Создание сертификата УЦ из запроса на сертификат

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

6 Страницы12 3 >»

Создание сертификата УЦ из запроса на сертификат

Опции

Предыдущая тема Следующая тема

Юрий		#1 Оставлено : 17 апреля 2013 г. 9:55:07(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 95 раз в 68 постах		Давным-давно был выпущен стандарт PKCS#10, который в настоящее время существует в виде RFC2986 и RFC5967. Согласно этому стандарту пользователь может самостоятельно сформировать всё тело сертификата (TBS, To be signed part) и подписать всё это своим приватным ключом. В тело сертификата пользователь фактически может добавить всё что угодно (хоть атрибуты квалифицированного сертификата, хоть свою фотографию). На долю удостоверяющего центра остаётся только заверить уже сформированное тело сертификата приватным ключом УЦ и добавить к TBS подпись. Как результат получится сертификат заверенный УЦ. Вроде бы это очень просто и легко. Однако все УЦ, к которым я адресовал вопрос "а можно ли у вас выпустить сертификат на основании запроса на сертификат?" временно впадали в ступор. Конечно я понимаю, что услуга типа "запись сертификата на сертифицированный носитель" это очень круто и приносит бабло, но вот только по сути пользователю она нужна только для того, чтобы сохранить в тайне свой приватный ключ. В добавок в случае полной генерации сертификата на стороне УЦ получается, что этот УЦ может легко сохранить приватный ключ сертификата пользователя что в свою очередь является возможной дырой в безопасности. Как я понимаю в настоящее время компания КриптоПРО и её УЦ являются "законодателем мод" в сфере выпуска сертификатов. В связи с этим собственно вопрос: чисто теоретически возможен ли выпуск сертификата на УЦ КриптоПРО на основании запроса на сертификат?
		С уважением, Юрий Строжевский
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Boris@Serezhkin.com		#2 Оставлено : 17 апреля 2013 г. 10:28:02(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 26.08.2010(UTC) Сообщений: 259 Откуда: Moscow Сказал(а) «Спасибо»: 4 раз Поблагодарили: 11 раз в 10 постах		Вроде ответ "ДА" Мы, в соответствии с договорами и прочем, выпускаем сертификаты "От КриптоПро" Используется оснастка консоли .... Так там есть пимпка - взять запрос из файла..... Не проверял. пока не дошел до формирования запроса в своих изысканиях.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Юрий		#3 Оставлено : 17 апреля 2013 г. 10:35:05(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 95 раз в 68 постах		Я просто может быть мало акцентировал, но если ответ действительно "да", то для УЦ это означает потерю денег. Например для УЦ СКБ Контур это может означать потерю от 3 000 рублей до 12 000 рублей с одного выпуска сертификата. Так что прошу отнестись к моему вопросу внимательнее и ответить как-то более категорично ("точно да" или "точно нет"). И, желательно, всё-таки получить ответ от представителей КриптоПРО, конечно. Отредактировано пользователем 17 апреля 2013 г. 10:39:09(UTC) \| Причина: Не указана
		С уважением, Юрий Строжевский
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Boris@Serezhkin.com		#4 Оставлено : 17 апреля 2013 г. 10:36:48(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 26.08.2010(UTC) Сообщений: 259 Откуда: Moscow Сказал(а) «Спасибо»: 4 раз Поблагодарили: 11 раз в 10 постах		Автор: Юрий В добавок в случае полной генерации сертификата на стороне УЦ получается, что этот УЦ может легко сохранить приватный ключ сертификата пользователя что в свою очередь является возможной дырой в безопасности. Еще раз "ДА", дыра есть. Мы генерируем ключ. Этим все сказано. Однако на нас лежит ответственность, и мы "юридически" гарантируем, что мы этот ключ не храним. Лично я, планирую, написать некую бяку по формированию запроса. Т.е. клиент сам себе генерит ключ и т.д.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Юрий		#5 Оставлено : 17 апреля 2013 г. 10:49:04(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 95 раз в 68 постах		Цитата: Однако на нас лежит ответственность, и мы "юридически" гарантируем, что мы этот ключ не храним. Битие пяткой в грудь вида "мы точно не украдём" меня интересует мало.
		С уважением, Юрий Строжевский
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Kirill Sobolev		#6 Оставлено : 17 апреля 2013 г. 11:04:29(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах		Цитата: В связи с этим собственно вопрос: чисто теоретически возможен ли выпуск сертификата на УЦ КриптоПРО на основании запроса на сертификат? Естественно. Причем есть поддержка как и в части УЦ - АРМ Администратора умеет читать PKCS#10 из файла, так и для клиента : в состав УЦ входит функционал по созданию запроса - оффлайн форма (для Windows) и утилита cryptcp (для *nix).
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Boris@Serezhkin.com		#7 Оставлено : 17 апреля 2013 г. 11:04:34(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 26.08.2010(UTC) Сообщений: 259 Откуда: Moscow Сказал(а) «Спасибо»: 4 раз Поблагодарили: 11 раз в 10 постах		Автор: Юрий Цитата: Однако на нас лежит ответственность, и мы "юридически" гарантируем, что мы этот ключ не храним. Битие пяткой в грудь вида "мы точно не украдём" меня интересует мало. А суд? Получается итальянская забастовка. все по закону и все не работает. Очень большая и больная тема. Решения не вижу.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Юрий		#8 Оставлено : 17 апреля 2013 г. 11:07:47(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 95 раз в 68 постах		Автор: Kirill Sobolev Цитата: В связи с этим собственно вопрос: чисто теоретически возможен ли выпуск сертификата на УЦ КриптоПРО на основании запроса на сертификат? Естественно. Причем есть поддержка как и в части УЦ - АРМ Администратора умеет читать PKCS#10 из файла, так и для клиента : в состав УЦ входит функционал по созданию запроса - оффлайн форма (для Windows) и утилита cryptcp (для *nix). Супер! То есть я официально в любом УЦ который построен на УЦ КриптоПРО могу требовать (или просить?) выпустить мне сертификат на основе моего запроса на сертификат?
		С уважением, Юрий Строжевский
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

pharaon		#9 Оставлено : 17 апреля 2013 г. 16:11:20(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 23.11.2010(UTC) Сообщений: 162 Откуда: НН Сказал(а) «Спасибо»: 1 раз Поблагодарили: 16 раз в 13 постах		Автор: Юрий Автор: Kirill Sobolev Цитата: В связи с этим собственно вопрос: чисто теоретически возможен ли выпуск сертификата на УЦ КриптоПРО на основании запроса на сертификат? Естественно. Причем есть поддержка как и в части УЦ - АРМ Администратора умеет читать PKCS#10 из файла, так и для клиента : в состав УЦ входит функционал по созданию запроса - оффлайн форма (для Windows) и утилита cryptcp (для *nix). Супер! То есть я официально в любом УЦ который построен на УЦ КриптоПРО могу требовать (или просить?) выпустить мне сертификат на основе моего запроса на сертификат? УЦ коммерческая организация. Вы можете спросить цену за данную услугу. И я думаю она как раз будет от 10т.р. Мало ли что за OID вы там напихаете.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Юрий		#10 Оставлено : 17 апреля 2013 г. 16:36:32(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 95 раз в 68 постах		Автор: pharaon Автор: Юрий Автор: Kirill Sobolev Цитата: В связи с этим собственно вопрос: чисто теоретически возможен ли выпуск сертификата на УЦ КриптоПРО на основании запроса на сертификат? Естественно. Причем есть поддержка как и в части УЦ - АРМ Администратора умеет читать PKCS#10 из файла, так и для клиента : в состав УЦ входит функционал по созданию запроса - оффлайн форма (для Windows) и утилита cryptcp (для *nix). Супер! То есть я официально в любом УЦ который построен на УЦ КриптоПРО могу требовать (или просить?) выпустить мне сертификат на основе моего запроса на сертификат? УЦ коммерческая организация. Вы можете спросить цену за данную услугу. И я думаю она как раз будет от 10т.р. Мало ли что за OID вы там напихаете. Сейчас меня заботит взаимодействие УЦ с потребителем. То есть мне кажется ошибочным, что за добавление пяточка-другого OID в сертификат пользователь должен доплачивать достаточно весомые деньги. Пока формат претензий и способов предоставления этих претензий у меня в разработке. Услуги УЦ должны стоить гораздо меньше.
		С уважением, Юрий Строжевский
		WWW
1 пользователь поблагодарил Юрий за этот пост.		Cepera оставлено 19.04.2013(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

6 Страницы12 3 >»

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close