При работе с сертификатами
в программе "КриптоАРМ" их статус можно проверить с помощью
Revocation Provider (если на компьютере
пользователя установлен КриптоПро Revocation Provider).
С использованием Revocation Provider происходит
проверка статуса сертификата по протоколу
OCSP.
В процессе управления ключами
Удостоверящий центр имеет возможность отзыва выпущенных им
сертификатов, что необходимо для досрочного прекращения их
действия, например, в случае компрометации ключа. Процедура
проверки ЭЦП предусматривает помимо подтверждения ее математической
корректности еще и построение, и проверку цепочки сертификатов до
доверенного УЦ, а также проверку статусов сертификатов в
цепочке.
По умолчанию CryptoAPI
осуществляет проверку статусов сертификатов с использованием СОС
(CRL). СОС представляет собой список отозванных или
приостановленных сертификатов, издаваемый периодически - например,
раз в неделю. СОС не отражает информацию о статусах в реальном
времени, а также имеет ряд других недостатков, которых лишен
протокол OCSP - протокол получения статуса
сертификата в реальном времени.
Архитектура CryptoAPI
предоставляет возможность подключения внешнего модуля проверки
статусов сертификата - Revocation Provider.
КриптоПро Revocation
Provider предназначен для встраивания проверки статусов
сертификатов открытых ключей в режиме реального времени про
протоколу OCSP в ОС Windows.
КриптоПро Revocation
Provider, будучи установленным в системе, встраивается в
CryptoAPI и тем самым обеспечивает проверку статусов сертификатов
во всех приложениях по протоколу OCSP, причем
менять что-либо в самих приложениях не требуется.
Revocation Provider вызывается автоматически
каждый раз, когда приложение осуществляет действия с сертификатом.
Проверка сертификата в реальном времени по протоколу
OCSP обеспечивает большую безопасность по
сравнению с СОС.
Чтобы обеспечить использование
протокола OCSP для проверки статусов сертификатов,
используемых в конкретной информационной системе, необходимо, чтобы
в данной системе работал сервер OCSP. В качестве
сервера OCSP для КриптоПро Revocation Provider можно использовать
"КриптоПро OCSP Server".
Проверять статусы сертификатов в хранилище вы можете через
Главное окно программы (вид
"Эксперт").
Чтобы проверить статус
сертификата:
- В дереве элементов главного окна выберите раздел
Сертификаты - нужное вам
хранилище, в котором выберите сертификат для
проверки.
- В контекстном меню объекта или на панели инструментов выберите
пункт Проверить статус ->с
использованием Revocation Provider
! Для того чтобы
упростить процедуру проверки статуса сертификата, вы можете
в настройках выполнения операций указать
параметры проверки (верификации) сертификатов. Для выбранных
сертификатов в процессе работы всегда автоматически будет
использоваться указанный вами способ проверки.
! Для выполнения
проверки необходимо установить дополнительные настройки.
Статусы сертификатов
Возможны 3 статуса действительности
сертификатов, выданных УЦ:
«действителен» – выполняются все условия действительности
сертификата
«недействителен» -
-
- срок действия сертификата истек
- из OCSP Службы получен ответ "Сертификат отозван" или
сертификат включен в список отзыва, опубликованный УЦ (в
зависимости от типа Revocation Provider: Microsoft или
КриптоПро)
- не строится цепочка сертификации
- сертификат имеет некорректную ЭЦП
«неизвестен» – не удалось получить информацию о статусе сертификата
из OCSP службы или из УЦ
|