Подключение к вашему хранилищу

Здравствуйте, мне нужно установить ЭЦП для пары сайтов, а проверять на подлинность каждый сертификат нет возможности возможно ли подключиться к чужим базам? т.е

или база у каждого своя?

1. Вам необходимо подать заявку на SSL сертификат (для ваших серверов)

2. Проверку сертификатов вам все равно придется делать, иначе вообще нет смысла в цифровых сертификатах.
Другой вопрос - как это делать? Тут есть два способа:
a) Список отозванных сертификатов (СОС)
б) Онлайн проверка статуса сертификата (OCSP)

Какой у вас веб-сервер? Apache? Тогда настройте соответствующим образом OpenSSL.
Если что-то другое, то копайте в сторону его доступных настроек с цифровыми сертификатами.
НУЦ не предоставляет доступа к LDAP хранилищу сертификатов, так что забудьте о

НУЦ не предоставляет доступа к LDAP хранилищу сертификатов

вот то, что я искал! это официальная информация? до сих пор надо периодически подкачивать CRL и через него проверять? я просто думал может ситуация изменится.

DEN wrote:
a) Список отозванных сертификатов (СОС)
б) Онлайн проверка статуса сертификата (OCSP)

Где об этом можно подробнее почитать?
и дайте адреса мне же хотябы нужно к этому тоже подключится (OCSP)

Есть ли какая-то утилита для подписи/шифрования файлов? (типа GPA, http://www.gnupg.org/gpa.html)
Ключи, сгенерированные Tumar, с GPA не работают, хотя алгоритм шифрования вроде одинаковый (RSA).

anatoly wrote:Есть ли какая-то утилита для подписи/шифрования файлов? (типа GPA, http://www.gnupg.org/gpa.html)
Ключи, сгенерированные Tumar, с GPA не работают, хотя алгоритм шифрования вроде одинаковый (RSA).

Конкретных утилит выпушенных для ЭЦП НУЦ РК нету! Но сертификатами НУЦ РК вы можете подписать электронную почту, текстовый документ

Конкретных утилит выпушенных для ЭЦП НУЦ РК нету! Но сертификатами НУЦ РК вы можете подписать электронную почту, текстовый документ

Ну так GPA с открытым кодом (GPL)...

Как ваши ключи прикрутить к GPA?
И почему RSA ключи отличаются от стандарта?
Т.е. сертификат есть, а в полной мере им пользоваться нельзя ( я имею в виду шифрование файлов).
А хотелось бы, чтобы огород не городить с дополнительным CA...

Уважаемый anatoly.
Есть некоторые проблемы совместимости форматов сертификатов X.509 вообще и сертификатов системы PGP.
Приведу простой пример. Поскольку PGP – децентрализованная сеть, в сертификатах отсутствует запись об издателе сертификата.
То есть большая разница в модели доверия! Хотя бы поэтому сертификаты, выданные НУЦ, не могут работать с PGP.
Хочу также отметить, что основное предназначение НУЦ РК - обеспечение граждан Республики Казахстан, средствами электронно-цифровой подписи
и аутентификации в рамках проекта Электронное Правительство. То есть сертификаты открытых ключей в первую очередь должны хорошо работать с ЭП.
Это к вопросу о шифровании.
Пока нет задачи по реализации шифрования в рамках ЭП.
Если появятся, то возможно появятся и соответствующие инструменты.

AdminCA wrote:Уважаемый anatoly.
Есть некоторые проблемы совместимости форматов сертификатов X.509 вообще и сертификатов системы PGP.
Приведу простой пример. Поскольку PGP – децентрализованная сеть, в сертификатах отсутствует запись об издателе сертификата.
То есть большая разница в модели доверия! Хотя бы поэтому сертификаты, выданные НУЦ, не могут работать с PGP.
Хочу также отметить, что основное предназначение НУЦ РК - обеспечение граждан Республики Казахстан, средствами электронно-цифровой подписи
и аутентификации в рамках проекта Электронное Правительство. То есть сертификаты открытых ключей в первую очередь должны хорошо работать с ЭП.
Это к вопросу о шифровании.
Пока нет задачи по реализации шифрования в рамках ЭП.
Если появятся, то возможно появятся и соответствующие инструменты.

Большое спасибо за развернутый ответ.
Всё понятно.
Ну это я к тому разговор затеял, что раз уж вы являетесь CA для Казахстана, то почему бы и не реализовать работу этого CA в полном объеме?
Ну и чтобы корпоративный сектор (да и частные лица) могли в полной мере пользоваться всеми возможностями, предоставляемыми PKI.
Это конечно просто пожелание.
Если это удасться осуществить, то это весьма положительно скажется на международном имидже Казахстана,
ну и двинет ИТ вперед.
Надеюсь, что это когда-нибудь случится.

anatoly wrote:

AdminCA wrote:Уважаемый anatoly.
Есть некоторые проблемы совместимости форматов сертификатов X.509 вообще и сертификатов системы PGP.
Приведу простой пример. Поскольку PGP – децентрализованная сеть, в сертификатах отсутствует запись об издателе сертификата.
То есть большая разница в модели доверия! Хотя бы поэтому сертификаты, выданные НУЦ, не могут работать с PGP.
Хочу также отметить, что основное предназначение НУЦ РК - обеспечение граждан Республики Казахстан, средствами электронно-цифровой подписи
и аутентификации в рамках проекта Электронное Правительство. То есть сертификаты открытых ключей в первую очередь должны хорошо работать с ЭП.
Это к вопросу о шифровании.
Пока нет задачи по реализации шифрования в рамках ЭП.
Если появятся, то возможно появятся и соответствующие инструменты.

Большое спасибо за развернутый ответ.
Всё понятно.
Ну это я к тому разговор затеял, что раз уж вы являетесь CA для Казахстана, то почему бы и не реализовать работу этого CA в полном объеме?
Ну и чтобы корпоративный сектор (да и частные лица) могли в полной мере пользоваться всеми возможностями, предоставляемыми PKI.
Это конечно просто пожелание.
Если это удасться осуществить, то это весьма положительно скажется на международном имидже Казахстана,
ну и двинет ИТ вперед.
Надеюсь, что это когда-нибудь случится.

На настоящий момент, есть проблемы в финансирование разработчиков и самих специалистов, поэтому CA пока работает не в полном объеме...
Спасибо за пожелаения, мы тоже надеемся что в скором будущем мы сможем значительно продвинутся дальше...

Приветствую. Какие имеются варианты загрузки списка отозванных сертификатов, кроме HTTP протокола?

Добрый вечер!Прошу оказать помощь! срок действия сертификата истек или еще не начался выдает когда просматриваешь состав сертификата, у не получается создать цифровую подпись
с уважением Асель!

Добрый день!
перезагрузите компьютер и установите ссылку заного.
И проверьте дату на компьютере

Здравствуйте!
Интересуют два момента:
1. Возможна ли ОНЛАЙН проверка действительности сертификатов, к примеру, на сервере НУЦ РК;
2. Выпускаются ли списки отозванных сертификатов и доступны ли для скачивания.

Заранее спасибо за ответ.

LazutinIlya wrote:Здравствуйте!
Интересуют два момента:
1. Возможна ли ОНЛАЙН проверка действительности сертификатов, к примеру, на сервере НУЦ РК;
2. Выпускаются ли списки отозванных сертификатов и доступны ли для скачивания.

Заранее спасибо за ответ.

Здравствуйте!
1. Да возможна, для этого у нас используется проверка статуса сертификата OSCP в режиме on-line (подробнее тут: http://www.pki.gov.kz/jforum/posts/list/661.page)

2.СОС также доступен для скачивания: СОС на алгоритме ГОСТ http://crl.pki.kz/crl/RevListGOST.crl а также на алгоритме RSA http://crl.pki.kz/crl/RevListRSA.crl