Для перехода на 2012 ГОСТ необходимо:
1) Обновить КриптоПро CSP 3.9 до версии 4.0 2) Сборка УЦ 2.0 минимум 2.0.6142. 3) К моменту перехода УЦ на новые ГОСТ пользователи этого УЦ должны обновить у себя средство ЭП как минимум до версии КриптоПро CSP 4.0 (т.е. c новыми ГОСТами, чтобы цепочка сертификатов могла строиться). Уже сейчас целесообразно новым пользователям предоставлять 4.0, а старым, когда приходят делать плановую смену ключей, - обновлять до версии 4.0. Таким образом за год (в обычном режиме без спешки) у пользователей на рабочих местах появятся средства ЭП с новыми ГОСТами. 4) Если УЦ аккредитован, то сначала нужно дождаться перехода Головного УЦ на новые ГОСТ. 5) Если все пункты выполнены, то в УЦ можно делать плановую смену ключей , выбирая провайдер для нового ГОСТа.
Собственно все. УЦ продолжает работать, как и работал. Только теперь выдает сертификаты с ключами проверки ЭП по новому ГОСТу.
Длина ключа ГОСТ 2012 может быть 256 или 512 бит.
Для смены ГОСТа (до операции по выпуску перевыпуску сертификата) необходимо выполнить следующие:
Перейти на ГОСТ 2012 256 бит
certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\HashAlgorithm 32801 certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\ProviderType 80 certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\Provider "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\RenewalKeyLength 512 certutil2 -config 'localhost\<Имя ЦС>' -control ApplyConfiguredSettings
Перейти на ГОСТ 2012 Strong 512 бит
certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\HashAlgorithm 32802 certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\ProviderType 81 certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\Provider "Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider" certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\RenewalKeyLength 1024 certutil2 -config 'localhost\<Имя ЦС>' -control ApplyConfiguredSettings
|