Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход. Новые регистрации запрещены.

Уведомление

Icon
Error
Получить список корневых сертификатов УЦ - Как получить, минуя установку TLS соединения?
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Анатолий Широков  
#1 Оставлено : 26 мая 2025 г. 17:48:35(UTC)
Анатолий Широков

Статус: Участник

Группы: Участники
Зарегистрирован: 22.01.2019(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Санкт-Петербург

Сказал «Спасибо»: 6 раз
Добрый день!

Мне для инструментария необходимо переодически скачивать корневые сертификаты КриптоПро УЦ 2.0. Можно ли, не устанавливая КриптоПро CSP/JCP/JCSP, скачать актуальные корневые сертификаты КриптоПро УЦ 2.0 через какую-то публичную ссылку?

Например, чтобы это сделать сейчас я должен установить TLS соединение с предоставлением клиентского сертификата и скачать PKCS#7 хранилище через https://my-cryptopro-ca-2.0/ui/api/cacertificate

А можно ли настроить публичную точку распространения подобного списка корневых сертификатов, минуя TLS?

Заранее спасибо!
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum account. Новые регистрации запрещены.
Вверх  
Offline Захар Тихонов  
#2 Оставлено : 26 мая 2025 г. 17:53:29(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,314
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
Здравствуйте.

Обычно на нормальных УЦ: по умолчанию в каждом выпущенном сертификате имеется ссылка на сертификат издателя (т.е. каким подписан сертификат), там ссылка по http.
Для примера можете выпустить на нашем тестовом УЦ http://testca2012.cryptopro.ru/ui/ и убедиться что там имеются ссылка по http (без TLS).
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
Анатолий Широков оставлено 26.05.2025(UTC)
Offline Анатолий Широков  
#3 Оставлено : 26 мая 2025 г. 18:36:27(UTC)
Анатолий Широков

Статус: Участник

Группы: Участники
Зарегистрирован: 22.01.2019(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Санкт-Петербург

Сказал «Спасибо»: 6 раз
Автор: Захар Тихонов Перейти к цитате
Здравствуйте.

Обычно на нормальных УЦ: по умолчанию в каждом выпущенном сертификате имеется ссылка на сертификат издателя (т.е. каким подписан сертификат), там ссылка по http.
Для примера можете выпустить на нашем тестовом УЦ http://testca2012.cryptopro.ru/ui/ и убедиться что там имеются ссылка по http (без TLS).


Спасибо большое за ответ! Да, у нас есть возможность получить сертификат издателя из сертификата по http. Но вопрос стоял шире: существует ли публичная точка распространения всех актуальных корневых сертификатов, как если бы я ее получал через https://my-cryptopro-ca-2.0/ui/api/cacertificate, но без установки TLS и необходимости устанавливать КриптоПро CSP/JCP/JCSP?
Вверх
Offline Андрей *  
#4 Оставлено : 26 мая 2025 г. 18:41:50(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,727
Мужчина
Российская Федерация

Сказал «Спасибо»: 574 раз
Поблагодарили: 2303 раз в 1804 постах
Автор: Анатолий Широков Перейти к цитате
Автор: Захар Тихонов Перейти к цитате
Здравствуйте.

Обычно на нормальных УЦ: по умолчанию в каждом выпущенном сертификате имеется ссылка на сертификат издателя (т.е. каким подписан сертификат), там ссылка по http.
Для примера можете выпустить на нашем тестовом УЦ http://testca2012.cryptopro.ru/ui/ и убедиться что там имеются ссылка по http (без TLS).


Спасибо большое за ответ! Да, у нас есть возможность получить сертификат издателя из сертификата по http. Но вопрос стоял шире: существует ли публичная точка распространения всех актуальных корневых сертификатов, как если бы я ее получал через https://my-cryptopro-ca-2.0/ui/api/cacertificate, но без установки TLS и необходимости устанавливать КриптоПро CSP/JCP/JCSP?


Так сделайте сами p7b с необходимыми корневыми,
опубликуйте на любом своем веб сервере, без требования mTLS,
пропишите URL в настройки для получения и скачивайте.

Пока сами не сделаете - публичная точка для ваших корневых не появится.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Анатолий Широков  
#5 Оставлено : 27 мая 2025 г. 13:15:15(UTC)
Анатолий Широков

Статус: Участник

Группы: Участники
Зарегистрирован: 22.01.2019(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Санкт-Петербург

Сказал «Спасибо»: 6 раз
Автор: Андрей * Перейти к цитате
Пока сами не сделаете - публичная точка для ваших корневых не появится.


Я надеялся как раз, что в КриптоПро УЦ 2.0 уже есть такая точка распространения корневых сертификатов не требующая аутентификации. В противном случае мы умножаем энтропию путем создания где-то еще клона хранилища корневых сертификатов и должны ее не забыть обновить при выпуске нового. Должна быть одна точка истины, и по идее, для целей получения корневых сертификатов она должна быть публичная.

Вверх
Offline Андрей *  
#6 Оставлено : 27 мая 2025 г. 13:30:16(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,727
Мужчина
Российская Федерация

Сказал «Спасибо»: 574 раз
Поблагодарили: 2303 раз в 1804 постах
Автор: Анатолий Широков Перейти к цитате
Автор: Андрей * Перейти к цитате
Пока сами не сделаете - публичная точка для ваших корневых не появится.


Я надеялся как раз, что в КриптоПро УЦ 2.0 уже есть такая точка распространения корневых сертификатов не требующая аутентификации. В противном случае мы умножаем энтропию путем создания где-то еще клона хранилища корневых сертификатов и должны ее не забыть обновить при выпуске нового. Должна быть одна точка истины, и по идее, для целей получения корневых сертификатов она должна быть публичная.




ответ был тут.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Захар Тихонов  
#7 Оставлено : 27 мая 2025 г. 13:33:18(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,314
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
Автор: Анатолий Широков Перейти к цитате
Автор: Андрей * Перейти к цитате
Пока сами не сделаете - публичная точка для ваших корневых не появится.


Я надеялся как раз, что в КриптоПро УЦ 2.0 уже есть такая точка распространения корневых сертификатов не требующая аутентификации. В противном случае мы умножаем энтропию путем создания где-то еще клона хранилища корневых сертификатов и должны ее не забыть обновить при выпуске нового. Должна быть одна точка истины, и по идее, для целей получения корневых сертификатов она должна быть публичная.



1. УЦ нельзя, согласно сертификации ПО, публиковать в сеть общего доступа (в сеть интернет). Если даже и убрать требование одностороннего TLS у данного метода - он для пользователей все равно недоступен.
2. Если по другому, то корневой сертификат должен быть получен из надежных источников - например пользователь приходит в УЦ и получает его на флешке, потом устанавливает его на свой ПК. Или в сети организации (которая не имеет выхода в интернет) загружать его с использованием одностороннего TLS.

На практике: администраторы УЦ публикуют сертификаты ЦС и CRL на выделенном сервере, например, на своем сайте. В каком виде будет публикация - решать им, т.е. делать p7b новый после каждой смены ключа ЦС - выглядит не самой сложной задачей (ключ ЦС меняется минимум, в обычном использовании, раз в 15 месяцев).

Отредактировано пользователем 27 мая 2025 г. 13:34:28(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
Анатолий Широков оставлено 27.05.2025(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET