Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Что происходит когда истекает/отзывают корневой сертификат?
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.03.2019(UTC) Сообщений: 79  Сказал(а) «Спасибо»: 4 раз
|
1) Дочерние сертификаты все нужно переустанавливать или достаточно установить новый корневой сертификат и подчиненные будут валидными?
2) Как подчиненный сертификат ссылается на родительский? Просто по имени, или храниться отпечаток родительского?
спасибо.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2017(UTC) Сообщений: 216   Откуда: Helsinki Сказал «Спасибо»: 2 раз
Поблагодарили: 171 раз в 51 постах
|
Автор: Alex_DotNETAlexAlex_DotNET112358  1) Дочерние сертификаты все нужно переустанавливать или достаточно установить новый корневой сертификат и подчиненные будут валидными?
2) Как подчиненный сертификат ссылается на родительский? Просто по имени, или храниться отпечаток родительского?
спасибо. 1. При истечении срока действия или отзыве подчиненного сертификата он не сможет выпустить списки отзыва сертификатов, что обеспечит недействительность всех клиентских, выпущенных им, а также не будет строиться цепочка доверия. Но, как правило, корневые сертификаты имеют больший срок действия, чем дочерние. Поэтому можно сказать, что истечение срока действия или отзыв подчиненного сертификата априори "аннулируют" и все клиентские. Тогда да, необходимо будет перевыпускать такие сертификаты. 2. Подчиненный сертификат присутствует в реестре сертификатов родительского так же, как клиентские - в реестре подчиненного (серийный номер, отпечаток и т.д.), т.е. подчиненный сертификат является клиентским родительского, а родительский для него корневым. |
D2/CB-4+BF2/A-DASH-4+BF2 |
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,839 Сказал «Спасибо»: 584 раз
Поблагодарили: 2319 раз в 1817 постах
|
Автор: Alex_DotNETAlexAlex_DotNET112358
2) Как подчиненный сертификат ссылается на родительский? Просто по имени, или храниться отпечаток родительского?
спасибо. Идентификатор ключа ЦС в изданном сертификате - это идентификатор ключа субъекта в сертификате УЦ и так далее по цепочке до корневого. Идентификатор ключа = это хеш от структуры с открытым ключом, чтобы можно было среди множества сертификатов УЦ с одинаковым CN, найти нужный и проверить подпись в клиентском по нужному открытому ключу (из сертификата УЦ) Старый механизм: попытка построить цепочку по имени издателя. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.03.2019(UTC) Сообщений: 79 Сказал(а) «Спасибо»: 4 раз
|
могут ли у разных корневых сертификатов идентификаторы ключа субъекта быть одинаковыми?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.03.2019(UTC) Сообщений: 79 Сказал(а) «Спасибо»: 4 раз
|
 Bezymjannyjj.png (58kb) загружен 16 раз(а).Например в примере на скриншоте разные корневые сертификаты имеют одинаковые ключи субьектов. Какой корневой сертификат в данном случае будет использоваться? Отредактировано пользователем 26 ноября 2019 г. 16:07:33(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,839 Сказал «Спасибо»: 584 раз
Поблагодарили: 2319 раз в 1817 постах
|
Автор: Alex_DotNETAlexAlex_DotNET112358 Bezymjannyjj.png (58kb) загружен 16 раз(а).Например в примере на скриншоте разные корневые сертификаты имеют одинаковые ключи субьектов. Какой корневой сертификат в данном случае будет использоваться? Значит у них одинаковый открытый ключ, который нужен для проверки подписи в изданном. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,839 Сказал «Спасибо»: 584 раз
Поблагодарили: 2319 раз в 1817 постах
|
Вопрос в чём?
Правильно ли функция CryptoAPI выберет сертификат из этих 2х? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.03.2019(UTC) Сообщений: 79 Сказал(а) «Спасибо»: 4 раз
|
Автор: Андрей Писарев Вопрос в чём?
Правильно ли функция CryptoAPI выберет сертификат из этих 2х? Да, и какой она выберет? какая логика выбора при одинаковых ключах субъектов?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,839 Сказал «Спасибо»: 584 раз
Поблагодарили: 2319 раз в 1817 постах
|
Автор: Alex_DotNETAlexAlex_DotNET112358 Автор: Андрей Писарев Вопрос в чём?
Правильно ли функция CryptoAPI выберет сертификат из этих 2х? Да, и какой она выберет? какая логика выбора при одинаковых ключах субъектов? Проверьте. Думаю остановится на первом при перечислении, а с какой он датой будет - неизвестно. т.е. если выберет истекший - будет ошибка... p.s. истёкшие сертификаты => удалять с ГОСТ - для квалифицированных сертификатов не разрешено выдавать на том же ключе новый сертификат. (хотя что мешает получить в другом УЦ? Но это другая тема) |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.03.2019(UTC) Сообщений: 79 Сказал(а) «Спасибо»: 4 раз
|
Автор: Андрей Писарев Автор: Alex_DotNETAlexAlex_DotNET112358 Автор: Андрей Писарев Вопрос в чём?
Правильно ли функция CryptoAPI выберет сертификат из этих 2х? Да, и какой она выберет? какая логика выбора при одинаковых ключах субъектов? Проверьте. Думаю остановится на первом при перечислении, а с какой он датой будет - неизвестно. т.е. если выберет истекший - будет ошибка... p.s. истёкшие сертификаты => удалять с ГОСТ - для квалифицированных сертификатов не разрешено выдавать на том же ключе новый сертификат. (хотя что мешает получить в другом УЦ? Но это другая тема) понял, спасибо вопрос снят
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Что происходит когда истекает/отзывают корневой сертификат?
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
