Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123
Опции
К последнему сообщению К первому непрочитанному
Offline Aqel  
#21 Оставлено : 10 марта 2022 г. 9:22:30(UTC)
Aqel

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.11.2018(UTC)
Сообщений: 8
Мужчина
Российская Федерация
Откуда: Пермь

Сказал «Спасибо»: 2 раз
Автор: two_oceans Перейти к цитате
Цитата:
а можно обойтись без запроса? Просто сразу создать сертификат с заданными данными?
Добрый день.
Если речь про API, затрудняюсь точно сказать, но думается от RDN не уйти все равно.

В теории можно пропустить шаг создания запроса, но только если выполняется одно из двух:
1) сойдет и самоподписанный сертификат. На практике же это та еще морока каждому клиенту прописывать каждый такой сертификат в доверенные. Плюс некоторые приложения (браузеры в особенности) "умные" и все равно блокируют самоподписанные сертификаты (без роли УЦ и/или с ролями, типичными для конечного сертификата), то есть приходится еще и разрешать индивидуально для каждого профиля браузера на компьютере. В общем, несмотря на простоту получения не советую, но напишу как создать для полноты.
2) есть свой УЦ (то есть самоподписанный сертификат с ролью УЦ) (и желательно делаете новый сертификат на компьютере, где этот УЦ, то есть по API доступен ключ УЦ). В этом случае добавили сертификат своего УЦ в доверенные и какое-то время он будет работать. Опять же дело в том что приложения "умные" и могут ограничивать список УЦ.

По поводу пользования: к примеру, есть, Microsoft CA как часть Windows Server, при использовании в домене все достаточно автоматизировано и можно запросить сертификат через остнастку "сертификаты" (по умолчанию там конечно не совсем то - имя пользователя или имя компьютера, но можно развернуть нужный тип запроса и нажать "свойства", настроить RDN либо криптопровайдер либо длину ключа), для простенького сертификата сойдет и 2003 версия. Запрос все же будет, но "внутри", незаметно. openssl и csptest также могут исполнять функции импровизированного УЦ. Аналогично, запрос будет, но можно автоматизировать и будет незаметно.

В случае же передачи во внешний УЦ без явного запроса обойтись сложно.


Спасибо, я примерно такое и предполагал, мне как раз 1) пункт подходит, ибо нужда только в самоподписанном сертификате - для подписи своих программ, а остальное как бы и не нужно (морока).
Всё намного проще, чем есть на самом деле...
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.