| ||||
| ||||
| Здравствуйте, Хотелось узнать каким образом установить кросс-сертификаты, чтобы все работало. Ситуация такова: Есть три УЦ, скажем так УЦ1 УЦ2 и УЦ3. Между УЦ2 и УЦ3 есть кросс-сертификация. УЦ1 - это наш Удостоверяющий Центр. Необходимо сделать так, чтобы УЦ1 и УЦ3 взаимодействовали между собой (производился обмен CRL). Делаем так: - Производим кросс-сертификацию между УЦ1 и УЦ2 кросс, выданный для УЦ2 нашим УЦ (УЦ1). - Устанавливаем кросс, выданный нами, на наш УЦ в хранилище "Промежуточные центры сертификации" - Соответственно кросс, выданный для нас, на УЦ2 устанавливают у себя. Какой кросс необходимо установить на нашем УЦ (УЦ1) и на УЦ3, чтобы между УЦ1 и УЦ3 было доверие. PS Клиенты УЦ3 не имеют выход в Интернет. CRL от своего УЦ и от других они получают по внутренней виртуальной сети. | ||||
| Ответы: | ||||
| ||||
| Процесс выпуска и установки CRL никакого отношения к кросс-сертификации не имеет. Кросс-сертификат нужен для того, чтобы НЕ ставить (корневой) сертификат другого УЦ в "Доверенные корневые ЦС" на компьютерах, где используются клиентские сертификаты своего УЦ. Пример. УЦ1 - свой, УЦ2 - внешний. Клиенты УЦ1 доверяют сертификату УЦ1. Если нужно доверие к клиентским сертификатам, которые выпущены на УЦ2, то выпускаем на УЦ1 кросс-сертификат, ставим его в "Промежуточные ЦС" и получаем цепочку: клиентский сертификат УЦ2 -> кросс-сертификат, выданный на УЦ1 -> корневой сертификат УЦ1 При этом, обязательно наличие двух CRL - как УЦ1, так и УЦ2, т.к. только УЦ2 может издавать CRL для своих сертификатов. | ||||
Тельцов Масим Васильевич