Смена ключевых данных – особенности процедуры

Смена ключевых данных может производиться в плановом и во внеочередном порядке. Ключевые документы для плановой и для внеплановой замены готовятся заранее, в плановом порядке. Порядок смены КД детально описан в [2].

При работе сети в режиме с ЦСК важно обеспечить синхронность смены сертификатов открытых ключей в ЦСК и НКИ в IP-шифраторах.

Для предотвращения перерывов в связи абонентов необходимо соблюдать следующие правила:

1. Перед началом процедуры смены ключей необходимо, чтобы все направления связи, для которых предусмотрен переход на использование новых сертификатов, находились в рабочем состоянии. Т.е. все IP-шифраторы, для которых необходимо осуществить замену сертификатов открытых ключей должны иметь (подлежащие замене) сертификаты открытых ключей абонентов в своей памяти.

2. На период смены сертификатов открытых ключей не допускается выключение шифраторов или другие операции, вызывающие рестарт шифратора, при котором в IP шифраторе теряются открытые ключи всех корреспондентов.

3. После получения информации от ЦСК о завершении процедуры замены сертификатов открытых ключей следует приступить к процедуре перехода на использование новых сертификатов открытых ключей.

4. Инициировать обращение IP шифратора за новым сертификатом открытых ключей можно командами локального (КПЗ) или дистанционного (ЦУ VPN, КПЗ) рестарта шифратора. Локальный рестарт может быть инициирован и посредством выключения на несколько секунд и включения питания IP-шифратора.

5. Не рекомендуется осуществлять рестарт всех IP-шифраторов в сети одновременно. Перед рестартом очередного шифратора рекомендуется убедиться, что рестарт предыдущего шифратора завершился восстановлением предусмотренных соединений.

При работе сети в режиме с предварительным распределением открытых ключей важно обеспечить синхронность смены всех НКИ во всех IP-шифраторах.

Для предотвращения перерывов в связи абонентов необходимо соблюдать следующие правила:

1. К моменту начала замены НКИ все НКИ должны быть доставлены к IP шифраторам.

2. Перед заменой НКИ (старые) открытые ключи абонентов должны быть кэшированы (скопированы) в оперативную память IP-шифратора соответствующей командой (локально или удаленно).

3. После кэширования ключей и до рестарта IP-шифратор допускает изъятие НКИ из картоприемника с сохранением работоспособности.

4. До момента замены всех НКИ во всех, требующих замены НКИ шифраторах, не следует допускать выполнение рестарта IP-шифраторов.

5. После смены всех НКИ следует выполнить, по возможности одновременный, рестарт всех IP-шифраторов, в которых была произведена смена НКИ. Выполнение рестарта может быть осуществлено как локально, так и дистанционно.