Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,320   Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
|
Автор: GTAlex  Автор: Андрей *
что не факт? УЦ ФНС, как и другие - получают раз в 1.5 года новые сертификаты от МЦ, выше снимок.
вот я и не пойму срок в 1.5 года - откуда вообще взялся? это какой то стандарт или личное наблюдение? Стандарт, ограничения, в формуляре на СКЗИ + некоторые АУЦ явно в запросе указывали периоды.  Snimok ehkrana ot 2024-07-04 17-37-52.png (106kb) загружен 4 раз(а). |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,320 Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
|
пример, сертификат УЦ: АО "ПОЧТА РОССИИ" Snimok ehkrana ot 2024-07-04 17-39-40.png (106kb) загружен 6 раз(а). |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
|
Насколько я всё (не)правильно понимаю ... Есть ключевая пара, открытый ключ которой "обёрнут" в сертификат. Есть регулятор, который устанавливает, в том числе, предельные сроки действия ключей. Насколько я помню, предельный срок действия открытого ключа - пятнадцать лет. Предельный срок действия закрытого ключа зависти от хранилища:
- "Обычное" (флэшки, файловые системы, реестр, "всякое несертифицированное" и пассивные токены - пятнадцать месяцев;
- Сертифицированный токен с неизвлекаемым(?) ключом - три года;
- "Всякое специальное" - больше, но, наверное, вы замумукаетесь их "обустраивать".
Итого. Открытый ключ действует долго, чтобы был "долгосрочный корень доверия". Закрытый ключ действует меньше, немного или совсем мало "ибонефик" (разгильдяйство и некомпетентность). Категория "три года", практически, недоступна, т.к. нет общепринятого способа доказать, что конкретная подпись выполнена сертифицировнным устройстом. P.S. Если у минюста, таки, функционирует, раздел открытых данных, то там находится более-менее структурированная информация. Правда, без гарантий её актуальности.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2021(UTC) Сообщений: 171 Откуда: Нск Сказал(а) «Спасибо»: 66 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: Андрей * Snimok ehkrana ot 2024-07-04 17-35-56.png (27kb) загружен 3 раз(а). значит всё правильно - 5 сертификатов, соответственно 5 ключей ну и про ДатаВыдачиС тоже понял, спасибо!
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,320 Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
|
Автор: basid
P.S.
Если у минюста, таки, функционирует, раздел открытых данных, то там находится более-менее структурированная информация.
Правда, без гарантий её актуальности. там поиск интересный... вводишь ФИО и выдаёт все комбинации, каждого "слова". Всех с Фамилией, Всех с Именем Всех с Отчеством... красивое...  |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2021(UTC) Сообщений: 171 Откуда: Нск Сказал(а) «Спасибо»: 66 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: Андрей * Автор: basid
P.S.
Если у минюста, таки, функционирует, раздел открытых данных, то там находится более-менее структурированная информация.
Правда, без гарантий её актуальности. там поиск интересный... вводишь ФИО и выдаёт все комбинации, каждого "слова". Всех с Фамилией, Всех с Именем Всех с Отчеством... красивое... угу, я тоже сначала не понял почему при вводе одной фамилии ещё совершенно другой нотариус прицепился
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2021(UTC) Сообщений: 171 Откуда: Нск Сказал(а) «Спасибо»: 66 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: Андрей * пример, сертификат УЦ: АО "ПОЧТА РОССИИ" Snimok ehkrana ot 2024-07-04 17-39-40.png (106kb) загружен 6 раз(а). я так понимаю в XML информация по закрытому ключу парсится уже из поля ДанныеСертификатаю.Данные ? т.к. в явном виде там только ПериодДействияС и ПериодДействияПо самого сертификата Отредактировано пользователем 4 июля 2024 г. 17:38:00(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,320 Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
|
Автор: GTAlex Автор: Андрей * пример, сертификат УЦ: АО "ПОЧТА РОССИИ" Snimok ehkrana ot 2024-07-04 17-39-40.png (106kb) загружен 6 раз(а). я так понимаю в XML информация по закрытому ключу парсится уже из поля ДанныеСертификатаю.Данные ? т.к. в явном виде там только ПериодДействияС и ПериодДействияПо самого сертификата про эту утилиту писал ранее - она объединяет реестр и данные из сертификатов (период действия ЗК, сведения про СЭП\ПАК\). |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2021(UTC) Сообщений: 171 Откуда: Нск Сказал(а) «Спасибо»: 66 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: Андрей * Автор: GTAlex Автор: Андрей * пример, сертификат УЦ: АО "ПОЧТА РОССИИ" Snimok ehkrana ot 2024-07-04 17-39-40.png (106kb) загружен 6 раз(а). я так понимаю в XML информация по закрытому ключу парсится уже из поля ДанныеСертификатаю.Данные ? т.к. в явном виде там только ПериодДействияС и ПериодДействияПо самого сертификата про эту утилиту писал ранее - она объединяет реестр и данные из сертификатов (период действия ЗК, сведения про СЭП\ПАК\). да, я видел - хорошая прога, но мне не подходит она парсинг на сервере должен выполняться, но это уже "дело техники", так то вроде всё выяснили по сути мой вопрос решен, спасибо!
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2021(UTC) Сообщений: 171 Откуда: Нск Сказал(а) «Спасибо»: 66 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: Андрей * Как пример-черновик: Код:$certBase64 = $cert->Export(0);
echo ', "Certificate": '. json_encode($certBase64);
$certPEM = "-----BEGIN CERTIFICATE-----\n" . $certBase64 . "\n" . "-----END CERTIFICATE-----\n";
$res = openssl_x509_read($certPEM);
if ($res)
{
$CertData = openssl_x509_parse($res);
$AKI= substr(str_replace(":", "", str_replace("keyid:", "", $CertData['extensions']['authorityKeyIdentifier'])) , 0, 40) ;
например - простой текстовый справочник (кому будем доверять или таблица + поле, что этот УЦ для нотариусов или свой вариант... )
function isQualifiedCA($AKI) -- по ИдКлюча УЦ из сертификата подписанта - проверяем, а АУЦ ли это? Либо до корневого - если строится цепочка(не забыть проверять, что в root хранилище пишут... )
{
try
{
$file_content = file_get_contents('/var/www/html/trustca.txt');
$content_before_string = strstr($file_content, $AKI, true);
if (false !== $content_before_string) {
$line = count(explode(PHP_EOL, $content_before_string));
if ($line>0) return true;
}
}
catch(Exception $e) {
}
return false;
}
Андрей, подскажите, а $cert - это что за объект? как создать из отсоединённой подписи? я так понимаю $signersObj = $CPSignedData->get_Signers(); $signerObj = $signersObj->get_Item(1); $cert = $signerObj->get_Certificate(); Отредактировано пользователем 5 июля 2024 г. 6:51:14(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
