| ||||
| ||||
| Хотел у вас уточнить один момент.. Когда мы создаем запрос на сертификат и соответственно пару ключей, открытый ключ и закрытый ключ. В Центр сертификаци мы посылаем этот запрос и открытый ключ (закрытый хранится только у клиента), так вот запрос и открытый ключ мы подписываем? Или отправляем просто так, а если подписываем то чем? и как ЦС умудряется проверить подпись? Ведь данные к нему только пришли т.е. он ведь еще нечего не знает о клиенте. Дальнейшая цепоча понятна и розяснений не требует. Помогите понять именно этот момент. | ||||
| Ответы: | ||||
| ||||
| Запрос на сертификат представляет собой электронный документ следующего вида: Идентификационные данные пользователя, Открытый ключ, дополнительные данные, которые потребуется занести в сертификат (Области использования ключа и т.д.) и все это подписывается на закрытом ключе, соответствующем открытому ключу, содержащемуся в запросе. Естественно УЦ в данном случае идентифицировать отправителя запроса не может. В связи с этим есть два пути: Первый - когда пользователь уже является владельцем сертификата ключа подписи. В этом случае запрос (та структура, которая описана выше) подписывается на ключе, соответствующем действующему сертификату и напрвляется в УЦ. УЦ рассматривает поступившие данные как заявление на изготовление сертификата (полученный документ подписан ЭЦП, автор его известен) и принимает по нему решение. Второй - когда пользователь не имеет ни одного сертификата. Тогда пользователь распечатывает на бумаге бланк запроса на сертификат (бланк содержит те же данные что и запрос в электронной форме), подписывает его собственноручной подписью и направляет в УЦ как бланк запроса, так и сам запрос. УЦ рассматривает подписанный бланк запроса как заявление на изготовление сертификата (автор известен, документ подписан), сравнивает его содержимое с запросом в электронной форме и принимает решение об изготовлению сертификата. Если же УЦ будет рассматривать только запросы на сертификат (понятно, что аутентифицировать пользователя по запросу нельзя), то пользователь получет возможность отказаться от изданного сертификата (Он спросит Удостоверяющий центр - а на основании чего (какого документа) вы изготовили этот сертификат ключа подписи). А при соблюдении описанных условий УЦ всегда может предъявить подписанное (ЭЦП или собственноручной подписью) заявление на изготовление сертификата. Второй случай обычно используется при изготовлении первого сертификата ключа подписи, первый при получении последующих сертификатов (в частности, при плановой смене ключей) | ||||
Андрей