Статус: Участник
Группы: Участники
Зарегистрирован: 26.05.2009(UTC)
Сообщений: 28
|
Здравтсвуйте!
Скажите пожалуйста... как происходит проверка сертификата по СОС?
Рассмотрим случай... в проверяемом сертификате есть точка доступа к СОС, хранящегося удаленно в централизованном хранилище.
Я правильно понимаю... при проверки сертификата происходит обращение по указанной точке доступа к СОС и он закачивается из хранилища и смотриться? Или же просмотр СОС осуществляется во время обращения к нему (если так, то что в этом случает возвращается и в каком виде)?
Заранее спасибо!
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Здравствуйте!
1. Сначала просматривается хранилище сертификатов (раздел "Промежуточные ЦС") той учетной записи, под которой прверяется сертификат, и ищется актуальный СОС. Если он находится, то на нем проверяется сертификат на отозванность.
2. Потом просматривается файловый кэш MS IE и ищется файл с актуальным СОС (расширения файлов *.crl). Если он находится, то на нем проверяется сертификат на отозванность.
3. Потом берутся точки распространения списка отозванных сертификатов (расширения CDP в сертификате, их может быть несколько) и начиная с первого осуществляется по 3 попытки скачать актуальный СОС с сервера. Если СОС доступен, то он скачивается, записывается в файловый кэш MS IE, устанавливается в хранилище сертификатов той учетной записи, под которой проверяется сертификат, и на нем проверяется сертификат на отозванность.
Что бы не было путаницы в терминах: хранилище сертификатов учетной записи, под которой проверяется сертификат - это часть системного реестра Windows рабочей станции или сервера, на котором проверяется сертификат на отозванность. Имеено так эта часть реестра назвается и официально используется в терминах платформы MS Windows. Так что Вы поосторожнее употребляйте "и он закачивается из хранилища " :-) |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.05.2009(UTC)
Сообщений: 28
|
Спасибо за ответ!
Хотел уточнить...
В качестве платформы у нас будет Solaris 10. Та схема, которую вы описали... она также применима и к Solaris? И возможно ли сразу при проверки сертификата переходить к 3 пункту (обращение по точке доступа к СОС)?
Заранее спасибо за ответ!
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Нет, описанная схема соответствует MS CryptoAPI на платформе Windows.
На платформе Solaris нет стандартизованного криптоинтерфейса подобного MS CryptoAPI. Поэтому нельзя говорить, что на платформе Solaris есть хоть какая-то схема работы с СОС. Всё зависит от конкретно реализации прикладного софта, работающего с сертификатам и СОС.
|
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Юрий, а подскажите, в случае, если в клиентском сертификате не указана cdp - схема проверки такая же?
Как будет проверяться сертификат в следующем случае:
Зашел пользователь с сертификатом с прописанной cdp, выданным на УЦ1.
1. СОС в хранилище сертификатов (раздел "Промежуточные ЦС") той учетной записи, под которой прверяется сертификат не оказалось.
2. В кэше IE его тоже не оказалось.
3. Взяли url cdp, скачали СОС (а также установили его в хранилище сертификатов), проверили клиентский сертификат. Все ОК.
Заходит второй пользователь с сертификатом, выданным на том же УЦ1, но на этот раз в сертификате не прописана cdp.
Вопрос - найдется ли нужный СОС?
У нас сервер второго клиента не пускает - выдает ошибку 403.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
