КриптоПро | Использование КриптоПро OCSP

КриптоПро | Использование КриптоПро OCSP ЭЦП
На чтение 3 мин. Просмотров 3 Опубликовано
Содержание
  1. Криптопро ocsp server
  2. Криптопро revocation provider
  3. Настройки работы с ocsp службой

Криптопро ocsp server

При совместной работе ПАК «КриптоПро УЦ» и ПАК «КриптоПро OCSP Server» для предоставления пользователям актуальной информации о статусах сертификатов по протоколу OCSP рекомендуется использовать совмещенный режим работы. При этом, в качестве источника информации о статусах сертификатов используются базы данных Центра Сертификации и Центра Регистрации ПАК «КриптоПро УЦ». Подробнее о данном режиме можно узнать здесь.

Криптопро revocation provider

В операционных системах семейства Microsoft Windows встроена поддержка технологии Инфраструктуры открытых ключей. Многие приложения, работающие под управлением этих ОС, используют интерфейс CryptoAPI для осуществления функций криптографической защиты информации.

По умолчанию приложения, использующие CryptoAPI, осуществляют проверку статусов сертификатов с использованием списков отозванных сертификатов (СОС). СОС представляет собой список недействительных сертификатов, издаваемый периодически – например, раз в неделю.

СОС не отражает информацию о статусах сертификатов в реальном времени, а также имеет ряд других недостатков, которых лишён протокол OCSP – протокол получения статуса сертификата в реальном времени. Режим установления статуса сертификатов по умолчанию реализован в модуле ОС – Microsoft Revocation Provider.

Но архитектура CryptoAPI предоставляет возможность подключения и внешних модулей проверки статуса сертификата. Таковым и является продукт «КриптоПро Revocation Provider», который предназначен для встраивания проверки статусов сертификатов открытых ключей в режиме реального времени по протоколу OCSP в операционные системы семейства Microsoft Windows.

Схема встраивания «КриптоПро Revocation Provider» в операционные системы семейства Microsoft Windows представлена на рисунке:

Основные характеристики «КриптоПро Revocation Provider»:

Загрузить «КриптоПро Revocation Provider».

Настройки работы с ocsp службой

Для работы со Службой OCSP при создании классической
электронной цифровой подписи необходимо указать параметры доступа к
службе OCSP

в групповых политиках либо в сертификате и настройках
«КриптоАРМ»:

КриптоПро | Использование КриптоПро OCSP

КриптоПро | Использование КриптоПро OCSP

Для работы со Службой OCSP при создании
усовершенствованной электронной цифровой подписи
необходимо

  • выполнять следующие условия:
    • OCSP-Служба должна быть настроена на работу с базой данных
      Удостоверяющего центра (а не по СОС)
    • Сертификат OCSP-оператора должен иметь расширение
      no-check (формируется «КриптоПро УЦ» версии
      1.4)
  • указать параметры доступа к службе OCSP в групповых политиках
    либо в сертификате и настройках «КриптоАРМ»

Для настройки параметров доступа к службе OCSP в групповых
политиках выполните следующие действия:

  1. Откройте Пуск
    Выполнить.
  2. Укажите Редактор объекта групповой политики
    gpedit.msc    :

КриптоПро | Использование КриптоПро OCSP

  1. Отредактируйте основные объекты групповой политики:
    Политика «Локальный компьютер»
    Конфигурация
    компьютера    /КонфигурацияпользователяАдминистративные
    шаблоны    Крипто-ПроКриптоПро
    OCSP Client     (установите
    Включен):

для усовершенствованной ЭЦП

  • Адрес OCSP Службы: адреспо
    умолчанию     (указывается в том случае, если она не указана в
    сертификате)
  • Аутентификация (прокси-сервер): тип по
    умолчанию     (позволяет задать тип аутентификации,
    используемый по умолчанию при соединении с прокси-сервером)
    (указывается в том случае, если тип аутентификации не указан в
    настройке/мастере TSP)
  • Прокси-сервер: адрес прокси-сервера по
    умолчанию     (определяет прокси-сервер, используемый по
    умолчанию при подключении к службе OCSP) (указывается в том случае,
    если тип аутентификации не указан в настройке/мастере TSP)

для классической ЭЦП

  • Адрес OCSP Службы: адреспо
    умолчанию     (указывается в том случае, если она не указана в
    настройке OCSP и сертификате)
  • Аутентификация (прокси-сервер): тип по
    умолчанию     (позволяет задать тип аутентификации,
    используемый по умолчанию при соединении с прокси-сервером)
    (указывается в том случае, если тип аутентификации не указан в
    настройке OCSP)
  • Прокси-сервер: адрес прокси-сервера по
    умолчанию     (определяет прокси-сервер, используемый по
    умолчанию при подключении к службе OCSP) (указывается в том случае,
    если тип аутентификации не указан в настройке OCSP)

КриптоПро | Использование КриптоПро OCSP

28147 3410 3410-94 3411 3411-94 authority CA certificate certification certification authority CRL crypto cryptoapi csp digest digital signature e-commerce ecommerce encryption hash itu-t LDAP pkcs pki public key infrastructure RA registraction authotity registration rfc2459 rsa s/mime secure socket layer signarure smime SSL TLS vpn X.509 x509 безопасность гост закрытый ключ защита защита информации защита персональных данных защищенная почта защищенный документооборот защищенный электронный документооборот интернет информация инфраструктура ИСПДн конфиденциальность крипто крипто-про криптография криптозащита криптопро мккт несанкционированный доступ НСД открытый ключ персональные данные почта программное обеспечение программы регистрация секретный ключ сертификат сертификат ключа подписи сертификат открытого ключа сертификат ФСБ сертификация СКЗИ средства электронной цифровой подписи Средства ЭЦП удостоверяющий центр удостоверяющий центр ключей подписи центр регистрации центр сертификации цифровая подпись шифрование электронная подпись электронная цифровая подписи электронный документ ЭЦП юридическая значимость юридическая значимость электронного документооборота
Оцените статью
ЭЦП64
Добавить комментарий

© 2022 ЭЦП64