Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход. Новые регистрации запрещены.

Уведомление

Icon
Error
2 Страницы12>
возможность включения информации о сроке действия секретного ключа в сертификат при помощи EKU
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Theodoro  
#1 Оставлено : 31 августа 2010 г. 21:38:26(UTC)
Theodoro

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.08.2010(UTC)
Сообщений: 1
Добрый день!
В теме http://www.cryptopro.ru/...t.aspx?g=posts&t=132 Татьяна упомянула возможность включения информации о сроке действия секретного ключа в сертификат при помощи EKU. Не подскажете, как это делать? Или откуда брать информацию по вопросу.
Вверх
Offline Kirill Sobolev  
#2 Оставлено : 1 сентября 2010 г. 13:59:08(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,733
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Это делается в модуле политики ЦС КриптоПро УЦ, информация есть в руководстве по эксплуатации.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Sergey M. Murugov  
#3 Оставлено : 1 сентября 2010 г. 16:42:51(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Либо я чего не понял, либо опять какая то самодеятельность. Указания периода есть самостоятельный экстеншен и к ЕКУ никакого отношения иметь не должен!
В соответствии с RFC 5280:
-- private key usage period extension OID and syntax

id-ce-privateKeyUsagePeriod OBJECT IDENTIFIER ::= { id-ce 16 }

PrivateKeyUsagePeriod ::= SEQUENCE {
notBefore [0] GeneralizedTime OPTIONAL,
notAfter [1] GeneralizedTime OPTIONAL }
-- either notBefore or notAfter MUST be present
Вверх
WWW
Offline Kirill Sobolev  
#4 Оставлено : 1 сентября 2010 г. 19:46:47(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,733
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Цитата:
Либо я чего не понял, либо опять какая то самодеятельность. Указания периода есть самостоятельный экстеншен и к ЕКУ никакого отношения иметь не должен!

Безусловно это самостоятельное расширение, но вопрос был про возможности КриптоПро УЦ (ссылка из 1го поста).
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Sergey M. Murugov  
#5 Оставлено : 2 сентября 2010 г. 14:00:56(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
То что вопрос был про УЦ КП я как раз понял, именно поэтому и попросил разъяснений, т.е. УЦ КП спроектирован так что стандартные функции (а именно указание в сертификате открытого ключа продолжительности действия закрытого ключа) реализовывает не стандартным образом как это написано в RFC 5280, а через самостоятельно выдуманное расширение! Надеюсь разработчики из КП понимают, что таким подходом создают определённые трудности в процессе создания единого пространства доверия к ЭЦП в рамках Электронного правительства.
Вверх
WWW
Offline Kirill Sobolev  
#6 Оставлено : 2 сентября 2010 г. 14:14:49(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,733
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Цитата:
То что вопрос был про УЦ КП я как раз понял, именно поэтому и попросил разъяснений

Извините, в Вашем посте я не заметил просьбу. Что именно необходимо разъяснить?
Цитата:
реализовывает не стандартным образом как это написано в RFC 5280, а через самостоятельно выдуманное расширение

Ваша информация, к сожалению, не соответствует действительности - в сертификатах, выдаваемых КриптоПро УЦ, срок действия закрытого ключа находится в расширении "Private Key Usage Period", полностью соответствующем RFC5280.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Sergey M. Murugov  
#7 Оставлено : 2 сентября 2010 г. 15:46:57(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Ничего не понимаю, раз вы используете стандартное расширение , при чём тут ЕКУ, ведь именно так звучит тема, да и ответы вокруг ЕКУ? По 5280 расширение "Private Key Usage Period" - это самостоятельное расширение и отношения к ЕКУ не имеет никакого.
Или вы помимо "Private Key Usage Period" ещё что то там смастерили в ЕКУ что то параллельное, только вами понимаемое?

Отредактировано пользователем 2 сентября 2010 г. 15:50:28(UTC)  | Причина: Не указана
Вверх
WWW
Offline Kirill Sobolev  
#8 Оставлено : 2 сентября 2010 г. 16:04:11(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,733
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
В КриптоПро УЦ на ЦС для каждого отдельного назначения в ЕКU можно задать соответствующий ему срок действия закрытого ключа. Соответственно, по расширению EKU из запроса на сертификат определяется значение срока действия и помещается в соответствующее расширение сертификата, в полном соответствии RFC5280.
Если Вы раньше сталкивались с КриптоПро УЦ - аналогично реализовано определение срока действия самого сертификата с помощью EKU.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Sergey M. Murugov  
#9 Оставлено : 2 сентября 2010 г. 21:32:28(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Спасибо за разъяснения.
Т.е. указания в ЕКУ носят чисто технологический характер - особенность вашей реализации указания в запросе характеристик выпускаемого сертификата. Кстати в итоговом сертификате эта запись ЕКУ , дублирующая расширение "Private ... " не заносится?

Отредактировано пользователем 3 сентября 2010 г. 0:56:59(UTC)  | Причина: Не указана
Вверх
WWW
Offline Kirill Sobolev  
#10 Оставлено : 3 сентября 2010 г. 14:24:29(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,733
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Цитата:
Кстати в итоговом сертификате эта запись ЕКУ , дублирующая расширение "Private ... " не заносится?

Реализовано по другому - расширение EKU в запросе имеет обычный вид, набор идентификаторов использования ключа. Никаких сроков действия там нет.
А на ЦС настраивается таблица - какому назначению соответствует какой срок действия. В модуле политики данные из этой таблицы попадают в сертификат.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET