Использование сертификата
можно условно разделить на два этапа – проверка статуса сертификата
(его валидности) и, в случае валидности, его использование для
выполнения криптографических операций.
Каждый раз при обращении к сертификату программа
"КриптоАРМ" проверяет его статус.
Существует четыре
типа проверки статуса сертификатов:
(! типы проверки приведены по возрастанию
значимости)
- По локальному
списку отзыва сертификатов (СОС)
- По СОС из Удостоверяющего центра
- С использованием
Revocation Provider
- В OCSP службе
Статус сертификата проверяется по следующим
параметрам:
Проверка срока действия
сертификата
|
Проверяется, истек или
нет срок действия цифрового сертификата
|
Проверка корректности
электронной подписи выдавшего сертификат Удостоверяющего
центра
|
Для заверения вашего
личного цифрового сертификата используется электронная цифровая
подпись Удостоверяющего центра, в котором вы получили свой
сертификат. Для того чтобы статус вашего сертификата был
"Действителен", необходимо иметь установленный корневой сертификат
и актуальный список отзыва сертификатов.
|
Построение цепочки (до
корневого)
|
Доверие к личному
сертификату пользователя определяется на основе цепочки
сертификатов. Начальным элементом цепочки является корневой
сертификат УЦ, хранящийся в хранилище Доверенные корневые
центры сертификации.
|
Проверка
действительности сертификата по спискам отзыва сертификатов
|
По умолчанию при работе
с сертификатами в КриптоАРМ их отозванность проверяется по СОС,
установленному в хранилище Промежуточные центры
сертификации. Но также возможно выполнить проверку
сертификата по СОС, полученному из УЦ, или с
помощью Revocation
Provider.
|
Статусы сертификатов
Возможны 3 статуса действительности
сертификатов, выданных УЦ:
«действителен»
«недействителен»
«неизвестен»
Сертификат является действительным,
если:
- Подпись Удостоверяющего центра под сертификатом корректна
- Срок действия сертификата не истек
- Сертификат используется для тех целей, для которых был
создан
- Сертификат не отозван и его действие не приостановлено
Проверять статусы сертификатов в хранилище вы
можете через Главное окно программы (вид
"Эксперт").
Чтобы проверить статус сертификата:
- В дереве элементов главного окна выберите раздел
Сертификаты - нужное вам
хранилище, в котором выберите сертификат для
проверки.
- В контекстном меню объекта или на панели инструментов выберите
пункт Проверить статус
- по локальному списку отзыва сертификатов (списку,
установленному в хранилище Списки отзыва
сертификатов)
- по списку отзыва из Удостоверяющего центра (в онлайн-режиме по
локальной сети)
- с использованием Revocation
Provider
- проверить в OCSP службе
При проверке статуса сертификата могут
возникнуть следующие сообщения:
Истёк срок действия
сертификата
|
Сертификат, которым
подписаны данные, просрочен
|
Невозможно построить цепочку
для сертификата
|
Невозможно построить
цепочку сертификатов от клиентского сертификата до сертификата
доверенного УЦ
|
Произошла ошибка при
обновлении СОС
|
Настройки системы
безопасности не предполагают обновлений СОС; библиотека
CPCRLUpdate.dll отсутствует или не зарегистрирована
|
Произошла ошибка при открытии
хранилища
|
Нет прав доступа к
хранилищу сертификатов
|
СОС найден, однако возник
сбой при его обработке
|
СОС хранится в неизвестном
формате
|
СОС найден, однако он
нуждается в обновлении
|
Дата обновления СОС
истекла, необходимо обновить СОС в УЦ, для того чтобы сертификат
был действительным
|
Ошибка при сопоставлении СОС
и сертификата
|
Ошибка в процессе поиска
клиентского сертификата в последнем выпущенным УЦ СОС
|
Сертификат содержится в
СОС
|
Сертификат недействителен
(отозван в УЦ по какой-либо причине и занесен в СОС)
|
|