Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline cipher  
#1 Оставлено : 26 июня 2009 г. 19:27:09(UTC)
cipher

Статус: Участник

Группы: Участники
Зарегистрирован: 26.05.2009(UTC)
Сообщений: 28

Здравтсвуйте!

Скажите пожалуйста... как происходит проверка сертификата по СОС?

Рассмотрим случай... в проверяемом сертификате есть точка доступа к СОС, хранящегося удаленно в централизованном хранилище.

Я правильно понимаю... при проверки сертификата происходит обращение по указанной точке доступа к СОС и он закачивается из хранилища и смотриться? Или же просмотр СОС осуществляется во время обращения к нему (если так, то что в этом случает возвращается и в каком виде)?

Заранее спасибо!
Offline Юрий Маслов  
#2 Оставлено : 26 июня 2009 г. 19:58:08(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Здравствуйте!

1. Сначала просматривается хранилище сертификатов (раздел "Промежуточные ЦС") той учетной записи, под которой прверяется сертификат, и ищется актуальный СОС. Если он находится, то на нем проверяется сертификат на отозванность.
2. Потом просматривается файловый кэш MS IE и ищется файл с актуальным СОС (расширения файлов *.crl). Если он находится, то на нем проверяется сертификат на отозванность.
3. Потом берутся точки распространения списка отозванных сертификатов (расширения CDP в сертификате, их может быть несколько) и начиная с первого осуществляется по 3 попытки скачать актуальный СОС с сервера. Если СОС доступен, то он скачивается, записывается в файловый кэш MS IE, устанавливается в хранилище сертификатов той учетной записи, под которой проверяется сертификат, и на нем проверяется сертификат на отозванность.

Что бы не было путаницы в терминах: хранилище сертификатов учетной записи, под которой проверяется сертификат - это часть системного реестра Windows рабочей станции или сервера, на котором проверяется сертификат на отозванность. Имеено так эта часть реестра назвается и официально используется в терминах платформы MS Windows. Так что Вы поосторожнее употребляйте "и он закачивается из хранилища " :-)
С уважением,
КРИПТО-ПРО
Offline cipher  
#3 Оставлено : 26 июня 2009 г. 20:18:30(UTC)
cipher

Статус: Участник

Группы: Участники
Зарегистрирован: 26.05.2009(UTC)
Сообщений: 28

Спасибо за ответ!

Хотел уточнить...

В качестве платформы у нас будет Solaris 10. Та схема, которую вы описали... она также применима и к Solaris? И возможно ли сразу при проверки сертификата переходить к 3 пункту (обращение по точке доступа к СОС)?

Заранее спасибо за ответ!
Offline Юрий Маслов  
#4 Оставлено : 30 июня 2009 г. 12:43:58(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Нет, описанная схема соответствует MS CryptoAPI на платформе Windows.
На платформе Solaris нет стандартизованного криптоинтерфейса подобного MS CryptoAPI. Поэтому нельзя говорить, что на платформе Solaris есть хоть какая-то схема работы с СОС. Всё зависит от конкретно реализации прикладного софта, работающего с сертификатам и СОС.
С уважением,
КРИПТО-ПРО
Offline Demonix  
#5 Оставлено : 2 июля 2009 г. 14:15:56(UTC)
Demonix

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Юрий, а подскажите, в случае, если в клиентском сертификате не указана cdp - схема проверки такая же?
Как будет проверяться сертификат в следующем случае:

Зашел пользователь с сертификатом с прописанной cdp, выданным на УЦ1.
1. СОС в хранилище сертификатов (раздел "Промежуточные ЦС") той учетной записи, под которой прверяется сертификат не оказалось.
2. В кэше IE его тоже не оказалось.
3. Взяли url cdp, скачали СОС (а также установили его в хранилище сертификатов), проверили клиентский сертификат. Все ОК.

Заходит второй пользователь с сертификатом, выданным на том же УЦ1, но на этот раз в сертификате не прописана cdp.
Вопрос - найдется ли нужный СОС?

У нас сервер второго клиента не пускает - выдает ошибку 403.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.