| 24.09.2007 20:19:28 | Как связаны root- и my-сертификаты? | | Ответов: 5 |
|
 Геннадий | | |
|
| Как связаны root- и my-сертификаты? По какому атрибуту? |
| |
Ответы:
|
|
| Если под "my"-сертификатами подразумеваются сертификаты конечного пользователя, а под "root" - издающих УЦ, то связь между ними следующая: в пользовательском есть поле "Идентификатор ключа центра сертификатов", содержащее набор байт, и в сертификате издающего УЦ этот же набор байт присутствует в поле "Идентификатор ключа субъекта". Именно по этим идентификаторам строится вся цепочка сертификации. |
|
| 25.09.2007 11:15:29 | Kirill Sobolev |
|
Идентификатор - это просто один из признаков, по которому строится цепочка. Его вообще может не быть.
Геннадий, у вас путаница в терминологии. Root и MY - это названия хранилищ в Windows. В MY лежат личные сертификаты пользователя, имеющие ссылку на секретный ключ. В Root - сертификаты корневых ЦС, которым пользователь доверяет. Соответственно, необязательно для каждого сертификата из Root есть соответствующий сертификат из My и наоборот.
Для построения цепочки должны обязательно выполняться следующие условия - поле Issuer в сертификате пользователя должно совпадать с полем Subject сертификата ЦС и подпись сертификата пользователя должна проверяться ОК из сертификата издателя. |
|
| 25.09.2007 15:58:47 | Геннадий |
|
Morda и Кирилл, спасибо.
В my-сертификате есть
Subject Key Identifier
Authority Key Identifier
Я так понимаю, это Идентификатор ключа подписи и Идентификатор корневого ключа подписи юрисдикции соответственно, или я ошибаюсь? |
|
| 25.09.2007 16:21:08 | Kirill Sobolev |
|
Subject Key Identifier - это идентификатор ОК, который в этом сертификате содержится. Authority Key Identifier - это идентификатор ОК центра, который этот сертификат выдал (он необязательно корневой, может быть и подчиненный в цепочке).
Насколько это соотносится с Вашими определениями - Вам виднее :) |
|
| 25.09.2007 19:19:25 | Геннадий |
|
| Здорово. Спасибо. |
|
