Статус: Участник
Группы: Участники
Зарегистрирован: 25.12.2009(UTC)
Сообщений: 18
Откуда: Moscow
|
В законе об ЭЦП говорится, что можно выдавать сертификаты ключей подписи на псевдоним: "Сертификат ключа подписи должен содержать следующие сведения: Фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца. В случае использования псевдонима удостоверяющим центром вносится запись об этом в сертификат ключа подписи; Псевдоним владельца сертификата ключа подписи – вымышленное имя физического лица, которое он сознательно и легально принимает для регистрации в Удостоверяющем центре." Вопросы следующие: 1. Может ли быть пседонимом просто номер клиента, скажем, CN=12345? 2. Как внести запись в сертификат, что это псевдоним, достаточно ли будет следующей записи в CN=12345(псевдоним)? Или нужно указывать некий OID в расширениях сертификата? 3. По сути, подобные сертификаты являются анонимными, насколько это согласуется с законом об ЭЦП, может быть у вас есть соответствующий опыт, как организуется подобная практика работы с такими сертификатами? Отредактировано пользователем 1 мая 2010 г. 0:25:02(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
1. Псевдонимом может быть и номер клиента.
2. Законом об ЭЦП не регламентируется способ занесения записи в сертификат, что это псевдоним. Т.к. информационная система, в которой используется сертификат, является корпоративной, то способ определяется решением владельца системы или соглашением участников системы. Технически, достаточно будет следующей записи в CN=12345(псевдоним). Указывать некий OID в расширениях сертификата - далеко не лучший способ с технической точки зрения. На практике в CN просто заносят либо ФИО либо псевдоним. Занесение в CN значения 12345 явно указывает, что это псевдоним, т.к. на ФИО точно не похоже. Поэтому достаточно будет следующей записи в CN=12345.
3. Нормально согласуется. Но как правило, псевдонимы используют для двух типов сертификатов: для сертификатов уполномоченных лиц УЦ и для сертификатов серверных компонент системы. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
RFC 3039:
1. Of these attributes, the subject field SHALL include at least one of
the following:
Choice I: commonName
Choice II: givenName
Choice III: pseudonym
2. The pseudonym attribute type SHALL, if present, contain a pseudonym
of the subject. Use of the pseudonym attribute MUST NOT be combined
with use of any of the attributes surname and/or givenName.
3. id-at-pseudonym AttributeType ::= { id-at 65 }
Pseudonym ::= DirectoryString
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.12.2009(UTC)
Сообщений: 18
Откуда: Moscow
|
1. Да, получается, что по стандарту нужно всетаки вместо CN=12345 писать в Subject Pseudonym=12345. Но в УЦ вроде бы такой возможности нет, судя по вот этому обсуждению http://www.cryptopro.ru/CryptoPro/forum/view.asp?q=1921? Или можно добавить в настройках такое поле? Или остается только программный способ формирования Pseudonym в Subject? 2. Если псевдонимом может быть в общем-то что угодно, никаких вроде бы ограничений на псевдоним нет, то получается следующая ситуация: можно завести пользователя с CN=ПользовательУЦ (или Pseudonym=ПользовательУЦ), а далее всем клиентам выпускать сертификаты от имени этого пользователя. Серийные номера у всех сертификатов будут разные, в договоре с клиентом будет прописан конкретный уникальный серийный номер, но при этом все эти пользователи будут висеть на одной единственной лицензии пользователя. Т.е. можно сделать CN константным и экономить лицензии? Отредактировано пользователем 4 мая 2010 г. 17:33:52(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Администратор
Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 350
Откуда: ООО "КРИПТО-ПРО"
Поблагодарили: 6 раз в 5 постах
|
В УЦ версии 1.5 поддерживается отдельное поле DN для задания псевдонима владельца сертификата - 2.5.4.65.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.12.2009(UTC)
Сообщений: 18
Откуда: Moscow
|
Василий Дементьев написал:В УЦ версии 1.5 поддерживается отдельное поле DN для задания псевдонима владельца сертификата - 2.5.4.65. Хорошо. Будем, наверное, апгрейдиться, если решим использовать псевдонимы. А что по второму вопросу?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
по второму вопросу - а попробуйте :) и если несложно, расскажите о впечатлениях по управлению пользователями и сертификатами такого УЦ, а также о встраивании сертификатов этого УЦ в какую-нибудь ИС. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
