16.09.2004 14:17:10Генерация ключей Microsoft CA и безопасность получения и назначение сертификатов Ответов: 1
Stealth
Установлен Windows server 2003 enterprise edition. Поднят Stand-Alone root CA. Запрос на генерацию ключей идет через http://servername/certsrv. Подскажите где сохраняются сгенерированные ключи, если они не помечены, как экспортируемые, при использовании стандартных криптопровайдеров? Что нужно сделать, кроме разрешения экспортирования, чтобы они сохранялись сразу на е-токен или смарт-карту и не оставались на жестком диске? Для чего предназначены сертификаты code signing certificate и time stamp signing certificate и как они используются? Можно ли поставить электронную цифровую подпись на вордовский или другой файл и каким образом?
 
Ответы:
16.09.2004 16:12:55fav
Независимо от того помечены ключи как экспортируемые или нет они все равно сохраняются туда, куда это позволяет сделать использующийся криптопровайдер (стандартные - обычно в реестр, либо файл на жестком диске). Просто пометив ключи как экспортируемые вы сможете их потом сохранить в файл pkcs#12 и, например, установить на другой ПЭВМ, если же вы их не пометили то перенести с ПЭВМ, где они были созданы будет нельзя.
Чтобы ключи сохранялись сразу на e-Token нужно использовать провайдеры, которые их поддерживают (например, на eToken r2 такой провайдер содержится непосредственно на нем). КриптПро CSP поддерживает eToken, smart-карты и т.д. и т.п.
Сертификаты, содержащие область использования ключа Code Signing, предназначены для подписывания программного кода (например, иногда при загрузке и установке через интернет ПО появляется сообщении о том что данный код подписан тем-то и тем-то и подпись верна)
Подпись на любой файл (в том числе и Word) можно поставить с использованием приложения КриптоАРМ (скачать и посмотреть его можно с нашего сайта).