Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.05.2009(UTC) Сообщений: 71   Откуда: Санкт-Петербург Сказал «Спасибо»: 5 раз
Поблагодарили: 13 раз в 5 постах
|
Добрый день.
Не могли бы вы пояснить в чем разница между OCSP клиентом и Revocation Provider относительно CSP версии 3.6. В чем разница при использовании этих продуктов? По описанию они оба встраивают проток OCSP в приложения ОС.
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
CSP 3.6 включает в себя Revocation Provider (RP). RP использует функции OCSP-клиента, поэтому OCSP-клиент также устанавливается вместе с RP.
OCSP-клиент - это библиотека, которую нужно встроить в приложение, чтобы пользоваться протоколом OCSP.
RP при установке регистрируется в CryptoAPI как подключаемый модуль, поэтому все проверки статусов сертификатов начинают автоматически использовать RP, и следовательно, протокол OCSP.
Если вы встраиваете OCSP-клиент самостоятельно, вы получаете максимальную гибкость. С помощью RP не получится, например, сохранить OCSP-ответ, по которому был проверен статус сертификата. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.06.2009(UTC)
Сообщений: 89
Откуда: Уфа, РРЦ "АйТи"
|
Смирнов написал:CSP 3.6 включает в себя Revocation Provider (RP). RP использует функции OCSP-клиента, поэтому OCSP-клиент также устанавливается вместе с RP.
OCSP-клиент - это библиотека, которую нужно встроить в приложение, чтобы пользоваться протоколом OCSP.
RP при установке регистрируется в CryptoAPI как подключаемый модуль, поэтому все проверки статусов сертификатов начинают автоматически использовать RP, и следовательно, протокол OCSP.
Если вы встраиваете OCSP-клиент самостоятельно, вы получаете максимальную гибкость. С помощью RP не получится, например, сохранить OCSP-ответ, по которому был проверен статус сертификата. Если есть необходимость только проверить в реальном времени актуальность сертификата, с учетом использования .Net как среды разработки - то какой вариант Вы был обозначили как самый удобный? p.s. был бы также рад примеру использования данного варианта в связке с .Net
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
RP в вашем случае удобнее. Вы будете просто проверять цепочку штатно с помощью класса X509Chain, а оно чудесным образом проверится с помощью OCSP (если получится). |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.06.2009(UTC)
Сообщений: 89
Откуда: Уфа, РРЦ "АйТи"
|
Смирнов написал:RP в вашем случае удобнее. Вы будете просто проверять цепочку штатно с помощью класса X509Chain, а оно чудесным образом проверится с помощью OCSP (если получится). А можно чуть подробнее, особенно про "если получится"? 1) Насколько я понимаю X509Chain позволяет получить информацию о цепочке сертификатов, каким образом (и насколько в этом можно быть уверенным) CSP сама проверит текущее состояние и выведет его именно 100% актуальным? 1.1) Какие настройки\инсталлированные продукты (кроме RTE шарпея и CSP) требуются на конечном клиенте для обеспечения 100% вероятности проверки сертификата? 2) Достаточно ли просто получить цепочку через X509Chain при установленном CSP и убедиться что она заканчивается корневым сертификатом криптопро или это не является полной гарантией актуальности сертификата?
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Формулировку про "100% вероятность проверки сертификата" я не очень понимаю. Попробую пояснить так. Если вы зовёте метод X509Chain.Build() и при этом в ChainPolicy не отключена проверка статусов, то true на выходе означает, что с сертификатом всё в порядке: он не отозван и ему можно доверять (цепочка заканчивается сертификатом, имеющимся в хранилище Root). Чтобы гарантировать, что проверка ведётся только по OCSP при установленном RP вы можете: 1. Запретить для RP использование дополнительного Revocation Provider в групповой политике. или 2. Использовать сертификаты, в которых в расширении CDP ничего нет, при этом должна быть исключена возможность попадания подходящего к данному сертификату CRL в локальное хранилище сертификатов. Если ни одно из этих условий не выполнено, а проверка по OCSP не удалась, то RP попробует проверить сертификат по CRL, и у него это может получиться, при этом X509Chain.Build() также вернёт true. Отредактировано пользователем 26 июня 2009 г. 18:16:19(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.06.2009(UTC)
Сообщений: 89
Откуда: Уфа, РРЦ "АйТи"
|
Смирнов написал:Формулировку про "100% вероятность проверки сертификата" я не очень понимаю. Попробую пояснить так.
Если вы зовёте метод X509Chain.Build() и при этом в ChainPolicy не отключена проверка статусов, то true на выходе означает, что с сертификатом всё в порядке: он не отозван и ему можно доверять (цепочка заканчивается сертификатом, имеющимся в хранилище Root).
Чтобы гарантировать, что проверка ведётся только по OCSP при установленном RP вы можете:
1. Запретить для RP использование дополнительного Revocation Provider в групповой политике.
или
2. Использовать сертификаты, в которых в расширении CDP ничего нет, при этом должна быть исключена возможность попадания подходящего к данному сертификату CRL в локальное хранилище сертификатов.
Если ни одно из этих условий не выполнено, а проверка по OCSP не удалась, то RP попробует проверить сертификат по CRL, и у него это может получиться, при этом X509Chain.Build() также вернёт true. Про проверку понятно, спасибо. Про 100% имелось ввиду взаимодействие X509Chain и CSP, я так понимаю оно происходит автоматически при инсталляции RTE Шарпея. Т.е. говоря иначе вызов X509Chain.Build() при условии ch.ChainPolicy.RevocationMode = X509RevocationMode.Online; всегда будет провоцировать хождение RP к ЦС и проверку каждого из сертификатов в цепочке на возможные проблемы - так ?
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Вообще X509Chain пользуется CryptoAPI. Если на машине не будет CSP, то цепочка в любом случае не проверится. Возможно, Шарпей даже не нужен. Цитата:Т.е. говоря иначе вызов X509Chain.Build() при условии ch.ChainPolicy.RevocationMode = X509RevocationMode.Online; всегда будет провоцировать хождение RP к ЦС и проверку каждого из сертификатов в цепочке на возможные проблемы - так ? Если быть точным, то при условии корректного построения цепочки этот вызов будет провоцировать проверку статусов, для чего будет позван RP с флагом online. КриптоПро Revocation Provider в этом случае в первую очередь попробует обратиться к службе OCSP. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.06.2009(UTC)
Сообщений: 89
Откуда: Уфа, РРЦ "АйТи"
|
Смирнов написал:Вообще X509Chain пользуется CryptoAPI. Если на машине не будет CSP, то цепочка в любом случае не проверится. Возможно, Шарпей даже не нужен. Цитата:Т.е. говоря иначе вызов X509Chain.Build() при условии ch.ChainPolicy.RevocationMode = X509RevocationMode.Online; всегда будет провоцировать хождение RP к ЦС и проверку каждого из сертификатов в цепочке на возможные проблемы - так ? Если быть точным, то при условии корректного построения цепочки этот вызов будет провоцировать проверку статусов, для чего будет позван RP с флагом online. КриптоПро Revocation Provider в этом случае в первую очередь попробует обратиться к службе OCSP. Вот, хорошо. А что случится если например будет отсутствовать соединение с интернет? X509Chain.Build() в связке с CSP вернет false?
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
|
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
