24.09.2007 20:19:28Как связаны root- и my-сертификаты? Ответов: 5
Геннадий
Как связаны root- и my-сертификаты? По какому атрибуту?
 
Ответы:
25.09.2007 0:33:36Morda
Если под "my"-сертификатами подразумеваются сертификаты конечного пользователя, а под "root" - издающих УЦ, то связь между ними следующая: в пользовательском есть поле "Идентификатор ключа центра сертификатов", содержащее набор байт, и в сертификате издающего УЦ этот же набор байт присутствует в поле "Идентификатор ключа субъекта". Именно по этим идентификаторам строится вся цепочка сертификации.
25.09.2007 11:15:29Kirill Sobolev
Идентификатор - это просто один из признаков, по которому строится цепочка. Его вообще может не быть.
Геннадий, у вас путаница в терминологии. Root и MY - это названия хранилищ в Windows. В MY лежат личные сертификаты пользователя, имеющие ссылку на секретный ключ. В Root - сертификаты корневых ЦС, которым пользователь доверяет. Соответственно, необязательно для каждого сертификата из Root есть соответствующий сертификат из My и наоборот.
Для построения цепочки должны обязательно выполняться следующие условия - поле Issuer в сертификате пользователя должно совпадать с полем Subject сертификата ЦС и подпись сертификата пользователя должна проверяться ОК из сертификата издателя.
25.09.2007 15:58:47Геннадий
Morda и Кирилл, спасибо.

В my-сертификате есть
Subject Key Identifier
Authority Key Identifier

Я так понимаю, это Идентификатор ключа подписи и Идентификатор корневого ключа подписи юрисдикции соответственно, или я ошибаюсь?
25.09.2007 16:21:08Kirill Sobolev
Subject Key Identifier - это идентификатор ОК, который в этом сертификате содержится. Authority Key Identifier - это идентификатор ОК центра, который этот сертификат выдал (он необязательно корневой, может быть и подчиненный в цепочке).
Насколько это соотносится с Вашими определениями - Вам виднее :)
25.09.2007 19:19:25Геннадий
Здорово. Спасибо.