- •По теме: «Цифровые сертификаты»
- •Определения
- •Основная часть
- •2.1.1.2 Классификация ssl сертификатов по доверительным признакам
- •2.1.1.3 Классификация ssl сертификатов в зависимости от количества доменов и поддоменов
- •4 Область применения
- •5.1 Центр сертификации
- •7 Корневые сертификаты
- •Заключение
- •Список использованных источников
5.1 Центр сертификации
Центр сертификации или удостоверяющий центр – доверенная третья сторона, обеспечивающая аутентификацию открытых ключей, содержащихся в сертификатах. СА имеет собственную пару ключей (открытый/секретный), где секретный используется для подписания сертификатов, а открытый публикуется и используется пользователями для проверки подлинности открытого ключа, содержащегося в сертификате.
Центр сертификации является официальным гарантом безопасного подключения связи между клиентом и сервером, тем самым, неся ответственность за сохранность и конфиденциальность передаваемой информации.
Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов.
Центр сертификации ключей имеет право:
предоставлять услуги по удостоверению сертификатов электронной цифровой подписи
обслуживать сертификаты открытых ключей
получать и проверять информацию, необходимую для создания соответствия информации указанной в сертификате ключа и предъявленными документами.
5.2 CSR
Перед тем как послать заявку на получение SSL сертификата необходимо провести процедуру генерации CSR – это обязательная процедура подготовки к приобретению цифрового сертификата.
CSR – это небольшой кусок зашифрованного текста, который представляет собой запрос на получение SSL сертификата. Этот фрагмент текста содержит в себе полную информацию о доменном имени и организации, на которую выписывается сертификат. CSR генерируется на сервере клиента, после чего копия файла, в обязательном порядке, должна быть отправлена вместе с анкетой на получение сертификата.
В процессе генерации запроса необходимо ввести следующую информацию, которая впоследствии будет указана в сертификате безопасности.
Параметры сертификата |
||
Параметры сертификата |
Значение |
Пример |
Type of certificate |
Тип сертификата |
Comodo InstantSSL |
Common Name |
Полное имя домена, на который выписывается сертификат (для Wildcard-сертификата имя домена должно начинаться с «*.») |
www.marchenko.ru (для WildCard SSL сертификатов - *.marchenko.ru) |
Country Name |
Двухбуквенный код страны |
RU |
State or Province Name |
Наименование области или края, в которой зарегистрирована организация |
Moscow |
Locality Name |
Название населенного пункта: город, поселок, село… |
Moscow |
Organization Name |
Полное название организации по Уставу, или ФИО физического лица |
MyOrganisationName |
Organizational Unit Name |
Наименование отдела, который приобретает сертификат (не обязательное поле ввода) |
IT |
e-mail adress |
электронный адрес для дальнейшего подтверждения данных (не обязательное поле ввода) |
admin@MyCompany.com |
При заполнении данных необходимо:
чтобы все данные введены исключительно на английском языке;
вводить только полные названия,использовать сокращения нельзя;
нельзя использовать следующие символы: < > ~ ! @ # $ % ^ * / \ ( ) ?.,&
В результате генерации будет создан и сохранён в файле www.marchenko.ru.csr запрос на получение сертификата. Следует сделать резервную копию секретного ключа, он понадобится при установке SSL сертификата, в случае потери восстановить его будет невозможно. В целях безопасности копию хранят в секрете, и никто не должен иметь к нему доступ. Если же все-таки ключ был потерян придется пройти процедуру генерации запроса заново, а следовательно выпустить новый сертификат безопасности.
После того, как запрос CSR на получение сертификата был сгенерирован, его содержимое отправляется вместе с анкетой сертификационному центру. После чего, в случае успешной проверки, можно получить SSL сертификат безопасности.
6 Стандарт X.509
X. 509 – стандарт, определяющий форматы данных и процедуры распределения открытых ключей с помощью сертификатов с цифровыми подписями, которые предоставляются сертификационными органами.
Стандарт X.509 устанавливает наличие в цифровом сертификате следующих полей:
номер версии формата, которому соответствует сертификат.
серийный номер сертификата. Уникальный номер, присваиваемый каждому сертификату, выпускаемому конкретным CA (т.е. данное поле в паре со следующим образуют уникальный идентификатор сертификата).
идентификатор CA, который выпустил данный сертификат (т.е. сгенерировал пару ключей и подписал открытый ключ).
срок действия сертификата. Указывается диапазон, т.е. дата начала и дата окончания срока действия.
персональные данные пользователя, которому принадлежит сертификат.
собственно открытый ключ пользователя.
уникальный идентификатор CA и уникальный идентификатор пользователя.
код алгоритма, примененного при вычислении сертифицирующей ЭЦП.
Сертифицирующая ЭЦП.
Все поля сертификата записываются по принципу TLV, который в настоящее время имеет широкое распространение в различных форматах, особенно в области коммуникаций.
Стандарт X.509 призван обеспечить совместимость различных средств криптографической защиты информации. Имея набор обязательных полей для обеспечения взаимопонимания между программными средствами и разными производителями, в то же время, данный формат позволяет гибко настраивать содержимое сертификатов конкретных ИОК для обеспечения максимальной эффективности их использования.