Удостоверяющие центры для неизвлекаемого ключа (Страница 1 из 2)

А вы OCSP собираетесь использовать для чего?
Для проверки подписи на клиенте с помощью плагина?

Центры выдачи УЦ должны быть в каких городах?

Или речь идет не об организации, а о софте "УЦ"?

В принципе не обязательно в Москве. Если у УЦ есть возможность выпустить сертификат по запросу, то не важно где он находится. Но пока я таких вообще не встречал.
По большому счету практически все УЦ выдают ключи в формате контейнера криптопро.
Знаю только один УЦ (сигнал-ком), который готов выдать токен с генерированной у них неизвлекаемой ключевой парой и сертификатом к ней. Но у них нет OCSP.

E.Konstantin, хочется отметить один момент.

Возможно, для решения вашей задачи использование протокола OCSP является, так сказать, избыточной сложностью.
В сертификате, выдаваемом УЦ  СигналКома, прописан так называемый "crl distribution point", откуда вы можете загрузить актуальный CRL и на его основе проверить статус сертификата.

Пообщавшись с разными УЦ выяснилось, что в принципе любой УЦ может выдавать такие ключи. По крайней мере, если я правильно понял, в пак крипто-про уц, это дело одного чекбокса.
Единственное, что нужно обязательно к ним приезжать, т.к. по запросу (удаленно) они выдавать не будут. Да и сложность у самого УЦ с поддержкой разных токенов (драйвера нужно ставить и т.д.). Обычно уц работают с ограниченным числом токенов и часто без аппаратной криптографии.

Вместо с тем, мне удалось найти один уц, который создаёт неизвлекаемые ключи и даже на токен пользователя. Правда он в МО.
ca.soft.lissi.ru

Спасибо за наводку!

Все УЦ, с которыми мне приходилось общаться, не могли мне твёрдо гарантировать, что ключ будет неизвлекаемым. КриптоПро УЦ может и имеет такой чекбокс, но непонятно, действительно ли он генерирует ключи средствами токена и с атрибутом неизвлекаемости. Пока не пройдешь процедуру выписки, скорее всего, не поймёшь.

Что касается невозможности удалённой выписки, то так и должно быть, ведь УЦ должен действительно удостовериться что я - это я, а не кто-нибудь другой. Если УЦ декларировал бы возможность удалённой выписки, то я к нему и не стал бы обращаться. Другое дело, что если бы у меня уже был валидный сертификат от какого-нибудь УЦ, тогда да, можно было бы и выписать новый сертификат удалённо. Но, опять же, ни один УЦ даже не предоставляет услуг продления срока действия сертификата по такой процедуре, обязательно надо являться в офис самому.

E-notary http://www.e-notary.ru/ точно должны уметь.
УЦ "Инфотекс Траст" http://iitrust.ru/ - вроде как раз они и говорили, что это дело одного чекбокса. Но не проверяли.
Еще с http://www.garantexpress.ru/services/el … on_center/ общались. Выдавать неизвлекаемые на тот момент не могли, но говорили что при достаточном объёме могут заморочиться.