Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline NEW DME  
#11 Оставлено : 20 августа 2019 г. 13:22:28(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 141

Сказал(а) «Спасибо»: 109 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
Пользователь, которым ключем вы подписываете запрос, состоит в группе которой предоставлены права?

А также, в запросе и временный сертификат пользователя, компоненты имени совпадают?



Получается так, что есть пользователь (обычный не привилегированный) который формирует запрос на новый сертификат (соответственно, в запросе на сертификат указываются компоненты имени пользователя), далее Пользователь подписывает сформированный запрос своим временным закрытым ключом (от временного сертификата) и далее указанная сущность направляется сервером в УЦ (предварительно сервер проходит аутентификацию в УЦ как привилегированный пользователь с правами 'Передача запроса', установленными на папку)
Offline Захар Тихонов  
#12 Оставлено : 20 августа 2019 г. 13:32:03(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Выглядит так.
Запрос на сертификат с компонентами имени подписывается сертификатом с такими же компонентами имени. Далее вторая подпись оператора ЦР (у которого в правах установлена галка).
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
NEW DME оставлено 20.08.2019(UTC)
Offline NEW DME  
#13 Оставлено : 20 августа 2019 г. 13:41:15(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 141

Сказал(а) «Спасибо»: 109 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
Выглядит так.
Запрос на сертификат с компонентами имени подписывается сертификатом с такими же компонентами имени. Далее вторая подпись оператора ЦР (у которого в правах установлена галка).


А без пользовательской подписи (только подпись сервера) запрос также не пройдёт?

Если так, то получается, что возможен только один вариант, когда запрос подать может только пользователи, при этом он должен быть наделён 'правом передача запроса'?
Offline Захар Тихонов  
#14 Оставлено : 20 августа 2019 г. 13:43:31(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
если две подписи оператора, то будет работать.
это штатная работа, как в Консоли ЦР.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
NEW DME оставлено 20.08.2019(UTC)
Offline NEW DME  
#15 Оставлено : 20 августа 2019 г. 13:51:19(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 141

Сказал(а) «Спасибо»: 109 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
если две подписи оператора, то будет работать.
это штатная работа, как в Консоли ЦР.


Просьба уточнить:
т.е. в данной схеме необходимо всех пользователей, которые будут подавать запросы, подписывая их своими временными сертификатами, наделить правом 'Передача запросов';
в противном случае, не имея данного права, будет либо возникать ошибка 'Пользователь, подписавший запрос, не совпадает с пользователем, передавшим изменение', либо сертификат при обработке запроса будет выдан для Сервера ИС (который накладывает вторую подпись)?
Offline Захар Тихонов  
#16 Оставлено : 20 августа 2019 г. 13:56:31(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Передача запроса требуется иметь оператору, чьим сертификатом одобряется такой подписанный запрос.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
NEW DME оставлено 20.08.2019(UTC)
Offline NEW DME  
#17 Оставлено : 20 августа 2019 г. 14:04:50(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 141

Сказал(а) «Спасибо»: 109 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
Передача запроса требуется иметь оператору, чьим сертификатом одобряется такой подписанный запрос.



В данном случае вроде как так и есть:

Сервер приложения выступает в роли Оператора и имеет право "Передача запроса", но УЦ такой запрос не принимает:(
не нравится наличие пользовательской подписи?

Отредактировано пользователем 20 августа 2019 г. 14:08:19(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#18 Оставлено : 20 августа 2019 г. 14:52:43(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Приложите подписанный запрос.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
NEW DME оставлено 20.08.2019(UTC)
Offline NEW DME  
#19 Оставлено : 20 августа 2019 г. 15:04:00(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 141

Сказал(а) «Спасибо»: 109 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
Приложите подписанный запрос.


test.txt (16kb) загружен 6 раз(а).
Offline Захар Тихонов  
#20 Оставлено : 20 августа 2019 г. 16:03:32(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Приложите уже дважды подписанный запрос.
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.