Зачем нужны промежуточные УЦ?
1.Если скомпрометирован промужуточный Серт., то его можно отозвать, не отзывая корневой и все промежуточные, подписанные этим корневым. Поэтому область воздействия скомпро- метированного Серт. сужается.
2. Многие Серт. выпускаются автоматически, Это означает, что закрытый ключ должен находиться на сервере, что создает риски его компро-ции. Лучше подвергнуть риску промежуточный УЦ, а не корневой. А закрытый ключ корневого УЦ хранить в надежном месте, не подключенном к сети, и использовать не часто, только для подписания Серт. промежуточных УЦ.
3.Списки отозванных сертификатов (CRL) могут быть очень велики. Имея несколько промежуточных Сарт. УЦ может разделить свой пул выпущенных сертификатов между промежуточными УЦ и публиковать меньшие по размеру CRL по одному на каждый ПУЦ Всякий, кто может получить необходимые сертификаты и построить цепочку, может проверит сертификат.
Проверка сертификатов
Проверкой сертификатов занимается браузер или другой HTTP – клиент.
Браузер получает сертификат сервера во время процедуры квитирования TLS. Сертификат корневого УЦ находится в хранилище сертификатов в браузере или в ОС. (В большинстве ОС имеются общесистемные хранилища серт-в) Эти хранилища регулярно обновляются с помощью механизмов обновления ОС или браузера. Обслуживание хранилищ выполняет производитель ОС или браузера.
Хранилища подразделяются на хранилища надежных УЦ (это хранилища хорошо известных УЦ); хранилища ненадежных УЦ (промежуточные УЦ); хранилища серт. клиентов с закрытыми ключами.
Промежуточные сертификаты для проверки браузер обычно получает от веб-сервера вместе с сертификатом сайта.
Выпуск сертификатов.
1.Заявитель (будущий владелец сертификата)генерирует открытый и закрытый ключи сертификата; 2.Заявитель генерирует запрос на подписание сертификата
(СSR),который содержит наименование субъекта, открытый ключ, запрошенные расширения и подпись CSR. (подписывается закрытым ключем сертификата). 3.Заявитель отправляет CSR в УЦ для подписания.
4. УЦ проверяет личность заявителя.
5.УЦ изготавливает сертификат на основе информации, взятой из CSRи добавляетдругую информацию (наименование издателя, срок действия, расширения) и подписывает сертификат:
6. УЦ отправляет сертификат заявителю, который становится его владельцем или держателем..
Виды проверок заявителя
. Сертификат с подтвержденным доменом Domain-Validation-DV)
достоверяет, что браузер подключился к сайту с доменным именем, указанным в сертификате, например, www.openssl.org. V – сертификат не гарантирует, что сайт представляет какую-то конкретную организацию.
езопасно только подключение, сам сайт может быть не безопасным. чем польза?
ащищают пользователей браузера от атак с отправлением DNS и человеком посередине. С высокой вероятностью пользователь может предполагать, что пользователь действительно подключился к сайту указанному в адресной строке браузера.
8 $ в год).
2. Сертификаты с расширенным подтверждением (Extended
Validation (EV)
УЦ выполняет проверки: что CSR из организации, владеющей доменом; что название организации в поле Subject запроса совпадает с истинным названием; что организация зарегистрирована в государственном реестре организаций; что адрес и телефор реальны,что человек запросивщий сертификат, действует от имени организации.EV-сертификаты только
для юридических лиц. (90 $ в год).
3.Сертификаты с подтверждением юридического лица (Organization Validation OV)
4.Сертификаты с подтверждением физического лица (Individual Validation (IV)
Занимают промежуточное положение междуDV и EV.
В этих сертификатах проверяется подлинность юридического или физического лица. Выпущенный сертификат содержим имя влвдельца в поле Subject/
Программные средства поддержки PKI
рограммные обеспечение PKI мировых производителей
Entrust/PKI 5.0 Baltimore UniCERT 5.0 BT TrustWise`Onsite 4.5 IBM Trust Authority 3.1
RSA Kenon certification Authority 6.5
PKI, интегрированные в операционные системы:
Novell: Public key Infrastructure Services (PKIS) Microsoft: Microsoft Certificate Services
Программное обеспечение PKI российских компаний:
•Программный комплекс VCERT PKI;
•Средство криптографической защиты КриптоПро CSP;
•Программный комплекс «Вепрь»
Применение сертификатов в Windows
1.Защищенная электронная почта: -ЭП электронных документов; -Шифрование данных.
2.Безопасное сетевое взаимодействие: -Проверка подлинности сервера; -Проверка подлинности клиента.
3.Осуществление VPN соединений (протокол IPSec).
4.ЭП программных компонент и их прверка (модуль Authenicode).
5.Шифрующая файловая система (EFS).
6. Аутентификация пользователей с помощью смарт-карт.
