Проверка статуса сертификата с помощью Revocation Provider

При работе с сертификатами в программе "КриптоАРМ" их статус можно проверить с помощью Revocation Provider (если на компьютере пользователя установлен КриптоПро Revocation Provider).

С использованием Revocation Provider происходит проверка статуса сертификата по протоколу OCSP.

В процессе управления ключами Удостоверящий центр имеет возможность отзыва выпущенных им сертификатов, что необходимо для досрочного прекращения их действия, например, в случае компрометации ключа. Процедура проверки ЭЦП предусматривает помимо подтверждения ее математической корректности еще и построение, и проверку цепочки сертификатов до доверенного УЦ, а также проверку статусов сертификатов в цепочке.

По умолчанию CryptoAPI осуществляет проверку статусов сертификатов с использованием СОС (CRL). СОС представляет собой список отозванных или приостановленных сертификатов, издаваемый периодически - например, раз в неделю. СОС не отражает информацию о статусах в реальном времени, а также имеет ряд других недостатков, которых лишен протокол OCSP - протокол получения статуса сертификата в реальном времени.

Архитектура CryptoAPI предоставляет возможность подключения внешнего модуля проверки статусов сертификата - Revocation Provider.

КриптоПро Revocation Provider предназначен для встраивания проверки статусов сертификатов открытых ключей в режиме реального времени про протоколу OCSP в ОС Windows.

КриптоПро Revocation Provider, будучи установленным в системе, встраивается в CryptoAPI и тем самым обеспечивает проверку статусов сертификатов во всех приложениях по протоколу OCSP, причем менять что-либо в самих приложениях не требуется. Revocation Provider вызывается автоматически каждый раз, когда приложение осуществляет действия с сертификатом. Проверка сертификата в реальном времени по протоколу OCSP обеспечивает большую безопасность по сравнению с СОС.

Чтобы обеспечить использование протокола OCSP для проверки статусов сертификатов, используемых в конкретной информационной системе, необходимо, чтобы в данной системе работал сервер OCSP. В качестве сервера OCSP для КриптоПро Revocation Provider можно использовать "КриптоПро OCSP Server".

Проверять статусы сертификатов в хранилище вы можете через Главное окно программы (вид "Эксперт").

Чтобы проверить статус сертификата:

1. В дереве элементов главного окна выберите раздел Сертификаты - нужное вам хранилище, в котором выберите сертификат для проверки.
2. В контекстном меню объекта или на панели инструментов выберите пункт Проверить статус ->с использованием Revocation Provider

! Для того чтобы упростить процедуру проверки статуса сертификата, вы можете в настройках выполнения операций указать параметры проверки (верификации) сертификатов. Для выбранных сертификатов в процессе работы всегда автоматически будет использоваться указанный вами способ проверки.

! Для выполнения проверки необходимо установить дополнительные настройки.

Статусы сертификатов

Возможны 3 статуса действительности сертификатов, выданных УЦ:

• «действителен» – выполняются все условия действительности сертификата
• «недействителен» -
• • срок действия сертификата истек
  • из OCSP Службы получен ответ "Сертификат отозван" или сертификат включен в список отзыва, опубликованный УЦ (в зависимости от типа Revocation Provider: Microsoft или КриптоПро)
  • не строится цепочка сертификации
  • сертификат имеет некорректную ЭЦП
• «неизвестен» – не удалось получить информацию о статусе сертификата из OCSP службы или из УЦ