Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.10.2008(UTC)
Сообщений: 63
|
Доброго времени суток! Подскажите пожалуйста как правильно обновить сертифификат программно при помощи CryptoAPI. Я так понимаю надо сгенерировать новые ключи, подписать, отослать на сервер. На сервере проверить и подтвердить, если все правильно подписано. А дальше удалить ключи из контейнера, а на их место записать новые. И ссылку на ключи обновить. Я правильно представляю себе схему? Или что то не допонимаю? Если есть пример, напишите ссылку хотя-бы. Сам что то найти не смог. (Даже если она у меня под носом  ) Немного поясню задачу: Администратор генерирует у себя корневой сертификат на длительный срок, после выдает сертификаты пользователям на основе своего сертификата. По прошествии года действие сертификата заканчивается, соответствено у пользователя надо сертификат обновить. (можно ли его просто обновить или обязательно создавать новый/переписать?) Пользователь должен создать сертификат на своей стороне не приходя "в гости к администратору". Просто подписать новый сертификат с открытым ключем и отправить на сервер. Можно ли осуществить такую схему? заранее спасибо Отредактировано пользователем 9 сентября 2009 г. 23:21:36(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.04.2009(UTC)
Сообщений: 15
Откуда: no
|
Цитата:после выдает сертификаты пользователям на основе своего сертификата. По прошествии года действие сертификата заканчивается .... и админ снова выдает новый сертификат.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.10.2008(UTC)
Сообщений: 63
|
Цитата:.... и админ снова выдает новый сертификат. А нельзя сгенерировать новый сертификат на стороне пользователя, подписать и отослать его с открытым ключем админу? Так не получится? Впринципе моя схема работает, только есть вопрос на сколько она законна :) Отредактировано пользователем 14 сентября 2009 г. 23:25:27(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671   Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
Во-первых сам сертификат содержит публичный ключ. Поэтому генерация новой пары ключей проводит к тому, что появляется необходимость создать сертификат c по-сути новым контентом. Так как в сертификате также содержиться цифровая подпись, генерируемая на ключе администратора (именно так "заверяется" сертификат), то также автоматически появляется необходимость отправить сертификат со старыми данными о владельце, но новым публичным ключом, администратору. Так как в промышленных ЦС процесс подписывания сопровождается автоматическим увеличинием глобального номера выданных сертификатов, то новый сертификат получит новый номер сертификата и будет всегда идентифицироваться ЦС как сертификат, отличный от выданного ранее.
Таким образом получаем, что просто "обновить" сертификат с новыми ключами нет возможности. Логически в этом случае необходим новый сертификат.
Сами же процедуры по формированию ASN.1 сообщений для получения нового сертификата достаточно (хоть и мало) описаны в MSDN. Также то, можно ли программно передавать запросы на сертификат ЦС, определяется каждой конкретной реализацией ЦС. |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.10.2008(UTC)
Сообщений: 63
|
Я конечно понимаю, что сертификат содежит открытый ключ. Да, похоже его действтельно придется выдавать новый полностью.. Большое спасибо за ответ.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
