Статус: Новичок
Группы: Участники
Зарегистрирован: 09.09.2024(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 1 раз
|
Добрый день. Имеется локальный компьютер пользователя и на нем наша Web страничка, страничка шлет запросы к нашему серверу, сервер для выполнения некоторых запросов обращается к внешней системе. Авторизация во внешней системе возможна с использованием сертификата X509Certificate. Разные пользователи имеют разные сертификаты. Сертификат установлен на локальном компьютере. Может ли КриптоПро plugin считать локальный сертификат в массив байт, чтобы наша Web страничка через js считала этот массив байт, отослала на наш сервер, а наш сервер использовал этот сериализованный сертификат для общения с внешней системой?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,322 Сказал «Спасибо»: 549 раз Поблагодарили: 2208 раз в 1723 постах
|
Здравствуйте. Да, есть возможность, у сертификата есть Export Тестовая страница - вывод списка сертификатов. |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,322 Сказал «Спасибо»: 549 раз Поблагодарили: 2208 раз в 1723 постах
|
Автор: 17dufa Авторизация во внешней системе возможна с использованием сертификата X509Certificate. Здесь речь про двусторонний TLS? Или вход по сертификату - подписание токена? |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.09.2024(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 1 раз
|
Автор: Андрей * Здравствуйте. Да, есть возможность, у сертификата есть Export Это из интерфейса COM. Что-то подобное у браузерного plugin есть? Отредактировано пользователем 10 сентября 2024 г. 9:44:53(UTC)
| Причина: Не указана
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.09.2024(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 1 раз
|
Автор: Андрей * Здесь речь про двусторонний TLS? Или вход по сертификату - подписание токена?
Там через сертификат надо расшифровать токен Внешняя система предоставляет java-библиотеку, которая инкапсулирует все эти операции с получением и расшифровкой токена, в ней есть метод Authenticate(X509Certificate cert); X509Certificate можно в частности получить из массива байт, осталось только на клиенте в js коде этот массив байт получить, в hidden поле запихать и на сервер передать. Отредактировано пользователем 10 сентября 2024 г. 9:43:48(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,322 Сказал «Спасибо»: 549 раз Поблагодарили: 2208 раз в 1723 постах
|
Автор: 17dufa Автор: Андрей * Здравствуйте. Да, есть возможность, у сертификата есть Export Это из интерфейса COM. Что-то подобное у браузерного plugin есть? Это не COM интерфейс, а аналогичный ему. На тестовой смотреть - читаются сертификаты, в цикле можно вызвать у необходимого .Export |
|
1 пользователь поблагодарил Андрей * за этот пост.
|
17dufa оставлено 10.09.2024(UTC)
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,322 Сказал «Спасибо»: 549 раз Поблагодарили: 2208 раз в 1723 постах
|
Автор: 17dufa Автор: Андрей * Здесь речь про двусторонний TLS? Или вход по сертификату - подписание токена?
Там через сертификат надо расшифровать токен Внешняя система предоставляет java-библиотеку, которая инкапсулирует все эти операции с получением и расшифровкой токена, в ней есть метод Authenticate(X509Certificate cert); X509Certificate можно в частности получить из массива байт, осталось только на клиенте в js коде этот массив байт получить, в hidden поле запихать и на сервер передать. Так сертификат клиентский и контейнер с ключом на стороне клиента. Невозможно будет расшифровать ничего на стороне сервера. Расшифровывать необходимо в браузере, через плагин. Пример зашифрованных данных есть? Там CMS Enveloped? |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.09.2024(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 1 раз
|
Автор: Андрей * Так сертификат клиентский и контейнер с ключом на стороне клиента. Невозможно будет расшифровать ничего на стороне сервера. Расшифровывать необходимо в браузере, через плагин.
Пример зашифрованных данных есть? Там CMS Enveloped?
Пока план в том, чтобы браузер через плагин выгрузил сертификат в массив байт и передал его на наш сервер. Наш сервер восстанавливает сертификат из массива байт и с его использованием стучится во внешнюю систему. В рассуждениях где-то дыра? Примера пока нет
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,322 Сказал «Спасибо»: 549 раз Поблагодарили: 2208 раз в 1723 постах
|
Автор: 17dufa Автор: Андрей * Так сертификат клиентский и контейнер с ключом на стороне клиента. Невозможно будет расшифровать ничего на стороне сервера. Расшифровывать необходимо в браузере, через плагин.
Пример зашифрованных данных есть? Там CMS Enveloped?
Пока план в том, чтобы браузер через плагин выгрузил сертификат в массив байт и передал его на наш сервер. Наш сервер восстанавливает сертификат из массива байт и с его использованием стучится во внешнюю систему. В рассуждениях где-то дыра? Примера пока нет расшифровать можно имея "на руках" закрытый ключ, сертификат служит не для этого. На сторону клиента передавать зашифрованные данные (скрытое поле, base64) и расшифровывать через плагин. |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,322 Сказал «Спасибо»: 549 раз Поблагодарили: 2208 раз в 1723 постах
|
роль сертификата при расшифровании: из структуры cms берутся УЦ и серийный номер - находится сертификат в хранилище и по связи с контейнером - получается доступ к закрытому ключу для расшифрования, всё это скрыто внутри, снаружи простое API. |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close