Atom Лента - Форум КриптоПро - Тема:Revocation Provider vs OCSP Client - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:RevocationProvidervsOCSPClient-10:1Copyright 2024 Форум КриптоПро2024-03-28T19:03:20Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.ruGuesthttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=1&name=GuestGuesthttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=1&name=GuestПавел Смирновhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=25&name=Павел СмирновRandoomhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=1605&name=RandoomПавел Смирновhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=25&name=Павел СмирновRandoomhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=1605&name=RandoomПавел Смирновhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=25&name=Павел СмирновRandoomhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=1605&name=RandoomПавел Смирновhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=25&name=Павел СмирновRandoomhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=1605&name=RandoomПавел Смирновhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=25&name=Павел СмирновYetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid7739:1Revocation Provider vs OCSP Client<table class="content postContainer_Alt" width="100%"><tr><td>ee</td></tr></table>2009-07-01T12:43:50+04:002009-07-01T12:43:50+04:00Guest<table class="content postContainer_Alt" width="100%"><tr><td>ee</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid7669:1Revocation Provider vs OCSP Client<table class="content postContainer" width="100%"><tr><td>Именно так.</td></tr></table>2009-06-29T14:35:42+04:002009-06-29T14:35:42+04:00Павел Смирнов<table class="content postContainer" width="100%"><tr><td>Именно так.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid7648:1Revocation Provider vs OCSP Client<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Смирнов написал:</span><blockquote>Вообще X509Chain пользуется CryptoAPI. Если на машине не будет CSP, то цепочка в любом случае не проверится. Возможно, Шарпей даже не нужен.<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Т.е. говоря иначе вызов X509Chain.Build() при условии ch.ChainPolicy.RevocationMode = X509RevocationMode.Online; всегда будет провоцировать хождение RP к ЦС и проверку каждого из сертификатов в цепочке на возможные проблемы - так ? </div></div><br />Если быть точным, то при условии корректного построения цепочки этот вызов будет провоцировать проверку статусов, для чего будет позван RP с флагом online. КриптоПро Revocation Provider в этом случае в первую очередь попробует обратиться к службе OCSP.</div></div><br />Вот, хорошо. А что случится если например будет отсутствовать соединение с интернет? X509Chain.Build() в связке с CSP вернет false?<br /></td></tr></table>2009-06-26T19:10:11+04:002009-06-26T19:10:11+04:00Randoom<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Смирнов написал:</span><blockquote>Вообще X509Chain пользуется CryptoAPI. Если на машине не будет CSP, то цепочка в любом случае не проверится. Возможно, Шарпей даже не нужен.<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Т.е. говоря иначе вызов X509Chain.Build() при условии ch.ChainPolicy.RevocationMode = X509RevocationMode.Online; всегда будет провоцировать хождение RP к ЦС и проверку каждого из сертификатов в цепочке на возможные проблемы - так ? </div></div><br />Если быть точным, то при условии корректного построения цепочки этот вызов будет провоцировать проверку статусов, для чего будет позван RP с флагом online. КриптоПро Revocation Provider в этом случае в первую очередь попробует обратиться к службе OCSP.</div></div><br />Вот, хорошо. А что случится если например будет отсутствовать соединение с интернет? X509Chain.Build() в связке с CSP вернет false?<br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid7640:1Revocation Provider vs OCSP Client<table class="content postContainer" width="100%"><tr><td>Вообще X509Chain пользуется CryptoAPI. Если на машине не будет CSP, то цепочка в любом случае не проверится. Возможно, Шарпей даже не нужен.<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Т.е. говоря иначе вызов X509Chain.Build() при условии ch.ChainPolicy.RevocationMode = X509RevocationMode.Online; всегда будет провоцировать хождение RP к ЦС и проверку каждого из сертификатов в цепочке на возможные проблемы - так ? </div></div><br />Если быть точным, то при условии корректного построения цепочки этот вызов будет провоцировать проверку статусов, для чего будет позван RP с флагом online. КриптоПро Revocation Provider в этом случае в первую очередь попробует обратиться к службе OCSP.</td></tr></table>2009-06-26T17:53:34+04:002009-06-26T17:53:34+04:00Павел Смирнов<table class="content postContainer" width="100%"><tr><td>Вообще X509Chain пользуется CryptoAPI. Если на машине не будет CSP, то цепочка в любом случае не проверится. Возможно, Шарпей даже не нужен.<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Т.е. говоря иначе вызов X509Chain.Build() при условии ch.ChainPolicy.RevocationMode = X509RevocationMode.Online; всегда будет провоцировать хождение RP к ЦС и проверку каждого из сертификатов в цепочке на возможные проблемы - так ? </div></div><br />Если быть точным, то при условии корректного построения цепочки этот вызов будет провоцировать проверку статусов, для чего будет позван RP с флагом online. КриптоПро Revocation Provider в этом случае в первую очередь попробует обратиться к службе OCSP.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid7638:1Revocation Provider vs OCSP Client<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Смирнов написал:</span><blockquote>Формулировку про "100% вероятность проверки сертификата" я не очень понимаю. Попробую пояснить так.<br /><br />Если вы зовёте метод X509Chain.Build() и при этом в ChainPolicy не отключена проверка статусов, то true на выходе означает, что с сертификатом всё в порядке: он не отозван и ему можно доверять (цепочка заканчивается сертификатом, имеющимся в хранилище Root).<br /><br />Чтобы гарантировать, что проверка ведётся только по OCSP при установленном RP вы можете:<br />1. Запретить для RP использование дополнительного Revocation Provider в групповой политике.<br />или<br />2. Использовать сертификаты, в которых в расширении CDP ничего нет, при этом должна быть исключена возможность попадания подходящего к данному сертификату CRL в локальное хранилище сертификатов.<br /><br />Если ни одно из этих условий не выполнено, а проверка по OCSP не удалась, то RP попробует проверить сертификат по CRL, и у него это может получиться, при этом X509Chain.Build() также вернёт true.</div></div><br />Про проверку понятно, спасибо.<br />Про 100% имелось ввиду взаимодействие X509Chain и CSP, я так понимаю оно происходит автоматически при инсталляции RTE Шарпея. <br />Т.е. говоря иначе вызов X509Chain.Build() при условии ch.ChainPolicy.RevocationMode = X509RevocationMode.Online; всегда будет провоцировать хождение RP к ЦС и проверку каждого из сертификатов в цепочке на возможные проблемы - так ? </td></tr></table>2009-06-26T17:43:57+04:002009-06-26T17:43:57+04:00Randoom<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Смирнов написал:</span><blockquote>Формулировку про "100% вероятность проверки сертификата" я не очень понимаю. Попробую пояснить так.<br /><br />Если вы зовёте метод X509Chain.Build() и при этом в ChainPolicy не отключена проверка статусов, то true на выходе означает, что с сертификатом всё в порядке: он не отозван и ему можно доверять (цепочка заканчивается сертификатом, имеющимся в хранилище Root).<br /><br />Чтобы гарантировать, что проверка ведётся только по OCSP при установленном RP вы можете:<br />1. Запретить для RP использование дополнительного Revocation Provider в групповой политике.<br />или<br />2. Использовать сертификаты, в которых в расширении CDP ничего нет, при этом должна быть исключена возможность попадания подходящего к данному сертификату CRL в локальное хранилище сертификатов.<br /><br />Если ни одно из этих условий не выполнено, а проверка по OCSP не удалась, то RP попробует проверить сертификат по CRL, и у него это может получиться, при этом X509Chain.Build() также вернёт true.</div></div><br />Про проверку понятно, спасибо.<br />Про 100% имелось ввиду взаимодействие X509Chain и CSP, я так понимаю оно происходит автоматически при инсталляции RTE Шарпея. <br />Т.е. говоря иначе вызов X509Chain.Build() при условии ch.ChainPolicy.RevocationMode = X509RevocationMode.Online; всегда будет провоцировать хождение RP к ЦС и проверку каждого из сертификатов в цепочке на возможные проблемы - так ? </td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid7636:1Revocation Provider vs OCSP Client<table class="content postContainer" width="100%"><tr><td>Формулировку про "100% вероятность проверки сертификата" я не очень понимаю. Попробую пояснить так.<br /><br />Если вы зовёте метод X509Chain.Build() и при этом в ChainPolicy не отключена проверка статусов, то true на выходе означает, что с сертификатом всё в порядке: он не отозван и ему можно доверять (цепочка заканчивается сертификатом, имеющимся в хранилище Root).<br /><br />Чтобы гарантировать, что проверка ведётся только по OCSP при установленном RP вы можете:<br />1. Запретить для RP использование дополнительного Revocation Provider в групповой политике.<br />или<br />2. Использовать сертификаты, в которых в расширении CDP ничего нет, при этом должна быть исключена возможность попадания подходящего к данному сертификату CRL в локальное хранилище сертификатов.<br /><br />Если ни одно из этих условий не выполнено, а проверка по OCSP не удалась, то RP попробует проверить сертификат по CRL, и у него это может получиться, при этом X509Chain.Build() также вернёт true.</td></tr></table>2009-06-26T17:16:19+04:002009-06-26T17:16:19+04:00Павел Смирнов<table class="content postContainer" width="100%"><tr><td>Формулировку про "100% вероятность проверки сертификата" я не очень понимаю. Попробую пояснить так.<br /><br />Если вы зовёте метод X509Chain.Build() и при этом в ChainPolicy не отключена проверка статусов, то true на выходе означает, что с сертификатом всё в порядке: он не отозван и ему можно доверять (цепочка заканчивается сертификатом, имеющимся в хранилище Root).<br /><br />Чтобы гарантировать, что проверка ведётся только по OCSP при установленном RP вы можете:<br />1. Запретить для RP использование дополнительного Revocation Provider в групповой политике.<br />или<br />2. Использовать сертификаты, в которых в расширении CDP ничего нет, при этом должна быть исключена возможность попадания подходящего к данному сертификату CRL в локальное хранилище сертификатов.<br /><br />Если ни одно из этих условий не выполнено, а проверка по OCSP не удалась, то RP попробует проверить сертификат по CRL, и у него это может получиться, при этом X509Chain.Build() также вернёт true.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid7623:1Revocation Provider vs OCSP Client<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Смирнов написал:</span><blockquote>RP в вашем случае удобнее. Вы будете просто проверять цепочку штатно с помощью класса X509Chain, а оно чудесным образом проверится с помощью OCSP (если получится).</div></div><br />А можно чуть подробнее, особенно про "если получится"? <br /><br />1) Насколько я понимаю X509Chain позволяет получить информацию о цепочке сертификатов, каким образом (и насколько в этом можно быть уверенным) CSP сама проверит текущее состояние и выведет его именно 100% актуальным?<br /><br />1.1) Какие настройки\инсталлированные продукты (кроме RTE шарпея и CSP) требуются на конечном клиенте для обеспечения 100% вероятности проверки сертификата?<br /><br />2) Достаточно ли просто получить цепочку через X509Chain при установленном CSP и убедиться что она заканчивается корневым сертификатом криптопро или это не является полной гарантией актуальности сертификата?</td></tr></table>2009-06-26T14:30:31+04:002009-06-26T14:30:31+04:00Randoom<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Смирнов написал:</span><blockquote>RP в вашем случае удобнее. Вы будете просто проверять цепочку штатно с помощью класса X509Chain, а оно чудесным образом проверится с помощью OCSP (если получится).</div></div><br />А можно чуть подробнее, особенно про "если получится"? <br /><br />1) Насколько я понимаю X509Chain позволяет получить информацию о цепочке сертификатов, каким образом (и насколько в этом можно быть уверенным) CSP сама проверит текущее состояние и выведет его именно 100% актуальным?<br /><br />1.1) Какие настройки\инсталлированные продукты (кроме RTE шарпея и CSP) требуются на конечном клиенте для обеспечения 100% вероятности проверки сертификата?<br /><br />2) Достаточно ли просто получить цепочку через X509Chain при установленном CSP и убедиться что она заканчивается корневым сертификатом криптопро или это не является полной гарантией актуальности сертификата?</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid7615:1Revocation Provider vs OCSP Client<table class="content postContainer" width="100%"><tr><td>RP в вашем случае удобнее. Вы будете просто проверять цепочку штатно с помощью класса X509Chain, а оно чудесным образом проверится с помощью OCSP (если получится).</td></tr></table>2009-06-26T12:31:43+04:002009-06-26T12:31:43+04:00Павел Смирнов<table class="content postContainer" width="100%"><tr><td>RP в вашем случае удобнее. Вы будете просто проверять цепочку штатно с помощью класса X509Chain, а оно чудесным образом проверится с помощью OCSP (если получится).</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid7613:1Revocation Provider vs OCSP Client<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Смирнов написал:</span><blockquote>CSP 3.6 включает в себя Revocation Provider (RP). RP использует функции OCSP-клиента, поэтому OCSP-клиент также устанавливается вместе с RP.<br /><br />OCSP-клиент - это библиотека, которую нужно встроить в приложение, чтобы пользоваться протоколом OCSP.<br /><br />RP при установке регистрируется в CryptoAPI как подключаемый модуль, поэтому все проверки статусов сертификатов начинают автоматически использовать RP, и следовательно, протокол OCSP.<br /><br />Если вы встраиваете OCSP-клиент самостоятельно, вы получаете максимальную гибкость. С помощью RP не получится, например, сохранить OCSP-ответ, по которому был проверен статус сертификата.</div></div><br /><br />Если есть необходимость только проверить в реальном времени актуальность сертификата, с учетом использования .Net как среды разработки - то какой вариант Вы был обозначили как самый удобный?<br />p.s. был бы также рад примеру использования данного варианта в связке с .Net</td></tr></table>2009-06-26T12:24:28+04:002009-06-26T12:24:28+04:00Randoom<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Смирнов написал:</span><blockquote>CSP 3.6 включает в себя Revocation Provider (RP). RP использует функции OCSP-клиента, поэтому OCSP-клиент также устанавливается вместе с RP.<br /><br />OCSP-клиент - это библиотека, которую нужно встроить в приложение, чтобы пользоваться протоколом OCSP.<br /><br />RP при установке регистрируется в CryptoAPI как подключаемый модуль, поэтому все проверки статусов сертификатов начинают автоматически использовать RP, и следовательно, протокол OCSP.<br /><br />Если вы встраиваете OCSP-клиент самостоятельно, вы получаете максимальную гибкость. С помощью RP не получится, например, сохранить OCSP-ответ, по которому был проверен статус сертификата.</div></div><br /><br />Если есть необходимость только проверить в реальном времени актуальность сертификата, с учетом использования .Net как среды разработки - то какой вариант Вы был обозначили как самый удобный?<br />p.s. был бы также рад примеру использования данного варианта в связке с .Net</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid6950:1Revocation Provider vs OCSP Client<table class="content postContainer" width="100%"><tr><td>CSP 3.6 включает в себя Revocation Provider (RP). RP использует функции OCSP-клиента, поэтому OCSP-клиент также устанавливается вместе с RP.<br /><br />OCSP-клиент - это библиотека, которую нужно встроить в приложение, чтобы пользоваться протоколом OCSP.<br /><br />RP при установке регистрируется в CryptoAPI как подключаемый модуль, поэтому все проверки статусов сертификатов начинают автоматически использовать RP, и следовательно, протокол OCSP.<br /><br />Если вы встраиваете OCSP-клиент самостоятельно, вы получаете максимальную гибкость. С помощью RP не получится, например, сохранить OCSP-ответ, по которому был проверен статус сертификата.</td></tr></table>2009-05-20T22:17:33+04:002009-05-20T22:17:33+04:00Павел Смирнов<table class="content postContainer" width="100%"><tr><td>CSP 3.6 включает в себя Revocation Provider (RP). RP использует функции OCSP-клиента, поэтому OCSP-клиент также устанавливается вместе с RP.<br /><br />OCSP-клиент - это библиотека, которую нужно встроить в приложение, чтобы пользоваться протоколом OCSP.<br /><br />RP при установке регистрируется в CryptoAPI как подключаемый модуль, поэтому все проверки статусов сертификатов начинают автоматически использовать RP, и следовательно, протокол OCSP.<br /><br />Если вы встраиваете OCSP-клиент самостоятельно, вы получаете максимальную гибкость. С помощью RP не получится, например, сохранить OCSP-ответ, по которому был проверен статус сертификата.</td></tr></table>