Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы12>
Дополнительные атрибуты в сертификате
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline xlink  
#1 Оставлено : 13 октября 2010 г. 23:07:58(UTC)
xlink

Статус: Участник

Группы: Участники
Зарегистрирован: 13.10.2010(UTC)
Сообщений: 14
Откуда: Москва
Добрый день!

Подскажите пожалуйста, возможно тема уже поднималась - на форуме не нашел.

Есть сертификат пользователя х.509, используемый для проверки ЭЦП (т.е. содержащий открытый ключ). Требуется чтобы он содержал некоторую дополнительную информацию о пользователе, которую при необходимости можно было бы из него извлечь. Вроде формат x.509 позволяет это сделать. Возможно ли это и нет ли примера?

Заранее спасибо.
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Iva  
#2 Оставлено : 18 октября 2010 г. 18:12:43(UTC)
Iva

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.10.2008(UTC)
Сообщений: 181
Информация о пользователе в сертификате подписывается ключом центра, поэтому потребуется перевыпуск сертификата.
Вверх
Offline xlink  
#3 Оставлено : 20 октября 2010 г. 17:09:10(UTC)
xlink

Статус: Участник

Группы: Участники
Зарегистрирован: 13.10.2010(UTC)
Сообщений: 14
Откуда: Москва
Это понятно. Я и есть УЦ. Я хочу задавать дополнительные атрибуты в сертификат, связанные с пользователем, чтобы затем их можно было использовать третьей стороной, которая имеет сертификат пользователя. Вопрос в том, есть ли в сертификате поля, кроме стандартных (DN, O, C и т.д.), куда можно было бы положить эти данные, и как их оттуда вытащить?
Вверх
Offline xlink  
#4 Оставлено : 20 октября 2010 г. 17:09:44(UTC)
xlink

Статус: Участник

Группы: Участники
Зарегистрирован: 13.10.2010(UTC)
Сообщений: 14
Откуда: Москва
Уточняю: данные - простые строки

Например, при заказе сертификата в УЦ через веб-морду на форме "Advanced certificate request" (Раширенный запрос сертификата) внизу есть поле, названное "Attributes" (Атрибуты). Я задаю туда данные. Можно ли извлечь их оттуда? Как?

Отредактировано пользователем 20 октября 2010 г. 17:38:37(UTC)  | Причина: Не указана
Вверх
Offline Iva  
#5 Оставлено : 20 октября 2010 г. 17:44:34(UTC)
Iva

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.10.2008(UTC)
Сообщений: 181
Не понял какая связь с КриптоПро JCP.
Задайте вопрос в разделе УЦ, они сюда не заглядывают.
Вверх
Offline xlink  
#6 Оставлено : 20 октября 2010 г. 18:04:09(UTC)
xlink

Статус: Участник

Группы: Участники
Зарегистрирован: 13.10.2010(UTC)
Сообщений: 14
Откуда: Москва
Какая связь? Мне надо выдернуть эти атрибуты из сертификата, используя JCP
Вверх
Offline Iva  
#7 Оставлено : 20 октября 2010 г. 19:24:46(UTC)
Iva

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.10.2008(UTC)
Сообщений: 181
Так и не понял что требуется. Сначала Вам требовалось, чтоб сертификат содержал некоторую дополнительную информацию о пользователе. Потом
Цитата:
Я и есть УЦ
Потом надо выдернуть эти атрибуты из сертификата, используя JCP.
Сертификат есть? Или его только надо сделать? На УЦ нет средств просмотра сертификата? или Вы пишете УЦ на JCP?

Цитата:
Вопрос в том, есть ли в сертификате поля, кроме стандартных (DN, O, C и т.д.), куда можно было бы положить эти данные, и как их оттуда вытащить?

В сертификат можно добавлять любые поля, хоть отпечатки пальцев пользователя. Стандарт позволяет. http://tools.ietf.org/html/rfc3280
Стандартных X509CertImpl и X509Certificate не хватает?
Можно использовать наш ru.CryptoPro.JCP.ASN.PKIX1Explicit88.Certificate
Вверх
Offline xlink  
#8 Оставлено : 20 октября 2010 г. 23:09:13(UTC)
xlink

Статус: Участник

Группы: Участники
Зарегистрирован: 13.10.2010(UTC)
Сообщений: 14
Откуда: Москва
Спасибо за информацию. Я не пишу УЦ, я делаю запрос к УЦ через веб-морду, куда кладу запрос, сохраненный в файле. А файл запроса генерируется с панели управления JCP, при создании контейнера, ключа и т.д. Вот там в поле "имя субъекта сертификации" я могу напихать дополнительные параметры? Для это надо использовать какие-либо OID?

Вобщем суть вопроса как добавить дополнительные параметры в сертификат используя визуальный интерфейс JCP - через поле имя субъекта?
Вверх
Offline Iva  
#9 Оставлено : 21 октября 2010 г. 19:33:31(UTC)
Iva

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.10.2008(UTC)
Сообщений: 181
Никак. Поле имя субъекта предназначено только для имени. Другие атрибуты установить там нельзя. И через keytool тоже нельзя. Вроде можно настроить УЦ какие дополнительные атрибуты надо добавлять в запрос, но про это лучше спрашивать в их ветке.
Вверх
Offline Юрий  
#10 Оставлено : 22 октября 2010 г. 2:13:42(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
На самом деле поле Subject сертификата просто содержит перечень специально кодированных данных, позволяющих однозначно идентфицировать субъекта. Формат типа "O=CryptoPRO, OU=First_unit" является упрощенным формой представления подобной информации. Более развернуто о атрибутах субъекта можно почитать в стандарте ITU X.520.

И таки да - я несогласен, что поле Subject предназначено только для имени. Писать туда можно и другие атрибуты.
С уважением,
Юрий Строжевский
Вверх
WWW
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET