04.06.2007 10:02:43Кросс-сертификат. В какое хранилище ставить? Ответов: 1
Тельцов Масим Васильевич
Здравствуйте, Хотелось узнать каким образом установить кросс-сертификаты, чтобы все работало.

Ситуация такова:
Есть три УЦ, скажем так УЦ1 УЦ2 и УЦ3.
Между УЦ2 и УЦ3 есть кросс-сертификация.
УЦ1 - это наш Удостоверяющий Центр.
Необходимо сделать так, чтобы УЦ1 и УЦ3 взаимодействовали между собой (производился обмен CRL).

Делаем так:
- Производим кросс-сертификацию между УЦ1 и УЦ2
кросс, выданный для УЦ2 нашим УЦ (УЦ1).
- Устанавливаем кросс, выданный нами, на наш УЦ в хранилище "Промежуточные центры сертификации"
- Соответственно кросс, выданный для нас, на УЦ2 устанавливают у себя.

Какой кросс необходимо установить на нашем УЦ (УЦ1) и на УЦ3, чтобы между УЦ1 и УЦ3 было доверие.

PS Клиенты УЦ3 не имеют выход в Интернет. CRL от своего УЦ и от других они получают по внутренней виртуальной сети.
 
Ответы:
04.06.2007 11:28:00Василий
Процесс выпуска и установки CRL никакого отношения к кросс-сертификации не имеет.

Кросс-сертификат нужен для того, чтобы НЕ ставить (корневой) сертификат другого УЦ в "Доверенные корневые ЦС" на компьютерах, где используются клиентские сертификаты своего УЦ.

Пример. УЦ1 - свой, УЦ2 - внешний.
Клиенты УЦ1 доверяют сертификату УЦ1. Если нужно доверие к клиентским сертификатам, которые выпущены на УЦ2, то выпускаем на УЦ1 кросс-сертификат, ставим его в "Промежуточные ЦС" и получаем цепочку:
клиентский сертификат УЦ2 -> кросс-сертификат, выданный на УЦ1 -> корневой сертификат УЦ1
При этом, обязательно наличие двух CRL - как УЦ1, так и УЦ2, т.к. только УЦ2 может издавать CRL для своих сертификатов.