Обсуждение использования сервисов TSP и OCSP

Ссылка на тестовые сертификаты http://www.pki.gov.kz/docs/testcert_13052010~1.zip

вот большое спасибо!

зы. форум жив!

А проверять срок годности сертификата обязательно? ведь если сертификат просрочен то по OCSP запросу он же его не найдёт?
и ещё вопрос возможно ли(в чём я сомневаюсь) с помощью php работать с личными сертификатами? если нет то каким образом можно скопировать на сервер личный сертификат, а дальше я его вскрою средставами php и пошлю на проверку, может java или javascript на подобное способны.
А то загвоздка в том что я проверку по ocsp сделал грубо скопировал RSA и вставил в переменную мне теперь нужно чтобы этот RSA автоматически извлекался из сертификата.

Если на стороне сервера, для установления аутентификации используется ПО, в котором полноценно реализована поддержка сертификатов открытых ключей, то проверку можно не делать, так как еще до установления сессии, просроченный сертификат будет отброшен данным программным обеспечением. К примеру связка Apache, mod_ssl, OpenSSL.
Все это касается RSA сертификата.
Если же рассматривать подпись ГОСТом, то тут ваш код должен делать проверку срока действия сертификата.

Если вы отправите тело просроченного, но НЕ ОТОЗВАННОГО сертификата OCSP респондеру, то он ответит вам, что он ДЕЙСТВИТЕЛЕН. Сервис может определять ТОЛЬКО отозван ли сертификат или нет.

Для работы PHP с личными сертификатами посмотрите в сторону библиотеки capicom, которая есть по умолчанию в Windows XP. Но, насколько мне известно, она уже не используется, начиная с Windows Vista.

Спасибо, а каким образом можно проверить срок годности сертификата?
и ещё
поповоду библиотеки Capicom с ней можно работать на Ubuntu 10.04? и есть какая нибудь документация у вас?

>Спасибо, а каким образом можно проверить срок годности сертификата?
Варианты:
1) Использовать функции языка (библиотеки, платформы).
2) Воспользоваться средствами ПО, работающего с сертификатами X.509
3) Визуально

>по поводу библиотеки Capicom с ней можно работать на Ubuntu 10.04? и есть какая нибудь документация у вас?
Нет. Можете попробовать Wine

Все можно найти в сети

1. Capicom как я понял на сервере устанавливать не обязательно?
2. Насчёт срока годности я так понял о нём написано в самом сертификате?
3. Wine - это тоже библиотека?

1. Зависит от способа проверки и ОС на сервере.
Если у вас Unix like система, то capicom-а у вас там точно не будет (см. выше)
2. Да
3. ПО, реализующее эмуляцию WinAPI на Unix системах

1. Мне нужно будет просто вытащить из личного сертификата RSA и срок действия.

AdminCA wrote:Сервисы OCSP и TSP реализованы в виде CGI. Воспользоваться ими можно используя метод POST в коде.

Вот их URL-ы:

1) http://ocsp.pki.kz:62223/cgi/status - OCSP

2) http://tsp.pki.kz:62224/cgi/tsp - TSP

Здраствуйте,
У меня вопрос по .net api который есть в sdk. Можно ли воспользоваться классами OcspResp, OCSPHelper, TimeStampResponse, TimeStampTokenInfo или они только используются вместе с LdapConnection и которые сейчас устарели и не используется и единственный способ узнать что сертификат отозван или нет, это пропарсить ответ который возвращается на втором шаге. Если все таки эти классы можно использовать, то не могли бы вы привести пример. Заранее спасибо.

Данный вопрос Вам нужно задать самим разработчикам: Сайт: http://gamma.kz/, email: gammat@gamma.kz

AdminCA wrote:Ссылка на тестовые сертификаты http://www.pki.gov.kz/docs/testcert_13052010~1.zip

Здравствуйте, Admin, как пользоваться тестовыми сертификатами? Как подцепить их к TumarCSP?

Адреса:

1) http://ocsp.pki.kz:62223/cgi/status - OCSP

2) http://tsp.pki.kz:62224/cgi/tsp - TSP

не работают.

пишет что сервер оборвал соединение.
в чем может быть проблема.
раньше все работало.

С сервисами все в порядке, проверяйте на своей стороне.

сервисы в выходные не работали, включили только в понедельник утром часов в 10-11