Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline VintVV  
#1 Оставлено : 21 октября 2014 г. 20:23:12(UTC)
VintVV

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.10.2014(UTC)
Сообщений: 7

Сказал(а) «Спасибо»: 1 раз
Добрый день

Кто-то может подробно расписать шаги на примере одного атрибута, например, SAN (subject alternative name),
как его кастомизировать в Крипто ПРО 2.0 RC4.

Т.е. задача такая: нужно чтобы в сертификате, выпущенном для пользователя Test1 по шаблону "User", в
расширении SAN было следующее значение: RFC822 Name = test@test.ru URI = http://test.ru.

В PKCS10 запросе на выпуск сертификата значения расширений передаю, их видно в запросе в админке Крипто ПРО.
Пробовал включать\отключать в расширениях шаблона SAN.
Пробовал добавлять атрибуты пользователю перед запросом на выпуск через <To>

<From>
<Attribute Oid="1.2.840.113549.1.9.1" Value="email@company.ru" />
<Attribute Oid="1.2.840.113565.1.4.2.1" Value="f2c76ef1-e091-4e83-a34e-d0de2c656ec8" />
<Attribute Oid="2.5.4.10" Value="Company" />
<Attribute Oid="2.5.4.11" Value="Users" />
<Attribute Oid="2.5.4.3" Value="admin" />
<Attribute Oid="2.5.4.6" Value="RU" />
<Attribute Oid="2.5.4.7" Value="Moscow" />
<Attribute Oid="2.5.4.8" Value="Moscow" />
</From>
<To>
<Attribute Oid="2.5.4.3" Value="admin" />
<Attribute Oid="2.5.4.11" Value="Users" />
<Attribute Oid="2.5.4.10" Value="Company" />
<Attribute Oid="2.5.4.7" Value="Moscow" />
<Attribute Oid="2.5.4.8" Value="Moscow" />
<Attribute Oid="2.5.4.6" Value="RU" />
<Attribute Oid="1.2.840.113549.1.9.1" Value="email@company.ru" />
<Attribute Oid="1.2.840.113565.1.4.2.1" Value="f2c76ef1-e091-4e83-a34e-d0de2c656ec8" />
<Attribute Oid="2.5.29.17" Value="RFC822 Name=test@test.ru" />
</To>
</ProfileAttributesChange>

В свойствах пользователя появлялся атрибут "Альтернативное имя субъекта" со значением RFC822 Name=test@test.ru,
но потом оно не вставлялось в выпускаемый для этого пользователя сертификат.

Могла ли поменяться логика работы с расширениями в RC4 по сравнению с RC2?

Отредактировано пользователем 21 октября 2014 г. 20:24:33(UTC)  | Причина: Не указана

Offline Molostvov  
#2 Оставлено : 22 октября 2014 г. 13:12:43(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
Вложил краткую инструкцию.
Цитата:
Могла ли поменяться логика работы с расширениями в RC4 по сравнению с RC2?

Да, поменялась.

RC4 В выпушенных сертификатах будут указаны именно те расширения и их значения, которые определены в шаблоне (независимо то того, что указано в запросе). Перекладывается только одно значение расширения «Средство ЭП владельца (Для удобства обработки запросов на кросс.)

Отредактировано пользователем 22 октября 2014 г. 13:18:48(UTC)  | Причина: Не указана

Вложение(я):
SAN.doc (330kb) загружен 19 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
thanks 1 пользователь поблагодарил Molostvov за этот пост.
VintVV оставлено 22.10.2014(UTC)
Offline VintVV  
#3 Оставлено : 22 октября 2014 г. 13:35:04(UTC)
VintVV

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.10.2014(UTC)
Сообщений: 7

Сказал(а) «Спасибо»: 1 раз
Огромное спасибо
Offline VintVV  
#4 Оставлено : 22 октября 2014 г. 13:40:18(UTC)
VintVV

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.10.2014(UTC)
Сообщений: 7

Сказал(а) «Спасибо»: 1 раз
Еще несколько вопросов:
1. Можно ли данный сценарий (для SAN) обобщить на кастомизацию любого атрибута?
2. Есть ли API для реализации данного сценария?
Offline MCR  
#5 Оставлено : 22 октября 2014 г. 13:59:40(UTC)
MCR

Статус: Активный участник

Группы: Участники
Зарегистрирован: 06.03.2012(UTC)
Сообщений: 177

Сказал(а) «Спасибо»: 57 раз
Поблагодарили: 11 раз в 8 постах
Автор: Molostvov Перейти к цитате
Вложил краткую инструкцию.
Цитата:
Могла ли поменяться логика работы с расширениями в RC4 по сравнению с RC2?

Да, поменялась.

RC4 В выпушенных сертификатах будут указаны именно те расширения и их значения, которые определены в шаблоне (независимо то того, что указано в запросе). Перекладывается только одно значение расширения «Средство ЭП владельца (Для удобства обработки запросов на кросс.)

Не очень хорошо получается - в запросе расширение есть, а в сертификате его нет, поскольку нет в шаблоне.
Настройка по перекладыванию расширений из запроса будет редактируемой?
Поскольку для задач автоматизации не редактируемые ограничения на перенос расширений из запроса не есть хорошо.
Получается, необходимо заводить много-много шаблонов?
А как быть, если всего в шаблонах нельзя предусмотреть, или завести их заранее?

Отредактировано пользователем 22 октября 2014 г. 14:00:19(UTC)  | Причина: Не указана

Offline pavelvn  
#6 Оставлено : 22 октября 2014 г. 17:03:50(UTC)
pavelvn

Статус: Эксперт

Группы: Администраторы, Участники
Зарегистрирован: 01.12.2008(UTC)
Сообщений: 54
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 14 раз в 9 постах
VintVV:
1. Не совсем понятен вопрос. Попробую вкратце объяснить логику работы. При регистрации на ЦР пользователю присваивается набор учётных данных, состоящий из атрибутов (это список, который указывается в поле To запроса на регистрацию). Шаблон сертификата определяет, как из этих атрибутов будет формироваться имя субъекта сертификата (Subject) и альтернативное имя субъекта (SAN). Т.е. шаблон задаёт какой атрибут из учётных данных пользователя взять и куда в имени субъекта или в SAN его поместить. Всё это настраивается в редакторе шаблона сертификата. Значения других расширений, например EKU, тоже можно настраивать в шаблоне, но вставлять туда значения атрибутов учётной записи пользователя нельзя.

2. Шаблоны сертификатов настраиваются на ЦС, так что извне, не имея доступа к ЦС, ими управлять нельзя. Поэтому ЦР не предоставляет API редактирования шаблонов.

MCR:
Настройка по перекладыванию расширений из шаблонов есть, но ещё не выведена в GUI редактора шаблонов. Сценарии, когда ЦС перекладывает те или иные значения из запроса не проверяя их, несут риск появления в сертификате нежелательных значений. Одной из задач шаблонов сертификатов в УЦ 2.0 является уменьшение необходимости в таких сценариях, за счёт больших возможностей настройки состава сертификата в самом шаблоне. Но, безусловно, есть случаи, когда перекладывание значений из запросов требуется, поэтому такая возможность оставлена.
Offline Inc  
#7 Оставлено : 27 октября 2014 г. 16:31:12(UTC)
Inc

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.08.2013(UTC)
Сообщений: 3
Мужчина
Российская Федерация

Сказал «Спасибо»: 1 раз
Автор: pavelvn Перейти к цитате
Настройка по перекладыванию расширений из шаблонов есть, но ещё не выведена в GUI редактора шаблонов.


Добрый день. Подскажите, пожалуйста, как управлять настройкой по перекладыванию расширений? Можно это сделать через командную строку управления УЦ?

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.