Статус: Участник
Группы: Участники
Зарегистрирован: 14.08.2013(UTC) Сообщений: 11   Откуда: Одесса Сказал «Спасибо»: 1 раз
|
Здравствуйте!
Существует ли какой-либо SOAP-интерфейс, который бы позволял создать сертификат на основе открытого ключа и имени DN, но не требующий подписи владельца ключа?
Насколько я могу судить по руководству программиста все запросы на создание сертификата так или иначе заканчиваются отсылкой PKCS#10, которая, естественно,
содержит подпись владельца ключа.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671  Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
|
Автор: Жнец  Здравствуйте!
Существует ли какой-либо SOAP-интерфейс, который бы позволял создать сертификат на основе открытого ключа и имени DN, но не требующий подписи владельца ключа?
Насколько я могу судить по руководству программиста все запросы на создание сертификата так или иначе заканчиваются отсылкой PKCS#10, которая, естественно,
содержит подпись владельца ключа.
Аббревиатура "УЦ" расшифровывается как "удостоверяющий центр". То есть выдав сертификат тем самым этот УЦ заверяет, что данный ключ принадлежит данному пользователю. Хоть как-то удостоверится в этом помогает подпись запроса на сертификат, сделанная на закрытом ключе пользователя. Если же эту подпись убрать то в принципе сертификат сделать можно (технически), но в этом случае теряется функция хоть какой-то "достоверности". |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 14.08.2013(UTC) Сообщений: 11 Откуда: Одесса Сказал «Спасибо»: 1 раз
|
А если у меня есть сертификат открытого ключа пользователя выданного другим УЦ? Сертификат содержит только открытый ключ и имя DN, но подписи владельца ключа там нет. Получается, что сертификаты открытых ключей лишены "достоверности"?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,718 Сказал «Спасибо»: 500 раз
Поблагодарили: 2053 раз в 1593 постах
|
Автор: Жнец А если у меня есть сертификат открытого ключа пользователя выданного другим УЦ? Сертификат содержит только открытый ключ и имя DN, но подписи владельца ключа там нет. Получается, что сертификаты открытых ключей лишены "достоверности"? Здесь уже УЦ обеспечивает достоверность информации, проверив документы, корректность запроса на сертификат (подпись в pkcs10) и выпустив сертификат открытого ключа. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 14.08.2013(UTC) Сообщений: 11 Откуда: Одесса Сказал «Спасибо»: 1 раз
|
Автор: Андрей * Здесь уже УЦ обеспечивает достоверность информации,
проверив документы, корректность запроса на сертификат (подпись в pkcs10) и выпустив сертификат открытого ключа. Т.е. я не могу импортировать сертификат, выданный другим УЦ в Крипто-Про УЦ не потому, что это не достоверно, а по какой-то другой причине?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,718 Сказал «Спасибо»: 500 раз
Поблагодарили: 2053 раз в 1593 постах
|
Автор: Жнец Автор: Андрей * Здесь уже УЦ обеспечивает достоверность информации,
проверив документы, корректность запроса на сертификат (подпись в pkcs10) и выпустив сертификат открытого ключа. Т.е. я не могу импортировать сертификат, выданный другим УЦ в Крипто-Про УЦ не потому, что это не достоверно, а по какой-то другой причине? Попробуйте описать более подробно: Цитата:
1. что есть
2. что нужно
3. что делали
3. что не получилось
Мы пока все с нетерпением ждем осенний выпуск экстрасенсов,
а старый состав весь в отпусках.
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
|
Автор: Жнец Автор: Андрей * Здесь уже УЦ обеспечивает достоверность информации,
проверив документы, корректность запроса на сертификат (подпись в pkcs10) и выпустив сертификат открытого ключа. Т.е. я не могу импортировать сертификат, выданный другим УЦ в Крипто-Про УЦ не потому, что это не достоверно, а по какой-то другой причине? Тут человек хочет интересного: получить сертификат в УЦ2 на основе сертификата выданного в УЦ1. Это на самом деле интересная возможность, но вот только бесполезная. Уже очень давно используется несколько иной механизм: установление "доверия" между двумя и более УЦ, реализуемый с помощью кросс-сертификации. А насчет "по какой-то другой причине": да, такая причина тоже есть и называется она "регламент УЦ" по которому сертификаты могут выдаваться только на основании запроса на сертификат и ещё кучи других сопутствующих факторов. |
С уважением,
Юрий Строжевский |
 1 пользователь поблагодарил Юрий за этот пост.
|
Жнец оставлено 20.08.2013(UTC)
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,718 Сказал «Спасибо»: 500 раз
Поблагодарили: 2053 раз в 1593 постах
|
Автор: Юрий
Тут человек хочет интересного: получить сертификат в УЦ2 на основе сертификата выданного в УЦ1. Это на самом деле интересная возможность, но вот только бесполезная. Пример: пилотный проект - тестовый УЦ (1), пром. эксплуатация - аккредитованный УЦ (2). У себя я реализовал так: Пользователь выбирает сертификат УЦ1 и на основании данных генерируется новый запрос (+ с возможной корректировкой информации) к УЦ2, выпускается сертификат от УЦ2. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 14.08.2013(UTC) Сообщений: 11 Откуда: Одесса Сказал «Спасибо»: 1 раз
|
Цитата:
1. что есть
2. что нужно
3. что делали
3. что не получилось
1. Есть 25000 сертификатов, выданных другим УЦ (не КриптоПро). Есть возможность создать PKCS#7. Чего нет - это закрытых ключей пользователей. 2. Нужно импортировать эти сертификаты в КриптоПро УЦ. 3. Читал документацию. 4. Не получилось найти в документации способ достижения 2.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.03.2012(UTC)
Сообщений: 177
Сказал(а) «Спасибо»: 57 раз
Поблагодарили: 11 раз в 8 постах
|
Автор: Жнец Цитата:
1. что есть
2. что нужно
3. что делали
3. что не получилось
1. Есть 25000 сертификатов, выданных другим УЦ (не КриптоПро). Есть возможность создать PKCS#7. Чего нет - это закрытых ключей пользователей. 2. Нужно импортировать эти сертификаты в КриптоПро УЦ. 3. Читал документацию. 4. Не получилось найти в документации способ достижения 2. У вас кеон? или продукт российский? запросы на сертификат экспортируются с другого УЦ? цсп какой использовался для генерации ключевых пар? Отредактировано пользователем 15 августа 2013 г. 11:30:00(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
