенты! На сайте Ситуационного центра Минкомсвязи https://sc.minsvyaz.ru/ опубликован документ о том, что начал работать новый Головной Удостоверяющий центр (ГУЦ) с алгоритмом ключа ГОСТ Р 34.10-2012 и что можно отправлять запросы на сертификаты аккредитованных УЦ с алгоритмом ГОСТ 2012. Там же написано, что рекомендуется использовать короткий ключ ГОСТ 2012 (256 бит). В связи с этим, мы подготовили для Вас инструкцию о способах перехода аккредитованного УЦ на ГОСТ 2012. Важно: 1) Перед началом работ необходимоустановить новый сертификат ГУЦ на сервера УЦ, прямая ссылка на него: https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A 2)На серверах УЦ необходимо организовать доставку и установку CRLнового ГУЦ. Ссылки на этот CRL для скачивания: http://reestr-pki.ru/cdp/guc_gost12.crl http://company.rt.ru/cdp/guc_gost12.crl http://rostelecom.ru/cdp/guc_gost12.crl 3) Перед выполняем любых действий рекомендуется создать резервные копии баз данных, руководствуясь пунктом 7 ЖТЯИ.00078 01 90 03 ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации 4) Если для хранения ключей используется ПАКМ «КриптоПро HSM» версии 1.0, то создать на нём новый ключ с алгоритмом ГОСТ 2012 не получится. В дальнейшем ПАК «КриптоПро УЦ» будет сертифицирован в варианте исполнения с ПАКМ «КриптоПро HSM» версии 2.0 с поддержкой ГОСТ 2012. На данный момент рекомендуется в качестве средства электронной подписи для создания ключа ЦС выбирать СКЗИ «КриптоПро CSP» версии 4.0 и сохранить закрытый ключ на любой поддерживаемый этим СКЗИ носитель, а при следующей смене ключа ЦС сгенерировать новый закрытый ключ в ПАКМ КриптоПро HSM 2.0. 5) Перед началом работ необходимопроверить, что на всех серверах и рабочих станциях, где будут использоваться новые сертификаты с алгоритмом ГОСТ 2012, установлено СКЗИ «КриптоПро CSP» версии 4.0 (4.0.9842) и выше. 6) Перед началом работ необходимопроверить, что на серверах ЦС, ЦР и рабочих станциях администраторов (операторов) УЦ установлена сборка компонентов УЦ не ниже 2.0.6142. 7) Под ГОСТ 2012 256 бит -следует понимать криптопровадер Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider c длинной ключа 512 бит и Алгоритмом хеширования ГОСТ Р 34,11-2012 256 бит
У аккредитованных УЦ, есть несколько вариантов перехода на ГОСТ 2012.
Вариант 1, без создания нового экземпляра ЦС (Рекомендуется при отсутствии необходимости одновременно выпускать сертификаты пользователей с алгоритмами ГОСТ 2001 и ГОСТ 2012) Порядок действий: 1) Сменить используемый на действующем ЦС криптопровайдер на тот, который поддерживает работу с ключом электронной подписи с алгоритмом ГОСТ 2012 (256 бит) Для этого необходимо выполнить на сервере ЦС, следующие команды в «Командной строке управления УЦ (Администратор)»: Командлеты для перехода на ГОСТ 2012 (256 бит) certutil2 -config 'localhost\<ИмяЦС>' -setentry ca\CSP\HashAlgorithm 32801 certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\ProviderType 80 certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\Provider "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\RenewalKeyLength 512 certutil2 -config 'localhost\<Имя ЦС>' -control ApplyConfiguredSettings 2) Теперь нужно создать запрос на сертификат ЦС в соответствии с рекомендациями http://minsvyaz.ru/ru/appeals/faq/66/ (инструкция по созданию запроса для Минкомсвязи также доступна в нашей Базе Знаний https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/248/29/sozdnie-zpros-n-sertifikt-pri-plnovojj-smene-dlja-kkreditovnnykh-uc)
Внимание: после создания запроса на сертификат, если на сервере ЦР списки отозванных сертификатов данного аккредитованного УЦ не доступны по ссылкам, указанным в служебных сертификатах и сертификатах пользователей - необходимо заранее обеспечить их доступность. Для этого есть 3 способа: А) Используйте нашу утилиту Дистрибутив ПО для автоматизации установки списков отозванных сертификатов вышестоящих УЦ (msi, 20 Мб) После её установки настройте скачивание CRL в любую произвольную папку на ЦР, установка CRL при этом будет выполняться автоматически. Б) Отредактируйте файл hosts на ЦР, таким образом, чтобы список отзыва мог быть доступен локально. В) В течении этого времени устанавливайте список отзыва вручную (сразу после выпуска)
3) Отправить запрос на сертификат в Минкомсвязи. УЦ при этом будет продолжит работать, как и раньше – выпускать сертификаты для пользователей с алгоритмом ГОСТ 2001. 4) После получения ответа от Минкомсвязи – рекомендуем сначала установить новый сертификат аккредитованного УЦ в тех прикладных системах, которые используют сертификаты этого аккредитованного УЦ, а также сертификат нового ГУЦ и только потом установить новый сертификат ЦС на самом сервере ЦС Если пользователи УЦ или прикладные системы не готовы к переходу на ГОСТ 2012 или если требуется проверка этого – то рекомендуем после ввода нового ключа ЦС в эксплуатацию выпустить несколько проверочных сертификатов с алгоритмом ГОСТ 2012 (при этом, возможно, нужно будет поправить шаблоны сертификатов на ЦС для разрешения использования СКЗИ с поддержкой ГОСТ 2012) и потом вернуть прежний ключ ЦС (ГОСТ 2001) для подписи сертификатов пользователей, а новый ключ ЦС (2012) использовать только для подписи CRL. Процедура смены «активного» ключа Администратора ЦС описана в БЗ: https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/254/29/uprvlenie-kljuchmi-centr-sertifikcii-ispolzuemymi-dlja-izgotovlenija-sertifiktov
Вариант 2 с созданием нового экземпляра ЦС (Рекомендуется при необходимости одновременного выпуска сертификатов с использованием алгоритмов ГОСТ 2001 и ГОСТ 2012) Важно: Удалять ЦС с ключом на ГОСТ 2001 в последующем НЕЛЬЗЯ, т.к. будет потеряна информация о всех выпущенных на этом ЦС пользовательских сертификатах. Порядок действий: 1)Переименовать ЦС с алгоритмом ГОСТ 2001. Поскольку для аккредитованных УЦ обязательным условием является, чтобы значение ComonName совпадало с названием организации, а два ЦС на одном сервере с одинаковым ComonName создать невозможно, то необходимо переименовать текущий экземпляр ЦС, например, присвоить ему имя <текущее имя> (ГОСТ 2001), это не повлияет на работоспособность УЦ. Подробная инструкция по переименованию доступна на нашем сайте ссылка на инструкцию в БЗ: https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/255/29/izmenenie-komponentov-imeni-uc 2) Создать новый подчиненный экземпляр ЦС, с алгоритмом ГОСТ 2012 256 бит (создание подчинённого УЦ подробно описано в пункте 2.4.2 ЖТЯИ.00078 01 90 03 ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации) При добавлении необходимых расширений в запрос на сертификат необходимо руководствоваться рекомендациями Минкомсвязи http://minsvyaz.ru/ru/appeals/faq/66/ Более подробно настройку расширений можно посмотреть в БЗ https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/248/29/sozdnie-zpros-n-sertifikt-pri-plnovojj-smene-dlja-kkreditovnnykh-uc раздел- Рекомендация по добавлению расширений в сертификат ЦС согласно требованиям Минкомсвязи. 3) Получить от Минкомсвязи новый сертификат ЦС и установить его в созданный на этапе 2 экземпляр ЦС 4) Подключить второй ЦС к ЦР
Алгоритм подключения второго ЦС к ЦР: А) На втором ЦС требуется выпустить новый клиентский сертификат для ЦР (его создание подробно описано в пункте 3.1 ЖТЯИ.00078 01 90 03 ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации.) Установить его на сервере ЦР с помощью панели «КриптоПро CSP» в хранилище личное локального компьютера (с привязкой к закрытому ключу). Б) В «Командной строке управления УЦ (Администратор)» (Пуск –Все Программы –КриптоПро- Командная строка управления УЦ (Администратор)) Выполнить следующие команделеты: Проверить подключения командой: Get-CAReference Добавить подключение: $CAFullDnsName = "ca.full.dns.name" $ClientCertificate = Get-Item Cert:\LocalMachine\My\<thumbprint> $NameAddCA = " имя добавляемого экземпляра ЦС" Где: "ca.full.dns.name" - реальное DNS-имя сервера ЦС <thumbprint> - отпечаток клиентского сертификата ЦР $NameAddCA – имя добавляемого экземпляра ЦС Важно: Если имя ЦС имеет в составе "кавычки", то его необходимо правильно экранировать – указывать в одинарных кавычках. Пример правильного экранирования: $NameAddCA = 'ООО "Рога и Копыта"' В) Добавить подключение ЦР к экземпляру ЦС Add-CAReference -AuthorityName $NameAddCA -Url "https://$CAFullDnsName/CA" -ClientCertificate $ClientCertificate Важно: При одновременной эксплуатации двух ЦС, подключенных к одному ЦР, необходимо будет в Диспетчере УЦ скопировать нужные для работы шаблоны, изменив поставщика криптографии на ГОСТ 2012. Либо разрешить и 2001 и 2012 ГОСТы и каждый раз при генерации запроса на сертификат клиента выбирать алгоритм. Также при работе в Консоли Управления ЦР будет необходимо выбирать нужный ЦС
Вариант 3 Создать новый УЦ на новом железе (при использовании этого варианта возможно одновременно выпускать сертификаты с использованием алгоритмов ГОСТ 2001 и ГОСТ 2012) При наличии технической возможности можно развернуть на новых серверах ЦС и ЦР с использованием ГОСТ 2012. | |
|