Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline Андрей Писарев  
#11 Оставлено : 5 августа 2013 г. 7:51:39(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,358
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
Автор: Mastrakov_A Перейти к цитате
Понятно, что нужно все сертификаты из списка просто обновлять. Но опять таки вопрос, как вытащить сертификаты из xml-ки?


А зачем кросс-сертификат выдергивать? Если изначально речь идет о проверке корневого: можно или нет ему доверять...
А проверить можно по идентификатору ключа - он для одного и того же открытого ключа одинаковый (для самоподписанного корневого и для кросса)
Техническую поддержку оказываем тут
Наша база знаний
Offline dmishin  
#12 Оставлено : 5 августа 2013 г. 9:01:39(UTC)
dmishin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.08.2012(UTC)
Сообщений: 123

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 6 раз в 6 постах
Автор: Андрей * Перейти к цитате
Автор: Mastrakov_A Перейти к цитате
Понятно, что нужно все сертификаты из списка просто обновлять. Но опять таки вопрос, как вытащить сертификаты из xml-ки?


А зачем кросс-сертификат выдергивать? Если изначально речь идет о проверке корневого: можно или нет ему доверять...
А проверить можно по идентификатору ключа - он для одного и того же открытого ключа одинаковый (для самоподписанного корневого и для кросса)


Кросс-сертификаты в принципе не нужны. Достаточно добавить сертификаты из XML в доверенные,а связь кросс сертификата по идентификатору ключа и его проверка происходит автоматически.
Offline Андрей Писарев  
#13 Оставлено : 5 августа 2013 г. 10:03:31(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,358
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
Тогда кросс-сертификаты в промежуточные вместе с УЦ 1 ИС ГУЦ\ УЦ 2 ИС ГУЦ, а ГУЦ в корневые...
Техническую поддержку оказываем тут
Наша база знаний
Offline dmishin  
#14 Оставлено : 5 августа 2013 г. 10:12:16(UTC)
dmishin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.08.2012(UTC)
Сообщений: 123

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 6 раз в 6 постах
Автор: Андрей * Перейти к цитате
Тогда кросс-сертификаты в промежуточные вместе с УЦ 1 ИС ГУЦ\ УЦ 2 ИС ГУЦ, а ГУЦ в корневые...


Да, конечно, имелась ввиду вся цепочка сертификатов.
Offline Mastrakov_A  
#15 Оставлено : 5 августа 2013 г. 10:36:47(UTC)
Mastrakov_A

Статус: Участник

Группы: Участники
Зарегистрирован: 24.07.2013(UTC)
Сообщений: 15
Откуда: Новосибирск

Сказал(а) «Спасибо»: 2 раз
Автор: dmishin Перейти к цитате
Автор: Mastrakov_A Перейти к цитате
Понятно, что нужно все сертификаты из списка просто обновлять. Но опять таки вопрос, как вытащить сертификаты из xml-ки?


Все зависит от того какие средства есть у вас под рукой.
Если есть библиотека работающая с дом документом, то как я уже сказал по XPATH (например "//Ключ/Сертификаты/ДанныеСертификата/Данные").

Как вариант то же самое можно сделать и при помощи регулярного выражения.


извиняюсь за глупый вопрос, полученную строку преобразовываем в байтовы массив и передаем в конструктор x509Certificate2? или как вы создаете из нее сертификат

Отредактировано пользователем 5 августа 2013 г. 10:37:41(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#16 Оставлено : 5 августа 2013 г. 10:38:09(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,358
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
из base64 декодировать и загрузить в x509Certificate2
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#17 Оставлено : 5 августа 2013 г. 10:40:45(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,358
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
сохранить Base64 строку в файл в виде:
Цитата:
-----BEGIN CERTIFICATE-----
base64
-----END CERTIFICATE-----


или из base64 декодировать и записать в файл (сертификат будет в der-кодировке)
Техническую поддержку оказываем тут
Наша база знаний
Offline Mastrakov_A  
#18 Оставлено : 9 августа 2013 г. 6:29:43(UTC)
Mastrakov_A

Статус: Участник

Группы: Участники
Зарегистрирован: 24.07.2013(UTC)
Сообщений: 15
Откуда: Новосибирск

Сказал(а) «Спасибо»: 2 раз
Возник еще один вопрос по данной теме, удаляются ли УЦ из списка http://e-trust.gosuslugi.ru/CA, или им присваиваются статусы приостановлен, прекращен и аннулирован(сейчас в нем отсутствуют таковые).
Т.е. логика обновления списка должна быть такая: удалить все что есть в списке, а потом заного добавить со статусом "Действует"?
Offline Андрей Писарев  
#19 Оставлено : 9 августа 2013 г. 8:55:17(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,358
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
Автор: Mastrakov_A Перейти к цитате
Возник еще один вопрос по данной теме, удаляются ли УЦ из списка http://e-trust.gosuslugi.ru/CA, или им присваиваются статусы приостановлен, прекращен и аннулирован(сейчас в нем отсутствуют таковые).
Т.е. логика обновления списка должна быть такая: удалить все что есть в списке, а потом заного добавить со статусом "Действует"?


Очень интересный вопрос, в июле в реестре было как минимум 2 отозванных сертификата,
которые были и в CRL (УЦ 1 ИС ГУЦ), что верно, но теперь их нет в реестре, остались только в CRL.
Получается - реестр очистили...
Вложение(я):
vguc1.zip (1kb) загружен 5 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#20 Оставлено : 9 августа 2013 г. 8:58:13(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,358
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
Нет, все есть, только опять в другом месте...

Итого:
Если нужно проверять сертификат на наличие в отозванных - реестр УФО (или по CRL?)
Если на статус аккредитации - реестр аккредитованных УЦ

Отредактировано пользователем 9 августа 2013 г. 9:06:47(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
Mastrakov_A оставлено 09.08.2013(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.