Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline sereghka  
#1 Оставлено : 23 января 2020 г. 7:19:54(UTC)
sereghka

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2020(UTC)
Сообщений: 3
Российская Федерация
Откуда: Новосибирск

Добрый день!

В прайс-листе КриптоПро есть раздел Услуги Удостоверяющего Центра.
В нем есть услуга "по изготовлению сертификата ключа аутентификации сервера", стоит 14300р по распределенной схеме обслуживания.
И есть услуга "по изготовлению сертификата ключа подписи пользователя", стоит 1170р по распределенной схеме обслуживания.
Подскажите, в чем техническая разница в этих двух сертификатах?
1. Как я предполагаю, в серверном сертификате заполняется поле CN=имя_домена, и заполняется "Расширение ключа" (оно же "Улучшенный ключ") ОИД кодом 1.3.6.1.5.5.7.3.1. Правильно?
2. В клиентском же сертификате в поле CN=ид_или_имя_владельца, и в "Расширении ключа" никак не может стоять ОИД с кодом 1.3.6.1.5.5.7.3.1. А скорей всего может быть код 1.3.6.1.5.5.7.3.2. Правильно?
3. А если мне нужен сертификат, у которого в поле CN не имя домена, а CN=ид_или_имя_владельца (как бы клиентский серт.), но в "Расширении ключа" запрошен код 1.3.6.1.5.5.7.3.1 (как бы серверный серт). УЦ КриптоПро его расценит как серверный или клиентский? Такой сертификат можно будет использовать для установления TLS соединения к серверу с помощью stunnel (этой же утилите на важно содержимое CN= как я понимаю?
4. И для общего развития: как УЦ КриптоПро расценит изготовление сертификата (как серверный или как клиентский), если я запрошу в нем CN=имя_домена, но не запрошу "Расширение ключа" ОИД с кодом 1.3.6.1.5.5.7.3.1 ?
Offline Александр Лавник  
#2 Оставлено : 23 января 2020 г. 17:20:24(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: sereghka Перейти к цитате
Добрый день!

В прайс-листе КриптоПро есть раздел Услуги Удостоверяющего Центра.
В нем есть услуга "по изготовлению сертификата ключа аутентификации сервера", стоит 14300р по распределенной схеме обслуживания.
И есть услуга "по изготовлению сертификата ключа подписи пользователя", стоит 1170р по распределенной схеме обслуживания.
Подскажите, в чем техническая разница в этих двух сертификатах?
1. Как я предполагаю, в серверном сертификате заполняется поле CN=имя_домена, и заполняется "Расширение ключа" (оно же "Улучшенный ключ") ОИД кодом 1.3.6.1.5.5.7.3.1. Правильно?
2. В клиентском же сертификате в поле CN=ид_или_имя_владельца, и в "Расширении ключа" никак не может стоять ОИД с кодом 1.3.6.1.5.5.7.3.1. А скорей всего может быть код 1.3.6.1.5.5.7.3.2. Правильно?
3. А если мне нужен сертификат, у которого в поле CN не имя домена, а CN=ид_или_имя_владельца (как бы клиентский серт.), но в "Расширении ключа" запрошен код 1.3.6.1.5.5.7.3.1 (как бы серверный серт). УЦ КриптоПро его расценит как серверный или клиентский? Такой сертификат можно будет использовать для установления TLS соединения к серверу с помощью stunnel (этой же утилите на важно содержимое CN= как я понимаю?
4. И для общего развития: как УЦ КриптоПро расценит изготовление сертификата (как серверный или как клиентский), если я запрошу в нем CN=имя_домена, но не запрошу "Расширение ключа" ОИД с кодом 1.3.6.1.5.5.7.3.1 ?

Здравствуйте.

Обратитесь по данным вопросам к сотрудникам удостоверяющего центра (контакты внизу страницы).
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#3 Оставлено : 24 января 2020 г. 12:59:51(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
За конкретный УЦ говорить не возьмусь, отвечу в общем случае. Для серверных сертификатов с доменом в CN может присутствовать и аутентификация клиента - это по сути необходимо для двусторонней аутентификации на этом домене или если сервер играет роль прокси.

В клиентских сертификатах с фио, выданных федеральным казначейством наоборот может присутствовать Аутентификация сервера - это было нужно для старого казначейского ПО, в данный момент бесполезно. Для использования на http сервере также такой сертификат бесполезен.
Offline sereghka  
#4 Оставлено : 24 января 2020 г. 14:32:36(UTC)
sereghka

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2020(UTC)
Сообщений: 3
Российская Федерация
Откуда: Новосибирск

Автор: two_oceans Перейти к цитате
За конкретный УЦ говорить не возьмусь, отвечу в общем случае. Для серверных сертификатов с доменом в CN может присутствовать и аутентификация клиента - это по сути необходимо для двусторонней аутентификации на этом домене или если сервер играет роль прокси.

Наверное да, такая комбинация ОИД возможна.


Автор: two_oceans Перейти к цитате
В клиентских сертификатах с фио, выданных федеральным казначейством наоборот может присутствовать Аутентификация сервера - это было нужно для старого казначейского ПО, в данный момент бесполезно. Для использования на http сервере также такой сертификат бесполезен.

А вот тут зависит от УЦ. Мне ответили по е-майл из УЦ КриптоПро. Суть ответа - как только в сертификате появляется ОИД 1.3.6.1.5.5.7.3.1 (аутентификация сервера), так сертификат сразу становится серверным, с соответствующей ценой....
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.