Проверка статуса сертификата

Использование сертификата можно условно разделить на два этапа – проверка статуса сертификата (его валидности) и, в случае валидности, его использование для выполнения криптографических операций.

Каждый раз при обращении к сертификату программа "КриптоАРМ" проверяет его статус.

Существует четыре типа проверки статуса сертификатов:

(! типы проверки приведены по возрастанию значимости)

  1. По локальному списку отзыва сертификатов (СОС)
  2. По СОС из Удостоверяющего центра
  3. С использованием Revocation Provider
  4. В OCSP службе

Статус сертификата проверяется по следующим параметрам:

Параметры проверки
Пояснение
Проверка срока действия сертификата
Проверяется, истек или нет срок действия цифрового сертификата
Проверка корректности электронной подписи выдавшего сертификат Удостоверяющего центра
Для заверения вашего личного цифрового сертификата используется электронная цифровая подпись Удостоверяющего центра, в котором вы получили свой сертификат. Для того чтобы статус вашего сертификата был "Действителен", необходимо иметь установленный корневой сертификат и актуальный список отзыва сертификатов.
Построение цепочки (до корневого)
Доверие к личному сертификату пользователя определяется на основе цепочки сертификатов. Начальным элементом цепочки является корневой сертификат УЦ, хранящийся в хранилище Доверенные корневые центры сертификации.
Проверка действительности сертификата по спискам отзыва сертификатов
По умолчанию при работе с сертификатами в КриптоАРМ их отозванность проверяется по СОС, установленному в хранилище Промежуточные центры сертификации. Но также возможно выполнить проверку сертификата по СОС, полученному из УЦ, или с помощью Revocation Provider.

Статусы сертификатов

Возможны 3 статуса действительности сертификатов, выданных УЦ:

  • «действителен»
  • «недействителен»
  • «неизвестен»

Сертификат является действительным, если:

  1. Подпись Удостоверяющего центра под сертификатом корректна
  2. Срок действия сертификата не истек
  3. Сертификат используется для тех целей, для которых был создан
  4. Сертификат не отозван и его действие не приостановлено

Проверять статусы сертификатов в хранилище вы можете через Главное окно программы (вид "Эксперт").

Чтобы проверить статус сертификата:

  1. В дереве элементов главного окна выберите раздел Сертификаты - нужное вам хранилище, в котором выберите сертификат для проверки.
  2. В контекстном меню объекта или на панели инструментов выберите пункт Проверить статус
  • по локальному списку отзыва сертификатов (списку, установленному в хранилище Списки отзыва сертификатов)
  • по списку отзыва из Удостоверяющего центра (в онлайн-режиме по локальной сети)
  • с использованием Revocation Provider
  • проверить в OCSP службе

При проверке статуса сертификата могут возникнуть следующие сообщения:

Сообщение
Пояснения
Истёк срок действия сертификата
Сертификат, которым подписаны данные, просрочен
Невозможно построить цепочку для сертификата
Невозможно построить цепочку сертификатов от клиентского сертификата до сертификата доверенного УЦ
Произошла ошибка при обновлении СОС
Настройки системы безопасности не предполагают обновлений СОС; библиотека CPCRLUpdate.dll отсутствует или не зарегистрирована
Произошла ошибка при открытии хранилища
Нет прав доступа к хранилищу сертификатов
СОС найден, однако возник сбой при его обработке
СОС хранится в неизвестном формате
СОС найден, однако он нуждается в обновлении
Дата обновления СОС истекла, необходимо обновить СОС в УЦ, для того чтобы сертификат был действительным
Ошибка при сопоставлении СОС и сертификата
Ошибка в процессе поиска клиентского сертификата в последнем выпущенным УЦ СОС
Сертификат содержится в СОС
Сертификат недействителен (отозван в УЦ по какой-либо причине и занесен в СОС)
________________________________________________
© 2002 - 2007, Digt.    Адрес для контактов: info@digt.ru;
Техническая поддержка: support@digt.ru