Тема от Tokenizer

  • Tokenizer
  • Посетитель
  • Неактивен

Самоподписанный сертификат - единственный вариант для BitLocker у ФЛ?

Здравствуйте! Рассматриваю вариант шифрования дисков физического лица, вне домена.

В руководствах на портале документации Рутокен объясняется вариант создания самоподписанного сертификата для шифрования диска. Но при этом на одной из картинок видно текст "Сертификат ненадёжен" и это никак не комментируется. Хотелось бы видеть там ссылку на раздел "начало работы с устройствами Рутокен", в секции "Просмотр ключевых пар и сертификатов, сохраненных на устройстве Рутокен", абзац про формулировки уведомлений о надёжности.

В следующем разделе "Настройки групповой политики" упоминается необходимость внесения в реестр записи, разрешающей собственноручно созданные сертификаты для FVE.

Я задал вопрос в УЦ, могут ли они выпустить сертификат для ФЛ с областью применения 1.3.6.1.4.1.311.67.1.1, однако они ответили, что такой OID не добавляют.

Безопасно ли полагаться на самоподписанные сертификаты? И ещё один аспект остался нераскрытым - как действовать, когда срок сертификата подойдёт к концу - продлить нельзя. Отменять шифрование и делать его заново с новым сертификатом?

Ответ от Аверченко Кирилл

  • Аверченко Кирилл
  • Техническая поддержка
  • Неактивен

Re: Самоподписанный сертификат - единственный вариант для BitLocker у ФЛ?

Tokenizer, Добрый день.
Если вы будете использовать этот сертификат только для шифрования диска, то данное действие вполне безопасно. Подобная инструкция предлагается самим Microsoft https://docs.microsoft.com/en-us/previo … KMK_sscert
По нашим экспериментам, сертификат не проверяется на срок действия и работает для расшифрования диска даже после окончания срока действия.