Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы12>
Подпись запроса на сертификат Администратором
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline writemaster_  
#1 Оставлено : 16 декабря 2015 г. 11:38:39(UTC)
writemaster_

Статус: Участник

Группы: Участники
Зарегистрирован: 02.11.2015(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 1 раз
В ветках:

https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=641
https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=7301
https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=7883

обсуждалась возможность подписания запроса на сертификат пользователя 3-им лицом, например Администратором или Оператором. Насколько можно понять из комментариев, такой возможности в КриптоПро УЦ 1.5 нет. Просьба дать комментарии почему данная возможность не поддерживается (возможно со ссылкой на нормативную документацию) и имеются ли варианты реализации данного функционала?
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Kirill Sobolev  
#2 Оставлено : 17 декабря 2015 г. 9:07:50(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Здравствуйте

Как раз возможность подписи запроса оператором или администратором есть, в частности, так работает АРМ Администратора при одобрении запроса.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline writemaster_  
#3 Оставлено : 17 декабря 2015 г. 10:05:52(UTC)
writemaster_

Статус: Участник

Группы: Участники
Зарегистрирован: 02.11.2015(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 1 раз
То есть, Оператор подписывает запрос только в случае если будет выпущен сертификат. Есть ли возможность, направлять и обрабатывать в УЦ ранее подписанный запрос? Речь идет о запросе подписанном 3-м лицом.
Вверх
Offline Kirill Sobolev  
#4 Оставлено : 17 декабря 2015 г. 10:59:44(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Да, конечно, в АРМ Администратора есть и такой функционал.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline writemaster_  
#5 Оставлено : 17 декабря 2015 г. 11:22:10(UTC)
writemaster_

Статус: Участник

Группы: Участники
Зарегистрирован: 02.11.2015(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 1 раз
Еще раз постараюсь описать задачу: пользователь создает запрос, его подписывает 3-е лицо и отправляет на обработку в УЦ, где по данному запросу выпускается сертификат.
Если такая возможность есть, то о чем говорит данная ошибка: "CertRequest.SubmitRequest error: signer's and request's DN not equal" ? Судя по тексту, нельзя обработать запрос, подписанный не самим пользователем.
Вверх
Offline Kirill Sobolev  
#6 Оставлено : 17 декабря 2015 г. 13:19:39(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Такой запрос не надо подписывать при отправке, а использовать метод SubmitFirstCertRequest.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline writemaster_  
#7 Оставлено : 17 декабря 2015 г. 15:33:04(UTC)
writemaster_

Статус: Участник

Группы: Участники
Зарегистрирован: 02.11.2015(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 1 раз
SubmitFirstCertRequest - Помещает самоподписанный запрос на сертификат в очередь на Центре Регистрации.
SubmitRequest - Помещает подписанный запрос на обновление сертификата в очередь запросов на сертификат.

Первый вариант для решения задачи не подходит, так как запрос должен быть не самоподписанным. Второй вариант не подходит, так как сверяется DN в запросе с DN в подписи и такой запрос нельзя одобрить.
Вверх
Offline Kirill Sobolev  
#8 Оставлено : 17 декабря 2015 г. 15:40:05(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Однако, в терминах УЦ 1.5 это именно самоподписанный запрос, так как пользователь передает его на УЦ без подписи своим предыдущим сертификатом.
Если бы подписывал - это бы был запрос на обновление сертификата.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline writemaster_  
#9 Оставлено : 18 декабря 2015 г. 9:58:45(UTC)
writemaster_

Статус: Участник

Группы: Участники
Зарегистрирован: 02.11.2015(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 1 раз
Вопрос не в том, подписывает ли пользователь свой запрос или нет, вопрос в том, можно ли отправить в УЦ запрос от одного пользователя, подписанный сертификатом другого (не Оператора и не Администратора), чтобы потом, Администратор/Оператор мог проверить действительность подписи и принять или отклонить такой запрос.
Вверх
Offline Kirill Sobolev  
#10 Оставлено : 18 декабря 2015 г. 10:44:29(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
С помощью АРМ Администратора - да.
Используя только ИВП - нет.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET