| ||||
| ||||
| Уважаемые господа. Имею следующий вопрос: Может ли сертификат содержать два ключа? | ||||
| Ответы: | ||||
| ||||
| Вообще говоря, ограничений на содержимое расширений сертификата нет. Можете туда класть что угодно, хоть 10 ключей. Но поле PUBLIC KEY сертификата - только одно, и лежать там может только один ключ. | ||||
| ||||
| Если не ошибаюсь, то закрытый ключ может иметь много сертификатов. Поправьте, если ошибаюсь | ||||
| ||||
| Нет, не ошибаетесь - это именно так. | ||||
| ||||
| Небольшое дополнение. Лучше (в первую очередь, с юридической точки зрения), чтобы на один закрытый ключ было выдано не более одного сертификата. И при использовании "КриптоПро УЦ" специально ведётся учёт открытых ключей из выданных сертификатов (и программно обеспечивается невозможность выпуска нового сертификата для того же значения открытого ключа). Почему лучше - могу пояснить на примере. Пусть у человека был сертификат ключа сроком до 24 сентября 2007 г. Допустим, человек запросил новый сертификат под тот же ключ и получил его сроком действия до 31 декабря 2007 г. Человек подписывает документ 1 октября 2007 г. Подпись под документом проверяем, скажем, 3 октября. Подпись верна, смотрим статус сертификата (нового) - всё ок. Принимаем документ к исполнению. А потом человек отказывается от подписи, мотивируя тем, что его сертификат истёк и про новый сертификат он ничего не знает. Возникает конфликтная ситуация, в лучшем случае (для организатора системы) в результате разбирательства (вплоть до суда) удастся доказать, что человек использовал новый сертификат, который был действителен на момент подписи. В худшем случае человек успешно оспорит подпись под документом с возможной выгодой для себя в результате отмены действий по документу. | ||||
Ярослав