Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
Подпись запроса на сертификат Администратором
Статус: Участник
Группы: Участники
Зарегистрирован: 02.11.2015(UTC)
Сообщений: 18
Сказал(а) «Спасибо»: 1 раз
|
Интересен как раз ИВП.) В чем его главное ограничение в данном случае, отсутствие подходящего метода? И если через АРМ Администратора, такая схема работает, то как победить ошибку "signer's and request's DN not equal"? Отредактировано пользователем 18 декабря 2015 г. 11:03:48(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732  Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Такой возможности нет, потому что нельзя сказать, какой роли УЦ соответствует это третье лицо.
Есть сам пользователь - он создает ключ и запрос, есть оператор - он помещает запрос на ЦР.
А кем является тот, кто его подписал перед передачей оператору? Каковы должны быть его полномочия в терминах УЦ?
АРМ Администратора проверяет подпись, показывает информацию о ней оператору и отправляет уже неподписанный запрос на ЦР.
В принципе, это сделано только для удобства, аналогичную схему можно реализовать и с помощью стороннего ПО, например КриптоАрм. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.11.2015(UTC)
Сообщений: 18
Сказал(а) «Спасибо»: 1 раз
|
Идея такая: определенная группа пользователей имеет доступ к некому интерфейсу, с помощью которого производится отправка запроса на сертификат. Для того чтобы, определить, что данные запросы приходят именно из этого интерфейса необходимо подписывать их неким сертификатом (с OIDом новой роли, допустим "Сервер проверки"). Оператор проверяет наличие данной подписи в запросе и выпускает сертификат. В случае если запрос подписан сертификатом пользователя или не подписан, запрос отклоняется.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
А почему не подходит схема :
пользователь отправляет запрос на интерфейс - интерфейс отправляет неподписанный запрос на ЦР, аутентифицируясь на нем по своем сертификату с OID "Сервер проверки", минуя оператора ?
В ЦР хранится информация о том, кто поместил этот запрос, так что узнать что запрос пришел через интерфейс будет можно. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.11.2015(UTC)
Сообщений: 18
Сказал(а) «Спасибо»: 1 раз
|
Да, всё так. Данная схема тоже подходит, но интересна была возможность дополнительно подписывать запрос.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Этот момент доработан в КриптоПро УЦ 2.0.
В 1.5 подпись была нужна только под теми запросами, которые влияли на сертификаты.
В 2.0 любой запрос должен быть подписан. |
|
 1 пользователь поблагодарил Кирилл Соболев за этот пост.
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
Подпись запроса на сертификат Администратором
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
