Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход. Новые регистрации запрещены.

Уведомление

Icon
Error
Установка промежуточных сертификатов
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline emejibka  
#1 Оставлено : 21 октября 2024 г. 8:02:41(UTC)
emejibka

Статус: Участник

Группы: Участники
Зарегистрирован: 05.09.2017(UTC)
Сообщений: 15

Сказал(а) «Спасибо»: 2 раз
Здравствуйте, коллеги.

Подскажите где в документации почитать о том как КриптоПро устанавливает промежуточные сертификаты.

Ситуация следующая - есть несколько клиентов, у всех стоит одна и таже версия КриптоПро (5.0.12000 на линуксах), пользователи импортируют ключи и там, где доступ в интернет на сервере есть, промежуточные сертификаты устанавливаются сами. А там, где доступа в сеть нет, приходится ставить сертификаты самостоятельно.
КриптоПро сам скачивает сертификаты, где найти список адресов, по которым скачиваются сертификаты?
Вверх
Offline nickm  
#2 Оставлено : 21 октября 2024 г. 8:10:07(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,656

Сказал(а) «Спасибо»: 614 раз
Поблагодарили: 459 раз в 433 постах
Автор: emejibka Перейти к цитате
КриптоПро сам скачивает сертификаты, где найти список адресов, по которым скачиваются сертификаты?

Промежуточные сертификаты скачиваются с помощью cURL (входящего в дистрибутив СКЗИ "КриптоПро CSP") из цепочки сертификатов.

URL промежуточных сертификатов Вы можете увидеть в самих сертификатах, например, отобразив их в консоли с помощью certmgr:
Код:
$ /opt/cprocsp/bin/amd64/certmgr -list | grep "CA cert URL"

CA cert URL         : http://crl.roskazna.ru/crl/ucfk_2023.crt
CA cert URL         : http://crl.fk.local/crl/ucfk_2023.crt
CA cert URL         : http://crl.roskazna.ru/crl/ucfk_2022.crt
CA cert URL         : http://crl.fk.local/crl/ucfk_2022.crt

Таким же способом подгружаются и списки отзывов, что можно увидеть в системном журнале.
Вверх
thanks 1 пользователь поблагодарил nickm за этот пост.
emejibka оставлено 21.10.2024(UTC)
Offline emejibka  
#3 Оставлено : 21 октября 2024 г. 8:47:15(UTC)
emejibka

Статус: Участник

Группы: Участники
Зарегистрирован: 05.09.2017(UTC)
Сообщений: 15

Сказал(а) «Спасибо»: 2 раз
Спасибо.

Но я пока не очень понял как новые сертификаты появятся. Попробую объяснить на примере. Есть установленный корневой сертификат минцифры, есть промежуточный казначейства и конечный сертификат пользователя.
Если в хранилище промежуточных центров сертификации нет сертификата казначейства, то как КриптоПро поймёт где необходимо скачать сертификат. Или сертификат казначейства есть, но появился новый и его то же необходимо поставить.
Вверх
Offline nickm  
#4 Оставлено : 21 октября 2024 г. 8:58:45(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,656

Сказал(а) «Спасибо»: 614 раз
Поблагодарили: 459 раз в 433 постах
Автор: emejibka Перейти к цитате
Если в хранилище промежуточных центров сертификации нет сертификата казначейства, то как КриптоПро поймёт где необходимо скачать сертификат.

У каждого сертификата имеется цепочка сертификатов, в которой перечислены URL всех необходимых сертификатов, в том числе сертификат удостоверяющего центра.

Выше привёл вывод.

Автор: emejibka Перейти к цитате
Или сертификат казначейства есть, но появился новый и его то же необходимо поставить.

Вообще, установка как корневых, так и промежуточных сертификатов в систему, это обязанность/ забота пользователя, и не стоит отдавать/ делегировать такие процедуры программному обеспечению, а то те поустанавливают Вам всякие разные сертификаты и понизят безопасность системы в целом. Утрирую.
Вверх
Offline emejibka  
#5 Оставлено : 21 октября 2024 г. 11:29:23(UTC)
emejibka

Статус: Участник

Группы: Участники
Зарегистрирован: 05.09.2017(UTC)
Сообщений: 15

Сказал(а) «Спасибо»: 2 раз
Цитата:
Вообще, установка как корневых, так и промежуточных сертификатов в систему, это обязанность/ забота пользователя, и не стоит отдавать/ делегировать такие процедуры программному обеспечению, а то те поустанавливают Вам всякие разные сертификаты и понизят безопасность системы в целом. Утрирую.


Согласен, но тут мы работает не с самовыпущенными подписями, не хотелось бы просить пользователей следить за сертификатами удостоверяющих центров.
Вверх
Offline basid  
#6 Оставлено : 21 октября 2024 г. 14:52:27(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,128

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 154 раз в 139 постах
Сертификатов именно что корневых/промежуточных удостоверяющих центров не так, чтобы много.
И это та чувствительная область, когда лучше иметь один такой в системном хранилище, чем кучу одинаковых сертификатов "в профиле" каждого пользователя.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET