Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы<12
Кросс-сертификация удостовреяющих центров
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline redalex  
#11 Оставлено : 10 февраля 2012 г. 17:48:17(UTC)
redalex

Статус: Участник

Группы: Участники
Зарегистрирован: 22.06.2011(UTC)
Сообщений: 18
Откуда: Москва
Доброго времени суток Коллеги! Подыму тему.

Если я все правильно понял, то если УЦ1 способен выдавать сертификаты и осуществлять другие свои функции в полном объеме, то кросс сертфикация по распределенной схеме с УЦ2 выглядит следующим образом: УЦ1 направляет запрос в ЦС УЦ2. В этом запросе содержится СОК УЛ УЦ1, далее ЦС УЦ2 обрабатывает этот запрос и подписывает СОК УЛ УЦ1 своим закрытым ключем УЛ УЦ2. Затем УЦ2 направляет запрос в ЦС УЦ1 с СОК УЛ УЦ2 и в ЦС УЦ1 происходит таже процедура подписи. Полсе всего этого кросс сертификация считается завершенной.

Единственно не совсем мне понятно как физически происходит направление запроса?


С Уважением,
Александр.
Вверх
Offline Ivanov-aa  
#12 Оставлено : 10 февраля 2012 г. 18:46:53(UTC)
Ivanov-aa

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 01.08.2011(UTC)
Сообщений: 674
Откуда: Москва

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 38 раз в 36 постах
У вас не совсем ясное понимание про кросс сертификаты, либо вы не ясно выражаетесь. Побробно описано в документации
http://cryptopro.ru/products/ca/downloads
ЖТЯИ.00067 01 90 01 КриптоПро УЦ Общее описание
7. Обеспечение кросс-сертификации
Вверх
Offline Андрей Писарев  
#13 Оставлено : 10 февраля 2012 г. 18:58:57(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,719
Мужчина
Российская Федерация

Сказал «Спасибо»: 500 раз
Поблагодарили: 2054 раз в 1594 постах
redalex написал:
...
Если я все правильно понял, то если УЦ1 способен выдавать сертификаты и осуществлять другие свои функции в полном объеме, то кросс сертфикация по распределенной схеме с УЦ2 выглядит следующим образом: УЦ1 направляет запрос в ЦС УЦ2. В этом запросе содержится СОК УЛ УЦ1, далее ЦС УЦ2 обрабатывает этот запрос и подписывает СОК УЛ УЦ1 своим закрытым ключем УЛ УЦ2. Затем УЦ2 направляет запрос в ЦС УЦ1 с СОК УЛ УЦ2 и в ЦС УЦ1 происходит таже процедура подписи. Полсе всего этого кросс сертификация считается завершенной. .


Ivanov-aa написал:
У вас не совсем ясное понимание про кросс сертификаты, либо вы не ясно выражаетесь. Побробно описано в документации
http://cryptopro.ru/products/ca/downloads
ЖТЯИ.00067 01 90 01 КриптоПро УЦ Общее описание
7. Обеспечение кросс-сертификации


не совсем ясное понимание про кросс сертификаты
с чего же?


НЕ из документации от КриптоПРО:

Доверительные отношения могут быть построены с использованием следующих принципов:
Цитата:
Распределенная система доверительных отношений между УЦ. Распределенная система доверительных отношений подразумевает наличие самоподписанных сертификатов у администраторов всех УЦ, входящих в систему. Для установки доверительных отношений администраторы удостоверяющих центров издают кросс-сертификаты попарно по запросам друг друга. Таким образом, администратор каждого УЦ имеет не только самоподписанный сертификат, но и изданные кросс-сертификаты других УЦ, с кем были построены доверительные отношения.



Цитата:
Иерархическая система доверительных отношений между УЦ. Иерархическая система доверительных отношений подразумевает наличие самоподписанного сертификата только у администратора головного УЦ. Для установки доверительных отношений администраторы подчиненных УЦ формируют запросы на сертификат в вышестоящие УЦ. В вышестоящих УЦ по этим запросам издаются кросс-сертификаты и передаются обратно в подчиненные УЦ. Таким образом, администраторы подчиненных УЦ имеют кросс-сертификаты, изданные по их запросу в вышестоящем УЦ.

Отредактировано пользователем 10 февраля 2012 г. 19:04:14(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Андрей Писарев  
#14 Оставлено : 10 февраля 2012 г. 19:03:04(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,719
Мужчина
Российская Федерация

Сказал «Спасибо»: 500 раз
Поблагодарили: 2054 раз в 1594 постах
Цитата:
как физически происходит направление запроса?


Имея файл с запросом на кросс-сертификат - передать любым удобным способом (например, эл. почта) в УЦ2
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Eserten  
#15 Оставлено : 9 июня 2012 г. 16:51:25(UTC)
Eserten

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.06.2012(UTC)
Сообщений: 99
Откуда: Москва

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Подскажите, правильно ли я понял:
Проведя кросс-сертификацию по схеме: УЦ1 выпустил запрос на УЦ2, получил от него сертификат и установил. Теперь у УЦ1 есть самоподписанный серт. и кросс. В кроссе в поле "Издатель" будет значится УЦ2, "Субъект": УЦ1. При этом цепочка серт. пользователя, выпущенного УЦ1 будет выглядеть так:
УЦ1 (самоподписанный) - Кросс - Серт. пользователя.
Но в серте пользователя поле "Издатель" будет значится: УЦ1 (самоподписанный)?
Вверх
Offline Eserten  
#16 Оставлено : 19 июня 2012 г. 13:30:49(UTC)
Eserten

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.06.2012(UTC)
Сообщений: 99
Откуда: Москва

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
В более новой теме раскрыля ответ на данный вопрос. http://www.cryptopro.ru/....aspx?g=posts&t=4798
Вверх
Offline Юрий Маслов  
#17 Оставлено : 20 июня 2012 г. 16:13:37(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Eserten написал:
Подскажите, правильно ли я понял:
Проведя кросс-сертификацию по схеме: УЦ1 выпустил запрос на УЦ2, получил от него сертификат и установил. Теперь у УЦ1 есть самоподписанный серт. и кросс. В кроссе в поле "Издатель" будет значится УЦ2, "Субъект": УЦ1. При этом цепочка серт. пользователя, выпущенного УЦ1 будет выглядеть так:
УЦ1 (самоподписанный) - Кросс - Серт. пользователя.
Но в серте пользователя поле "Издатель" будет значится: УЦ1 (самоподписанный)?


Ваш вопрос связан с недопонимаем ответа на вопрос "зачем нужен кросс-сертификат". Так вот, кросс-сертификат нужен не для пользователей, являющихся владельцами сертификатов, изданных УЦ1, а для пользователей пользователей, являющихся владельцами сертификатов, изданных УЦ2. Именно на рабочих местах пользователей УЦ2 устанавливается кросс-сертификат на УЦ1 (в раздел "промежуточные ЦС" хранилища сертификатов).
Тогда система при построении цепочки сертификатов берёт сертификат пользователя УЦ1 у кого в поле "Издатель" значится УЦ1. Следующим сертификатом в цепочке система выбирает кросс-сертификат УЦ1 где в поле "Субъект" значится УЦ1, а в поле "Издатель" значится УЦ2. Следующим сертификатом в цепочке система выбирает корневой сертификат УЦ2 где в поле "Субъект" значится УЦ2, а в поле "Издатель" значится УЦ2. Именно совпадение значений полей "Субъект" и "Издатель" и означает, что сертификат самоподписанный, т.е. корневой!
С уважением,
КРИПТО-ПРО
Вверх
WWW
Offline Eserten  
#18 Оставлено : 20 июня 2012 г. 16:20:03(UTC)
Eserten

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.06.2012(UTC)
Сообщений: 99
Откуда: Москва

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Уже докопался до истины, но все равно спасибо за доходчивое объяснение.
Вверх
Offline Андрей Писарев  
#19 Оставлено : 20 июня 2012 г. 16:32:24(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,719
Мужчина
Российская Федерация

Сказал «Спасибо»: 500 раз
Поблагодарили: 2054 раз в 1594 постах
Юрий Маслов написал:
Именно совпадение значений полей "Субъект" и "Издатель" и означает, что сертификат самоподписанный, т.е. корневой!


Интересное заключение. Applause

А если запросить сертификат с тем же именем, как и "у корневого" Applause ?

Самоподписанный сертификат - проверяется своим же открытым ключом... Совпадение значений полей "Субъект" и "Издатель" не дает гарантии, что это самоподписанный...

Отредактировано пользователем 20 июня 2012 г. 16:35:05(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Юрий Маслов  
#20 Оставлено : 20 июня 2012 г. 17:07:53(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Андрей * написал:
Юрий Маслов написал:
Именно совпадение значений полей "Субъект" и "Издатель" и означает, что сертификат самоподписанный, т.е. корневой!


Интересное заключение. Applause

А если запросить сертификат с тем же именем, как и "у корневого" Applause ?

Самоподписанный сертификат - проверяется своим же открытым ключом... Совпадение значений полей "Субъект" и "Издатель" не дает гарантии, что это самоподписанный...


Согласен. Это я употребил, что бы не углубляться в термины RFC5280, согласно которому самоподписанный сертификат является разновидностью самоизданного сертификата. А согласно этому RFC самоизданный сертификат определяется именно по совпадению значений полей "Субъект" и "Издатель".
С уважением,
КРИПТО-ПРО
Вверх
WWW
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET