Добавление доверенных сертификатов

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

3 Страницы12 3 >

Добавление доверенных сертификатов

Опции

Предыдущая тема Следующая тема

Mastrakov_A		#1 Оставлено : 4 августа 2013 г. 16:21:49(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 24.07.2013(UTC) Сообщений: 15 Откуда: Новосибирск Сказал(а) «Спасибо»: 2 раз		Здравствуйте, при проверке сертификата на отозванность возникла одна проблема. Для проверки сертификата онлайн по имеющейся в нем ссылки на СОС использую X509Certificate2.Verify() метод из .net framework, X509Chain.ChainPolicy.RevocationMode стоит Online соответственно. Онлайн проверка начинает работать только при условии наличия в списке доверенных сертификатов корневого сертификата, для текущий цепочки. Отсюда возникает вопрос, как добавлять корневые сертификаты в хранилище? Ведь если просто кидать туда все корневые сертификаты для цепочки, есть вероятность попадания туда сертификата не сертифицированного УЦ. Существует ли список сертифицированных УЦ, откуда можно подгрузить корневые сертификаты, или возможно сделать какую-то проверку корневого сертификата при добавлении (опять же нужен какой-то список сертифицированных УЦ). Вручную добавление корневых сертификатов не видится возможным, ввиду того, что электронный документооборот осуществляется с тысячами поставщиков, и у всех сертификаты выданы различными УЦ. Переход на усовершенствованную квалифицированную электронную подпись решит проблему, но это займет не мало времени. Если что-то непонятно написал, скажите. Заранее спасибо за помощь.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Андрей Писарев		#2 Оставлено : 4 августа 2013 г. 18:00:48(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,358 Сказал «Спасибо»: 550 раз Поблагодарили: 2217 раз в 1731 постах		Возможно поможет: 0. Расширенный Справочник Аккредитованных Удостоверяющих Центров На странице есть ссылки на сайты УЦ. На каждом сайте УЦ - есть корневые. Можно скачать и создать собственный справочник. 1. Реестр сертификатов ключа подписи уполномоченных лиц удостоверяющих центров "Устаревший" реестр... 2. Перечень аккредитованных удостоверяющих центров Здесь кросс-сертификаты всех аккредитованных по 63-ФЗ УЦ, а также xml-файл с информацией по каждому УЦ. Можно сделать так (сложный путь): перед установкой корневого сертификата - проверять, есть ли открытый ключ в данном реестре (web\xml-вариант) + его статус. Если есть и статус действующий: сертификат можно установить. XML: <КлючиУполномоченныхЛиц> <Ключ> <ИдентификаторКлюча> Сами корневые сертификаты УЦ на сайте у каждого УЦ... p.s. собираюсь тоже на днях собрать все корневые в p7b... Отредактировано пользователем 4 августа 2013 г. 21:06:55(UTC) \| Причина: Не указана
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Писарев		#3 Оставлено : 4 августа 2013 г. 18:05:43(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,358 Сказал «Спасибо»: 550 раз Поблагодарили: 2217 раз в 1731 постах		Возможно кто-то из участников знает адрес публикации всех корневых сертификатов аккредитованных УЦ?
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Писарев		#4 Оставлено : 4 августа 2013 г. 18:08:08(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,358 Сказал «Спасибо»: 550 раз Поблагодарили: 2217 раз в 1731 постах		Здесь можно искать по наименованию аккредитованного УЦ.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Писарев		#5 Оставлено : 4 августа 2013 г. 18:48:23(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,358 Сказал «Спасибо»: 550 раз Поблагодарили: 2217 раз в 1731 постах		сделал утилиту и вытащил все кросс-сертификаты... возможно, кому-то пригодится... загрузка файлов на форум до сих пор не работает... публикую здесь Отредактировано пользователем 4 августа 2013 г. 18:52:38(UTC) \| Причина: ссылка Вложение(я): cross_20130804.zip (499kb) загружен 8 раз(а). У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Писарев		#6 Оставлено : 4 августа 2013 г. 19:08:12(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,358 Сказал «Спасибо»: 550 раз Поблагодарили: 2217 раз в 1731 постах		Для себя решил так: проверять на аккредитованность по списку идентификаторов ключей субъектов из кросс-сертификатов
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Mastrakov_A		#7 Оставлено : 5 августа 2013 г. 5:21:34(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 24.07.2013(UTC) Сообщений: 15 Откуда: Новосибирск Сказал(а) «Спасибо»: 2 раз		Спасибо за помощь. И если не сложно подскажи, ты свой список сертификатов из XML-ки с сайта вытащил? Чет немогу допереть, как из xml вытащить сертификат


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

dmishin		#8 Оставлено : 5 августа 2013 г. 6:32:00(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 07.08.2012(UTC) Сообщений: 123 Сказал(а) «Спасибо»: 4 раз Поблагодарили: 6 раз в 6 постах		Зачем каждый сертификат проверять? У себя просто каждый день загружаю весь список сертификатов доверенных УЦ из XML (по XPATH вытаскиваю все ноды с PEM сертификатами). Отредактировано пользователем 5 августа 2013 г. 6:35:51(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Mastrakov_A		#9 Оставлено : 5 августа 2013 г. 6:47:42(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 24.07.2013(UTC) Сообщений: 15 Откуда: Новосибирск Сказал(а) «Спасибо»: 2 раз		Понятно, что нужно все сертификаты из списка просто обновлять. Но опять таки вопрос, как вытащить сертификаты из xml-ки?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

dmishin		#10 Оставлено : 5 августа 2013 г. 6:51:19(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 07.08.2012(UTC) Сообщений: 123 Сказал(а) «Спасибо»: 4 раз Поблагодарили: 6 раз в 6 постах		Автор: Mastrakov_A Понятно, что нужно все сертификаты из списка просто обновлять. Но опять таки вопрос, как вытащить сертификаты из xml-ки? Все зависит от того какие средства есть у вас под рукой. Если есть библиотека работающая с дом документом, то как я уже сказал по XPATH (например "//Ключ/Сертификаты/ДанныеСертификата/Данные"). Как вариант то же самое можно сделать и при помощи регулярного выражения.

1 пользователь поблагодарил dmishin за этот пост.		Mastrakov_A оставлено 05.08.2013(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest (2)

3 Страницы12 3 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close