close

Вход

Забыли?

вход по аккаунту

Брелок-передатчик с плавающим кодом;pdf

код для вставкиСкачать
Решение проблемы снижения быстродействия ПАК КриптоПРО УЦ
Описание технической проблемы:
При разворачивании инфраструктуры открытых ключей на базе программно-аппаратного комплекса
«Удостоверяющий Центр «КриптоПро УЦ» (ПАК «КриптоПро УЦ») и службы OCSP, возникает
замедление работоспособности.
Замедление работоспособности отображается в медленном открытии всех окон компонент
КриптоПРО УЦ. При этом работа в АРМ Администратора/ Оператора при выполнении операций
выдачи/ отзыва/ просмотра
сертификатов, а так же
создания/ редактирования/ удаления
пользователей занимает продолжительное время, и часто заканчивается ошибкой.
Данная проблема так же возникла в организациях заказчика, входящих в ИОК удостоверяющего
центра заказчика, после перевыпуска служебных сертификатов.
Решение технической проблемы:
Указанная проблема возникает из-за наличия в сертификатах URL-адреса точек доступа служб OCSP.
При проверке валидности сертификата посредством ответов службы OCSP образуется тайм-аут,
который приводит к замедлению работоспособности.
Имеется два способа решения данной проблемы:
1. Первый способ подразумевает ручное исправление списка точек доступа служб OCSP на
вкладке «Расширения» окна «Свойств» службы сертификации ЦС. Порядок ручного
редактирования списка точек доступа:
1.1. После установке и начальной настройки центра сертификации задайте в окне
«Свойства» центра сертификации на вкладке «Расширения» URL-адреса точек
распространения списка отозванных сертификатов (CDP) и точек распространения
сертификата ЦС.
1.2. URL-адреса точек доступа служб OCSP не включать!
1.3. После задания точек распространения CDP и AIA требуется перезапустить службу
сертификации ЦС.
1.4. Произведите настройку КриптоПРО УЦ (ЦС, ЦР, служб TSP и OCSP, АРМ
Администратора/Оператора), осуществите соответствующий выпуск сертификатов
для web-серверов ЦС и ЦР, сертификата пользователя ЦР, сертификатов для служб
OCSP и TSP, сертификатов Оператора ЦР и Администратора ЦР.
1.5. Осуществите через АРМ Администратора/Оператора успешный тестовый выпуск
пользовательского сертификата.
1.6. Произведите настройку точек доступа к службе OCSP. Необходимо занести URLадрес службы OCSP в список на вкладке «Расширения» окна «Свойств» службы
сертификации ЦС.
1.7. После задания точек распространения требуется перезапустить службу сертификации
ЦС.
1.8. При последующем выпуске служебных сертификатов для администратора/оператора,
пользователя ЦР и серверной аутентификации, необходимо:
1.8.1. В окне «Свойства» центра сертификации на вкладке «Расширения»
осуществить удаление точек доступа к службе OCSP.
1.8.2. Перезапустите службу сертификации ЦС.
1.8.3.
1.8.4.
Осуществите выпуск сертификатов для web-серверов, сертификата
пользователя ЦР, сертификатов для служб OCSP и TSP, сертификатов
Оператору ЦР и Администратору ЦР
Произведите настройку точек доступа к службе OCSP, согласно пунктам 1.61.7 настоящего руководства.
Данным способом производилось внедрение проекта ИОК на ряде объектов заказчика, что привело к
проблемам после обновления служебных сертификатов ПАК КриптоПРО УЦ по истечению их срока
действия (по регламенту действие сертификата 1 год). Администраторы произвели автоматический
перевыпуск сертификатов средствами ПО КриптоПРО УЦ, забыв исключить точки доступа к
службам OCSP, что привело к включению в служебные сертификаты точек доступа к службе OCSP.
2. Для исключения данной проблемы существует второй способ – настройка включения точек
доступа, в зависимости от предназначения сертификата.
Если не использовать правила формирования CDP и AIA, то в сертификаты открытых ключей
будут заноситься все точки распространения AIA, CDP и точки доступа служб OCSP, которые
определены на вкладке «Расширения» окна свойств службы сертификации ЦС.
Однако, если хотя бы одно правило было использовано, то формирование адресов CDP,
служб OCSP и адресов служб ЦС будет проходить только строго по правилам формирования,
т.е. если условия ни одного из правил не выполняется, то адреса в сертификат не будут
занесены.
Порядок формирования точек распространения CDP и AIA:
2.1. После установки и начальной настройки центра сертификации ЦС задайте в окне
«Свойства» центра сертификации на вкладке «Расширения» URL-адреса точек
распространения списка отозванных сертификатов (CDP), точек распространения
сертификата ЦС.
2.2. URL-адреса точек доступа служб OCSP не включать!
2.3. Произведите выдачу и установку сертификата web-сервера ЦС.
2.4. Произведите установку программного обеспечения КриптоПРО ЦС.
2.5. Произведите настройку точек доступа к службе OCSP. Необходимо занести URLадрес службы OCSP в список на вкладке «Расширения» окна «Свойств» службы
сертификации ЦС.
2.6. Перезапустите службу сертификации ЦС.
2.7. После создания списка URL-адресов на вкладке «Расширения» окна «Свойств»
службы сертификации ЦС потребуется настройка правил формирования CDP, AIA
на вкладке «Правила формирования CDP и AIA» окна свойств модуля политики
КриптоПро УЦ службы сертификации ЦС.
2.8. Создайте правило для выпуска сертификатов Администратору Центра Регистрации.
На вкладке «Правила формирования CDP и AIA» окна свойств модуля политики
КриптоПро УЦ службы сертификации ЦС нажмите кнопку «Добавить».
В окне создания правила внесите название правила, например, «Admin RA» и
задайте условие – поле Область использования ключа содержит 1.2.643.2.2.34.4
(Администратор Центра регистрации КриптоПРО).
После этого перейдите на вкладку «Адреса CDP» и отметьте галочками URL-адреса
точек распространения CRL .
Перейдите на вкладку «Адреса сертификата ЦС» и отметьте галочками URL точек
распространения сертификата ЦС.
Адреса служб OCSP включать не надо!
2.9. В результате должно получиться настроенное правило формирования CDP и AIA
«Admin RA».
2.10. Создайте правило для выпуска сертификатов Оператору Центра Регистрации.
На вкладке «Правила формирования CDP и AIA» окна свойств модуля политики
КриптоПро УЦ службы сертификации ЦС нажмите кнопку «Добавить».
В окне создания правила внесите название правила, например, «Operator RA» и
задайте условие – поле Область использования ключа содержит 1.2.643.2.2.34.5
(Оператор Центра регистрации КриптоПРО).
После этого перейдите на вкладку «Адреса CDP» и отметьте галочками URL-адреса
точек распространения CRL. Перейдите на вкладку «Адреса сертификата ЦС» и
отметьте галочками URL-адреса точек распространения сертификата ЦС.
Адреса служб OCSP включать не надо!
2.11. Создайте правило для выпуска сертификатов серверной аутентификации,
используемых на web серверах.
На вкладке «Правила формирования CDP и AIA» окна свойств модуля политики
КриптоПро УЦ службы сертификации ЦС нажмите кнопку «Добавить».
В окне создания правила внесите название правила, например, «Web Server» и
задайте условие – поле Область использования ключа содержит 1.3.6.1.5.5.7.3.1
(Проверка подлинности сервера).
После этого перейдите на вкладку «Адреса CDP» и отметьте галочками URL-адреса
точек распространения CRL. Перейдите на вкладку «Адреса сертификата ЦС» и
отметьте галочками URL-адреса точек распространения сертификата ЦС.
Адреса служб OCSP включать не надо!
2.12. Создайте правило для выпуска сертификатов пользователя Центра Регистрации
КриптоПРО УЦ.
На вкладке «Правила формирования CDP и AIA» окна свойств модуля политики
КриптоПро УЦ службы сертификации ЦС нажмите кнопку «Добавить».
В окне создания правила внесите название правила, например «RA» и задайте
условие – поле Область использования ключа содержит 1.2.643.2.2.34.7
(Центр Регистрации, КриптоПро ЦР, HTTP, TLS клиент).
После этого перейдите на вкладку «Адреса CDP» и отметьте галочками URL-адреса
точек распространения CRL. Перейдите на вкладку «Адреса сертификата ЦС» и
отметьте галочками URL-адреса точек распространения сертификата ЦС.
Адреса служб OCSP включать не надо!
2.13. Создайте правило для выпуска сертификатов всем пользователям КриптоПРО УЦ,
для которых необходимо использование ответов службы OCSP.
На вкладке «Правила формирования CDP и AIA» окна свойств модуля политики
КриптоПро УЦ службы сертификации ЦС нажмите кнопку «Добавить». Для того
чтобы мы могли включать в остальные сертификаты точки распространения OCSP,
необходимо создать правило, которое будет исключать ранее настроенные условия
для служебных сертификатов!
В окне создания правила внесите название правила, например «Default» и задайте
условия – поле «Области использования ключа» НЕ содержит 1.2.643.2.2.34.4,
1.2.643.2.2.34.5, 1.2.643.2.2.34.7, 1.3.6.1.5.5.7.3.1.
После этого перейдите на вкладку «Адреса CDP» и отметьте галочками URL-адреса
точек распространения CRL. Перейдите на вкладку «Адреса сертификата ЦС» и
отметьте галочками URL-адреса точек распространения сертификата ЦС. На вкладке
Адреса служб OCSP отметьте галочкой точки распространения служб OCSP.
2.14. Для настройки и редактирования правил используйте кнопки «Добавить»,
«Удалить», «Изменить».
2.15. После создания правил формирования CDP и AIA требуется перезапустить службу
сертификации ЦС.
1/--страниц
Пожаловаться на содержимое документа