Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.12.2021(UTC) Сообщений: 36 Сказал(а) «Спасибо»: 5 раз
|
Здравствуйте. Есть следующая задача
При верификации подписи PKCS7 необходимо вытащить вcю цепочку сертификатов и каждый из них проверить на наличие в CRL При этом файлы CRL хранятся локально и в интернет доступа нет. Подскажите, пожалуйста, каким образом можно проверить промежуточный и корневой сертификаты, имея файл CRL прямо на машине?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,425
Сказал(а) «Спасибо»: 37 раз Поблагодарили: 570 раз в 397 постах
|
Здравствуйте. Надо положить CRL-и в хранилище CA и для сертификата подписавшего выполнить что-то в духе: Код:CERT_CHAIN_PARA chainPara = { sizeof(CERT_CHAIN_PARA) };
DWORD flags = CERT_CHAIN_REVOCATION_CHECK_CHAIN | CERT_CHAIN_REVOCATION_CHECK_CACHE_ONLY | CERT_CHAIN_CACHE_ONLY_URL_RETRIEVAL;
if (CertGetCertificateChain(0, pCertContext, NULL, 0, &chainPara, flags, NULL, &pChainContext) &&
CERT_TRUST_NO_ERROR == pChainContext->TrustStatus.dwErrorStatus)
{
; // good cert chain
}
Обращений в сеть не будет, все элементы цепочки будут проверены на отзыв по доступным CRL-ям. Но CRL должны быть актуальными и промежуточные сертификаты тоже должны быть в наличии в хранилище CA. |
|
1 пользователь поблагодарил Русев Андрей за этот пост.
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close