Revocation Provider

При работе с сертификатами в КриптоАРМ их отозванность можно проверить с помощью Revocation Provider (если на компьютере пользователя установлен КриптоПро Revocation Provider).

С использованием Revocation Provider происходит проверка статуса сертификата по протоколу OCSP.

В процессе управления ключами Удостоверящий центр имеет возможность отзыва выпущенных им сертификатов, что необходимо для досрочного прекращения их действия, например, в случае компрометации ключа. Процедура проверки ЭЦП предусматривает помимо подтверждения ее математической корректности еще и построение, и проверку цепочки сертификатов до доверенного УЦ, а также проверку статусов сертификатов в цепочке.

По умолчанию CryptoAPI осуществляет проверку статусов сертификатов с использованием СОС (CRL). СОС представляет собой список аннулированных или приостановленных сертификатов, издаваемый периодически - например, раз в неделю. СОС не отражает информацию о статусах в реальном времени, а также имеет ряд других недостатков, которых лишен протокол OCSP - протокол получения статуса сертификата в реальном времени.

Архитектура CryptoAPI предоставляет возможность подключения внешнего модуля проверки статусов сертификата - Revocation Provider.

КриптоПро Revocation Provider предназначен для встраивания проверки статусов сертификатов открытых ключей в режиме реального времени про протоколу OCSP в ОС Windows.

КриптоПро Revocation Provider, будучи установленным в системе, встраивается в CryptoAPI и тем самым обеспечивает проверку статусов сертификатов во всех приложениях по протоколу OCSP, причем менять что-либо в самих приложениях не требуется. Revocation Provider вызывается автоматически каждый раз, когда приложение осуществляет действия с сертификатом. Проверка сертификата в реальном времени по протоколу OCSP обеспечивает большую безопасность по сравнению с СОС.

Чтобы обеспечить использование протокола OCSP для проверки статусов сертификатов, используемых в конкретной информационной системе, необходимо, чтобы в данной системе работал сервер OCSP. В качестве сервера OCSP для КриптоПро Revocation Provider можно использовать "КриптоПро OCSP Server".

Назад к странице "Получение статуса сертификатов"

________________________________________________
© 2002 - 2007, Digt.    Адрес для контактов: info@digt.ru;
Техническая поддержка: support@digt.ru