Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
OCSP Proxy
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline smie  
#1 Оставлено : 22 декабря 2015 г. 14:26:00(UTC)
smie

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.05.2015(UTC)
Сообщений: 9
Добрый день,

Для подписания в браузере мы используем "КриптоПро ЭЦП Browser plug-in".
Пробовали включить проверку сертификатов на OCSP серверах УЦ которые выдали сертификаты, но клиенты начали жаловаться.
Как оказалось, у большинства, на основании политик безопасности OCSP сервера просто не доступны.

Так как наш адрес у всех добавлен в разрешенные, есть предложение написать свой OCSP Proxy.
Его задачей будет: получить от клиента его сертификат в base64; определить адрес OCSP сервера; отправить на этот адрес запрос с проверкой сертификата.

Скажите пожалуйста, есть ли возможность в JCP на основании контента сертификата реализовать проверку на OCSP сервере?
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Евгений Афанасьев  
#2 Оставлено : 22 декабря 2015 г. 15:17:24(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 4,003
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 714 раз в 674 постах
Здравствуйте.
Да, реализовать отправку запроса и обработку ответа можно.
Тех. поддержка
База знаний
Логирование JCP
Логирование JTLS
Тест JCP и сбор диаг. информации
Скачать JCP, JCSP и JTLS
Скачать Android CSP + SDK
Вверх
Offline smie  
#3 Оставлено : 22 декабря 2015 г. 16:36:31(UTC)
smie

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.05.2015(UTC)
Сообщений: 9
Автор: afev Перейти к цитате
Здравствуйте.
Да, реализовать отправку запроса и обработку ответа можно.


Скажите пожалуйста, есть ли пример реализации в samples-sources.jar. Если есть, то в каком пакете/классе?
Возможно OCSPValidateCert?
Вверх
Offline Евгений Афанасьев  
#4 Оставлено : 22 декабря 2015 г. 18:53:28(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 4,003
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 714 раз в 674 постах
Да, можно, например, с помощью OCSPValidateCert, или, используя bouncycastle (OCSPReqBuilder, CertificateID и т.д.) или классы из ASN1P (пакет ru.CryptoPro.JCP.ASN.PKIXOCSP), собрать свой OCSP запрос и отправить, используя, например, HttpURLConnection (с Content-Type=application/ocsp-request), получить ответ, декодировать и обработать его (например, с помощью OCSPResp, BasicOCSPResp из bouncycastle). Примера для последнего случая нет.
Тех. поддержка
База знаний
Логирование JCP
Логирование JTLS
Тест JCP и сбор диаг. информации
Скачать JCP, JCSP и JTLS
Скачать Android CSP + SDK
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET