Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline makar751  
#1 Оставлено : 17 марта 2022 г. 18:57:28(UTC)
makar751

Статус: Участник

Группы: Участники
Зарегистрирован: 16.03.2017(UTC)
Сообщений: 10
Российская Федерация

Имеется задача производить проверку цепочку без установки сертификатов УЦ в хранилище.
На Windows для этих целей создаётся хранилище в памяти, в которое загружаются сертификаты УЦ и потом это хранилище передаётся в CertCreateCertificateChainEngine как поле hExclusiveRoot структуры CERT_CHAIN_ENGINE_CONFIG, после чего уже производится построение цепочки, которое проходит успешно.
На Linux же структура CERT_CHAIN_ENGINE_CONFIG не имеет поля hExclusiveRoot, а без него проверка цепочки без установленного сертификата УЦ в хранилище uRoot или mRoot всегда возвращает CERT_TRUST_NO_ERROR. Игнорировать ошибку CERT_TRUST_NO_ERROR тоже не выходит, так как при её возникновении проверка сертификата на отзыв уже не осуществляется внутри функции CertGetCertificateChain.
Планируется ли поддержка поля hExclusiveRoot? Или есть какие-то другие пути решения данной проблемы?
Offline Андрей Русев  
#2 Оставлено : 23 марта 2022 г. 20:41:03(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,260

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 442 раз в 322 постах
Здравствуйте.
Пока поддержка не планировалась, но глянем, насколько сложно будет доработать.
Официальная техподдержка. Официальная база знаний.
thanks 1 пользователь поблагодарил Русев Андрей за этот пост.
Андрей * оставлено 23.03.2022(UTC)
Offline Зубов Иван  
#3 Оставлено : 6 апреля 2022 г. 12:20:49(UTC)
Зубов Иван

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 02.11.2017(UTC)
Сообщений: 44
Мужчина

Сказал «Спасибо»: 6 раз
Поблагодарили: 19 раз в 17 постах
Здравствуйте.

Поддержали поле hExclusiveRoot при проверке цепочки. Изменения войдут в следующие релизы CSP.

Для удобства использования добавили в WinCryptEx.h структуру CERT_CHAIN_ENGINE_CONFIG_WIN8 с новыми полями, в т.ч. hExclusiveRoot.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.