Статус: Участник
Группы: Участники
Зарегистрирован: 31.08.2017(UTC) Сообщений: 13  Откуда: Москва
|
Коллеги, доброго дня.
Возник вопрос проверки цепочки сертификатов.
Предполагается, что пользователь ИС подписывает некие данные (PKCS7) и передает их в ИС, которая в свою очередь должна проверить цепочку от сертификата подписанта до ГУЦ.
В качестве криптопровайдера используем КриптоПро JCP 2.0.
В CMSSignedData.getCertificates() получаем только сертификат подписанта, сертификат УЦ отсутствует. В этом случае выходом является грузить в хранилище сертификаты всех аккредитованных УЦ.
Вопрос заключается в следующем.
1. Есть ли способ проверять цепочку не загружая при этом сертификаты всех УЦ (http://e-trust.gosuslugi.ru/CA) в хранилище сертификатов?
2. Какой самый оптимальный вариант проверки цепочки в нашем случае?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 714 раз в 674 постах
|
Здравствуйте. Автор: AIvanov 
1. Есть ли способ проверять цепочку не загружая при этом сертификаты всех УЦ (http://e-trust.gosuslugi.ru/CA) в хранилище сертификатов?
2. Какой самый оптимальный вариант проверки цепочки в нашем случае?
Если только проверять в расширениях сертификата наличие сведений о центре сертификации и грузить по ссылке. В кадесе мы, например, полагаем, что корневые сертификаты находятся в cacerts, а остальные (промежуточные, сертификат подписи) либо будут получены из подписи, либо их предоставит тот, кто проверяет подпись. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.08.2017(UTC) Сообщений: 13 Откуда: Москва
|
Автор: afev Здравствуйте. Автор: AIvanov
1. Есть ли способ проверять цепочку не загружая при этом сертификаты всех УЦ (http://e-trust.gosuslugi.ru/CA) в хранилище сертификатов?
2. Какой самый оптимальный вариант проверки цепочки в нашем случае?
Если только проверять в расширениях сертификата наличие сведений о центре сертификации и грузить по ссылке. В кадесе мы, например, полагаем, что корневые сертификаты находятся в cacerts, а остальные (промежуточные, сертификат подписи) либо будут получены из подписи, либо их предоставит тот, кто проверяет подпись. 1. Так ведь сведения о центре сертификации в конечном пользовательском сертификате не являются обязательными и ссылка может отсутствовать, насколько я понимаю. Таким образом такая проверка возможна, но результат не гарантированный. Если ошибаюсь, поправьте пожалуйста. 2. Каким образом промежуточные сертификаты могут быть получены из подписи? Подписываем данные cryptcp -sign -umy -dn "Сертификат" -der test.txt test.sig, но при проверке подписи, возможно извлечь только сертификат подписанта, промежуточные сертификаты (сертификат УЦ, УЦ 1 ИС ГУЦ и т.д.) отсутствуют. PS. Для построения цепочки используем CertPathBuilder.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 714 раз в 674 постах
|
Если сертификаты отсутствуют и не могут быть получены по ссылкам или из подписи (был добавлен только сертификат подписи, а не цепочка), то придется их как-то получать и где-то хранить, чтобы передавать затем для построения цепочки (например, корневые сертификаты в одном хранилище, промежуточные в другом). |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
