Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.02.2015(UTC) Сообщений: 43  Сказал(а) «Спасибо»: 2 раз
|
Проверяю подпись сертификатом пользователя.
При этой проверке проверяется ли цепочка сертификатов от сертификата пользователя до корневого?
Если да, то где должны находиться промежуточные и корневой сертификаты?
То есть в каком хранилище? Если они в системном хранилище Windows, то как быть?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 714 раз в 674 постах
|
Автор: sergnns 
При этой проверке проверяется ли цепочка сертификатов от сертификата пользователя до корневого?
Если да, то где должны находиться промежуточные и корневой сертификаты?
Не проверяется. Смотрите пример OCSPValidateCert в пакете userSamples в samples-sources.jar. Автор: sergnns
То есть в каком хранилище? Если они в системном хранилище Windows, то как быть?
JCP не работает с системными хранилищами Windows. Корневой сертификат может находиться в <jre>/lib/security/cacerts. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.02.2015(UTC) Сообщений: 43 Сказал(а) «Спасибо»: 2 раз
|
Автор: afev Автор: sergnns
При этой проверке проверяется ли цепочка сертификатов от сертификата пользователя до корневого?
Если да, то где должны находиться промежуточные и корневой сертификаты?
Не проверяется. Смотрите пример OCSPValidateCert в пакете userSamples в samples-sources.jar. А как тогда понимать фразу из вашей документации? "Проверка ЭП в сертификате проверки ЭП осуществляется так же, как при проверке цепочки сертификатов. При реализации проверки ЭП документа с использованием сертификата ключа проверки подписи им, исключается возможность проверки ЭП электронного документа без проверки ЭП в сертификате ключа проверки подписи или без наличия положительного результата проверки ЭП в сертификате ключа проверки ЭП."
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 714 раз в 674 постах
|
В фразе речь идет только о проверке ЭП и про то, что она осуществляется (математически) так же, как и при проверке цепочки. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.02.2015(UTC) Сообщений: 43 Сказал(а) «Спасибо»: 2 раз
|
Мдя. Все отделом читали, и у всех было единое мнение, что при проверке подписи проверяется вся цепочка сертификатов.
Вы бы хоть как-то более вразумительно документацию писали......
Ещё вопрос. Если сертификаты должны лежать в CAcerts, то засовывать туда их надо по одному ручками?
У вас ена сайте есть exe-файл, который пишет кучу промежуточных сертификатов в хранилище Windows.
То есть вы предлагаете сначала загрузить всё туда, потом вытащить их оттуда и keytool - ом засовывать их в cacerts?
Или как? Можете пояснить процедуру?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 714 раз в 674 постах
|
Автор: sergnns
"Проверка ЭП в сертификате проверки ЭП осуществляется так же, как при проверке цепочки сертификатов. При реализации проверки ЭП документа с использованием сертификата ключа проверки подписи им, исключается возможность проверки ЭП электронного документа без проверки ЭП в сертификате ключа проверки подписи или без наличия положительного результата проверки ЭП в сертификате ключа проверки ЭП."
В каком документе эта фраза? Проверка подписи и проверка цепочки - разные вещи. Положить корневой сертификат, например, в cacerts, можно с помощью скрипта, вызывающего keytool. Или можно воспрользоваться хранилищем с типом CertStore для хранения списков сертификатов (об этом есть в руководстве программиста). Построение и проверка цепочки представлены в примере OCSPValidateCert (в trust anchors помещаются корневые сертификаты, в certificate store параметров построения - вообще все сертификаты (пользовательский, промежуточные, корневые), в target - только конечный пользовательский, т.е. проверяемый). Отредактировано пользователем 18 февраля 2015 г. 9:55:57(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.02.2015(UTC) Сообщений: 43 Сказал(а) «Спасибо»: 2 раз
|
в документе: КриптоПро JCP Версия 1.0 Руководство программиста ЖТЯИ.00031-01 33 01 © OOO "Крипто-Про", 2005-2009. Все права защищены. Могу файл прислать. Отредактировано пользователем 18 февраля 2015 г. 10:07:53(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 714 раз в 674 постах
|
Спасибо, исправим на рекомендацию проверять цепочку сертификатов при проверке ЭЦП (это подразумевалось). |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.02.2015(UTC) Сообщений: 43 Сказал(а) «Спасибо»: 2 раз
|
Ещё вопрос.
JCP 2 совместитма с любой версией CSP?
В смысле подпись, сделанная на любой версии CSP будет правильно проверяться при помощи JSP 2?
Или есть ограничения?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 714 раз в 674 постах
|
|
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
