Получить список корневых сертификатов УЦ

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Получить список корневых сертификатов УЦ - Как получить, минуя установку TLS соединения?

Опции

Предыдущая тема Следующая тема

Анатолий Широков		#1 Оставлено : 26 мая 2025 г. 17:48:35(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 22.01.2019(UTC) Сообщений: 19 Откуда: Санкт-Петербург Сказал «Спасибо»: 6 раз		Добрый день! Мне для инструментария необходимо переодически скачивать корневые сертификаты КриптоПро УЦ 2.0. Можно ли, не устанавливая КриптоПро CSP/JCP/JCSP, скачать актуальные корневые сертификаты КриптоПро УЦ 2.0 через какую-то публичную ссылку? Например, чтобы это сделать сейчас я должен установить TLS соединение с предоставлением клиентского сертификата и скачать PKCS#7 хранилище через https://my-cryptopro-ca-2.0/ui/api/cacertificate А можно ли настроить публичную точку распространения подобного списка корневых сертификатов, минуя TLS? Заранее спасибо!


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Захар Тихонов		#2 Оставлено : 26 мая 2025 г. 17:53:29(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,314 Откуда: Калининград Сказал «Спасибо»: 40 раз Поблагодарили: 585 раз в 562 постах		Здравствуйте. Обычно на нормальных УЦ: по умолчанию в каждом выпущенном сертификате имеется ссылка на сертификат издателя (т.е. каким подписан сертификат), там ссылка по http. Для примера можете выпустить на нашем тестовом УЦ http://testca2012.cryptopro.ru/ui/ и убедиться что там имеются ссылка по http (без TLS).
		Техническую поддержку оказываем тут. Наша база знаний.

1 пользователь поблагодарил Захар Тихонов за этот пост.		Анатолий Широков оставлено 26.05.2025(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Анатолий Широков		#3 Оставлено : 26 мая 2025 г. 18:36:27(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 22.01.2019(UTC) Сообщений: 19 Откуда: Санкт-Петербург Сказал «Спасибо»: 6 раз		Автор: Захар Тихонов Здравствуйте. Обычно на нормальных УЦ: по умолчанию в каждом выпущенном сертификате имеется ссылка на сертификат издателя (т.е. каким подписан сертификат), там ссылка по http. Для примера можете выпустить на нашем тестовом УЦ http://testca2012.cryptopro.ru/ui/ и убедиться что там имеются ссылка по http (без TLS). Спасибо большое за ответ! Да, у нас есть возможность получить сертификат издателя из сертификата по http. Но вопрос стоял шире: существует ли публичная точка распространения всех актуальных корневых сертификатов, как если бы я ее получал через https://my-cryptopro-ca-2.0/ui/api/cacertificate, но без установки TLS и необходимости устанавливать КриптоПро CSP/JCP/JCSP?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#4 Оставлено : 26 мая 2025 г. 18:41:50(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,726 Сказал «Спасибо»: 574 раз Поблагодарили: 2303 раз в 1804 постах		Автор: Анатолий Широков Автор: Захар Тихонов Здравствуйте. Обычно на нормальных УЦ: по умолчанию в каждом выпущенном сертификате имеется ссылка на сертификат издателя (т.е. каким подписан сертификат), там ссылка по http. Для примера можете выпустить на нашем тестовом УЦ http://testca2012.cryptopro.ru/ui/ и убедиться что там имеются ссылка по http (без TLS). Спасибо большое за ответ! Да, у нас есть возможность получить сертификат издателя из сертификата по http. Но вопрос стоял шире: существует ли публичная точка распространения всех актуальных корневых сертификатов, как если бы я ее получал через https://my-cryptopro-ca-2.0/ui/api/cacertificate, но без установки TLS и необходимости устанавливать КриптоПро CSP/JCP/JCSP? Так сделайте сами p7b с необходимыми корневыми, опубликуйте на любом своем веб сервере, без требования mTLS, пропишите URL в настройки для получения и скачивайте. Пока сами не сделаете - публичная точка для ваших корневых не появится.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Анатолий Широков		#5 Оставлено : 27 мая 2025 г. 13:15:15(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 22.01.2019(UTC) Сообщений: 19 Откуда: Санкт-Петербург Сказал «Спасибо»: 6 раз		Автор: Андрей * Пока сами не сделаете - публичная точка для ваших корневых не появится. Я надеялся как раз, что в КриптоПро УЦ 2.0 уже есть такая точка распространения корневых сертификатов не требующая аутентификации. В противном случае мы умножаем энтропию путем создания где-то еще клона хранилища корневых сертификатов и должны ее не забыть обновить при выпуске нового. Должна быть одна точка истины, и по идее, для целей получения корневых сертификатов она должна быть публичная.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#6 Оставлено : 27 мая 2025 г. 13:30:16(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,726 Сказал «Спасибо»: 574 раз Поблагодарили: 2303 раз в 1804 постах		Автор: Анатолий Широков Автор: Андрей * Пока сами не сделаете - публичная точка для ваших корневых не появится. Я надеялся как раз, что в КриптоПро УЦ 2.0 уже есть такая точка распространения корневых сертификатов не требующая аутентификации. В противном случае мы умножаем энтропию путем создания где-то еще клона хранилища корневых сертификатов и должны ее не забыть обновить при выпуске нового. Должна быть одна точка истины, и по идее, для целей получения корневых сертификатов она должна быть публичная. ответ был тут.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Захар Тихонов		#7 Оставлено : 27 мая 2025 г. 13:33:18(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,314 Откуда: Калининград Сказал «Спасибо»: 40 раз Поблагодарили: 585 раз в 562 постах		Автор: Анатолий Широков Автор: Андрей * Пока сами не сделаете - публичная точка для ваших корневых не появится. Я надеялся как раз, что в КриптоПро УЦ 2.0 уже есть такая точка распространения корневых сертификатов не требующая аутентификации. В противном случае мы умножаем энтропию путем создания где-то еще клона хранилища корневых сертификатов и должны ее не забыть обновить при выпуске нового. Должна быть одна точка истины, и по идее, для целей получения корневых сертификатов она должна быть публичная. 1. УЦ нельзя, согласно сертификации ПО, публиковать в сеть общего доступа (в сеть интернет). Если даже и убрать требование одностороннего TLS у данного метода - он для пользователей все равно недоступен. 2. Если по другому, то корневой сертификат должен быть получен из надежных источников - например пользователь приходит в УЦ и получает его на флешке, потом устанавливает его на свой ПК. Или в сети организации (которая не имеет выхода в интернет) загружать его с использованием одностороннего TLS. На практике: администраторы УЦ публикуют сертификаты ЦС и CRL на выделенном сервере, например, на своем сайте. В каком виде будет публикация - решать им, т.е. делать p7b новый после каждой смены ключа ЦС - выглядит не самой сложной задачей (ключ ЦС меняется минимум, в обычном использовании, раз в 15 месяцев). Отредактировано пользователем 27 мая 2025 г. 13:34:28(UTC) \| Причина: Не указана
		Техническую поддержку оказываем тут. Наша база знаний.

1 пользователь поблагодарил Захар Тихонов за этот пост.		Анатолий Широков оставлено 27.05.2025(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close