Головна > Родовий сертифікат > Куди встановлюються сертифікати комп'ютера. Управління сертифікатами Windows.

Куди встановлюються сертифікати комп'ютера. Управління сертифікатами Windows.

Служби сертифікації - це компонент базової ОС, що дозволяє їй виконувати функції центру сертифікації (Certification authority, CA), або ЦС, у тому числі випускати цифрові сертифікати та керувати ними. Windows XP Professional підтримує багаторівневі ієрархії ЦС та мережі ЦС з перехресними довірчими стосунками, а також ізольовані та інтерактивні ЦС.

Сховища сертифікатів із відкритими ключами

Windows XP Professional зберігає сертифікати з відкритими ключами в особистому сховищі сертифікатів. Вони зберігаються відкритим текстом, оскільки це є загальнодоступна інформація. Сертифікати мають цифровий підпис ЦС для запобігання змінам.

Сертифікати користувача містяться в папці Documents and Settings\<имя_пользователя>\ApplicationData\Microsoft\
SystemCertificates\My\Certificates профілю користувача. Ці сертифікати записуються в локальному реєстрі під час кожного входу до комп'ютера. Для профілів, що переміщуються, сертифікати зазвичай зберігаються в певному місці (не на комп'ютері) і "слідують" за користувачем при його вході в систему будь-якого комп'ютера в домені.

Зберігання закритих ключів

Постачальники послуг криптографії (cryptographic service provider, CSP) - як Base CSP, так і Enhanced CSP, зберігають закриті ключі в профілі користувача в папці %SystemRoot%\Documents and Settings\<имя_пользователя>\
Application Data\Microsoft\Crypto\RSA. У профілях користувачів, що переміщуються, закритий ключ знаходиться в папці RSA на контролері домену і завантажується на комп'ютер тільки на час його роботи.

Оскільки закриті ключі треба захищати, всі файли в папці RSA автоматично шифруються випадковим симетричним ключем - основним ключем користувача (user"s master key). Ключ довжиною в 64 символи створюється надійним генератором випадкових чисел. закритих ключів: Основний ключ автоматично генерується та періодично відновлюється.

При зберіганні на диску основний ключ захищається за алгоритмом Triple DES із застосуванням ключа, створеного на основі пароля. Основний ключ застосовується для автоматичного шифрування всіх файлів у папці RSA у міру їх створення.

Автоматичний запит сертифіката користувача

У Windows 2000 була функція автоматичного запиту сертифіката користувача. Автоматичний запит сертифіката комп'ютера та контролера домену підтримується груповою політикою Microsoft Active Directory. Автоматичний запит сертифіката комп'ютера надзвичайно корисний для спрощення підключень через IPSec або L2TP/IPSec VPN до серверів з Windows XP зі службою Routing та Remote Access та іншими серверами.

Ця функція знижує сукупну вартість володіння та спрощує управління життєвим циклом сертифікатів для користувачів та адміністраторів. Автоматичний запит сертифіката смарт-карти та ЦС із самопідписаними сертифікатами забезпечують додатковий захист користувачам підприємств, де потрібна посилена безпека.

Запити в очікуванні та оновлення сертифікатів

Автоматичний запит сертифіката користувача у Windows XP Professional також забезпечує запити в очікуванні та оновлення сертифікатів. Після запиту сертифіката вручну або автоматично на сервер сертифікації Windows .NET Server CA очікується дозвіл адміністратора на випуск сертифіката або завершення процесу верифікації. Після схвалення та випуску сертифіката механізм автоматичного запиту автоматично встановить сертифікат.

У процесі оновлення сертифікатів користувача зі строком дії також застосовується механізм автоматичного запиту. Сертифікати автоматично оновлюються від імені користувача, причому процедура визначається параметрами шаблонів сертифікатів Active Directory.

За промовчанням сертифікати та ключі захищені. Для додаткового захисту ви можете застосовувати додаткові заходи безпеки, у тому числі експортувати закриті ключі та зберігати їх у захищеному місці.

Інструкція

Щоб переглянути всі встановлені сертифікати, виберіть «Виконати» з меню «Пуск» та введіть у командний рядок certmgr.msc. У консолі керування «Сертифікати» розкрийте дочірні вузли, які містять відомості про сертифікати.

Щоб отримати дані про кожен документ, наведіть на нього курсор і клацніть правою кнопкою миші. У меню, що випадає, виберіть команду «Відкрити». У вкладці «Склад» натисніть «Властивості» та у списку «Показати» позначте пункт «Все», щоб система вивела докладну інформацію про даному документі.

У браузерах також міститься інформація про встановлені сертифікати. Якщо ви використовуєте IE, у меню «Сервіс» виберіть команду «Властивості браузера» і перейдіть у вкладку «Зміст». Натисніть кнопку «Сертифікати». Для переміщення по вкладкам застосовуйте стрілки напряму «Вправо» та «Вліво» у верхньому правому куті.

Якщо у вас встановлено Mozilla Firefox, у меню "Інструменти" виберіть опцію "Налаштування". Перейдіть у вкладки «Додаткові» та «Шифрування». Натисніть "Перегляд сертифікатів". Розробники цього браузера вирішили не виділяти сертифікати, які не мають довіри, до окремої групи.

Щоб переглянути сертфікати в Opera, у меню «Налаштування» виберіть «Загальні налаштування» та перейдіть у вкладку «Розширені». У лівій частині екрана клацніть пункт «Безпека» та натисніть «Управління сертифікатами».

У вкладці «Схвалені» міститься список встановлених сертифікатів. Натисніть «Переглянути», щоб отримати детальну інформацію про кожен сертифікат.

Система сертифікатів, знайома кожному користувачеві смартфона, дозволяє операційній системі цього корисного мобільного пристрою контролювати програмне забезпечення, що запускається користувачем, з одного боку, оберігаючи пристрій від активації вірусів та інших шкідливих програм, а з іншого — від необдуманих дій самого користувача, здатних пошкодити програмам і даним , що знаходиться в смартфоні.

Існує три основні види сертифікатів, що використовуються у найбільш поширеній операційній системі для смартфонів – Symbian OS. Користувальницькі, або загальні сертифікати, Допускають встановлення підписаних ними додатків будь-яким користувачем; персональні або особисті сертифікати дозволяють програмі отримати ширший доступ до функцій API операційної системи, однак запустити таку програму можна тільки на одному телефоні; сертифікати «LicensePlatform», що дають додатку найповніший доступ до можливостей системи.

Для встановлення непідписаних програм необхідно відключити сертифікати, оскільки установки за замовчуванням забороняють встановлення в смартфон програм, надійність яких не підтверджена. Для цього випливає:

Відкрийте Менеджер програм.

Послідовно вибирайте пункти меню Опції - Установки - Прогр. устан - Все, Перевірка сертиф. - відключено. Тепер сертифікати відключені, а значить, з одного боку, користувач зможе встановлювати програми без відповідного підпису, а з іншого - навіть при установці підписаних сертифікатом додатків не відбуватиметься перевірка сертифіката через Інтернет, а значить, буде виключено марну витрату трафіку.

Поява повідомлення про помилку «Невірний сертифікат» або «Встановлення заборонено» сигналізує про те, що вимкнення перевірки сертифікатів не було здійснено. Уважно повторіть дії запропонованої інструкції із самого початку.

У разі появи таких повідомлень про помилки, як «Термін дії сертифіката закінчився», «Термін дії сертифіката ще не настав» не обов'язково прагнути

Засоби криптографічного захисту інформації

Для реалізації криптографічного захисту документів існують спеціальні програмні продукти, які називаються засобами криптографічного захисту інформації (СКЗІ). СКЗІ надають всі функції, необхідні реалізації криптографічного захисту.

Деякі СКЗІ є самостійними програмами або програмними комплексами, що мають власний інтерфейс. Вся робота із захисту інформації, від створення ключів та роботи з сертифікатами до вироблення/перевірки підпису та зашифровування/розшифровування, повністю проводиться в рамках такого універсального програмного комплексу. У цьому посібнику такі СКЗІ не розглядаються.

Інші СКЗІ надають криптографічні функції користувача додатків. Такі продукти називаються криптопровайдерами (або CSP від Cryptographic Service Provider).

Криптопровайдери

Усі криптопровайдери використовують загальні принципи, описані вище. У кожного криптопровайдера власний набір алгоритмів та власні вимоги до формату ключів та сертифікатів.

Криптопровайдер - це програмний засіб, розрахований на роботу в певному операційному середовищі та на взаємодію з програмами, що працюють у цьому середовищі.

За допомогою функцій, що надаються криптопровайдером, зокрема, можна:

Створювати криптографічні ключі. Ці ключі будуть призначені для алгоритмів, реалізованих у цьому криптопровайдері;
Виконувати вироблення та перевірку електронного підпису під документами;
Виконувати зашифрування та розшифрування документів.

При використанні криптопровайдерів робота із сертифікатами здебільшого проводиться за допомогою системних засобів. Таку роботу описано в наступних розділах. Можлива також робота із сертифікатами за допомогою додаткових скриптів та утиліт, що надаються різними постачальниками за потреби.

Вироблення/перевірка підпису та зашифровування/розшифровування проводяться в інтерфейсі власних додатків. В даний час багато програм розраховані на використання криптопровайдерів. Опис методів захисту інформації в програмах можна знайти в документації до відповідних програм.

В даний час розроблено безліч різних криптопровайдерів. Криптопровайдери є у складі дистрибутива OC Windows. Крім того, в операційній системі можуть бути встановлені додаткові криптопровайдери.

Різні програми, в яких передбачена взаємодія з криптопровайдерами, можна налаштовувати на роботу з різними криптопровайдерами, «вказуючи» їм, якого криптопровайдера їм слід звертатися за наданням криптографічних функцій.

Вибір криптопровайдера диктується насамперед тим, які вимоги висуваються до криптографічних алгоритмів, які будуть використовуватись для захисту документів.

До складу дистрибутива ОС Windows входять криптопровайдери, що надають криптографічні функції додатків користувача, у тому числі поштовим програмам. Але ці криптопровайдери використовують алгоритми, що відповідають зарубіжним стандартам (зокрема, широко відомі алгоритми RSA, DSA та ін.)

Криптопровайдерів, що використовують алгоритми, що відповідають російським ГОСТам, у складі дистрибутива ОС Windows зараз немає. Але такі криптопровайдери існують і можуть бути встановлені у системі. Таким криптопровайдером, наприклад, є криптопровайдер МагПро CSP.

Сертифікати в Windows

У цьому та наступних розділах описується робота із сертифікатами за допомогою системних засобів Windows.

Ряд операцій, зокрема встановлення сертифікатів, може бути виконаний не лише за допомогою системних засобів ОС Windows, але й за допомогою додаткових програмних засобів (скриптів або утиліт), особливо у випадках, коли передбачені нестандартні сценарії роботи (сертифікат встановлюється не на тому комп'ютері) , На якому створювався запит, і т.д.) Опис роботи з сертифікатами при використанні таких програмних засобів наводиться в документації цих програмних засобів.

Слід пам'ятати, що з сертифікатами з використанням програмних засобів, які входять у стандартний комплект ОС Windows, також дотримуються вищеописані принципи роботи з сертифікатами.

Призначення сертифікатів

Сертифікати користувача використовуються програмами для вирішення найрізноманітніших завдань. Сукупність завдань, для яких використовується цей сертифікат, визначається призначенням сертифіката.

Наприклад, сертифікати можуть мати такі призначення:

Усі можливі призначення – універсальний сертифікат;
Сертифікат автентичності клієнта — використовується для того, щоб переконатися, що клієнт, який звертається на сервер, — саме той, ким себе називає;
Сертифікат захисту електронної пошти – використовується для захисту електронного листування;
Сертифікат автентифікації сервера - використовується для того, щоб клієнт переконався, що він дійсно звертається на необхідний сервер;
Сертифікат електронного підпису – використовується для вироблення підпису під документами

І т.д.

Призначення сертифіката вказується під час створення запиту на сертифікат.

Користувачеві слід знати, якого призначення сертифікат необхідний для роботи. Цю інформацію можна отримати, наприклад, у центрі, що засвідчує.

Якщо користувачеві потрібні кілька сертифікатів різного призначення, зручним може бути створити універсальний сертифікат (якщо центр, що засвідчує, підтримує створення таких сертифікатів).

Створення запиту на сертифікат

Windows не має системних засобів для створення запиту на сертифікат. Стандартний спосіб створення запитів - створення запитів через веб-інтерфейс. На сервері центру, що засвідчує, є відповідна сторінка, що містить форми для введення необхідної інформації.

Як правило, формування запиту на сертифікат поєднано зі створенням ключів (але це необов'язково—так, можна створити запит на сертифікат на вже створені ключі).

Після введення необхідної інформації спеціальний скрипт формує запит на сертифікат та відправляє його безпосередньо на сервер центру, що засвідчує. В центрі, що засвідчує, інформація перевіряється та випускається сертифікат.

Як альтернативний варіант користувачам можуть бути надані для створення ключів та запитів на сертифікат спеціальні програми-утиліти (наприклад, програма genkey.exe, призначена для роботи з криптопровайдером МагПро CSP).

Набір інформації, що вказується при формуванні запиту, а також способи передачі запиту в центр, що засвідчує, і процедура перевірки інформації, що надійшла, повністю визначаються регламентом засвідчувального центру.

Передача сертифікатів у файлах

Випустивши сертифікат, центр, що посвідчує, повинен надати його користувачам, у тому числі власнику.

Для цього необхідно сформувати файл, що містить всю інформацію, що становить сертифікат; крім того, цей файл повинен бути спеціального формату, щоб користувач міг встановити сертифікат у системі.

Такі файли називають файлами сертифікатів.

Незалежно від регламенту процедури створення запиту та отримання файлів сертифікатів, файли сертифікатів завжди випускаються лише у певних стандартних форматах.

Файл сертифікатів може бути отриманий користувачем з УЦ (безпосередньо пересланий електронною поштою або завантажений з сервера УЦ) або від іншого користувача.

Якщо користувачеві потрібно надати іншому користувачеві будь-який сертифікат, встановлений у нього в системі (наприклад, сертифікат на свій відкритий ключ під час листування), користувачеві необхідно провести експорт сертифіката до файлу.

Формати файлів сертифікатів

Стандартами визначено кілька допустимих форматів для файлів, які містять сертифікати:

Файл формату X.509, який містить лише сертифікат (файли з розширеннями.crt, .cer);
Файл PKCS#7. Цей формат призначений для зберігання зашифрованих та підписаних повідомлень разом із необхідними сертифікатами. Файл такого формату також може використовуватися для передачі лише наборів сертифікатів. У цьому документі розглядається використання цього формату лише передачі ланцюжків сертифікатів та списків відгуків (файли з розширеннями.p7r, .p7b);
Файл PKCS#12. Такий файл може містити весь ланцюжок довіри від сертифіката користувача до кореневого сертифіката сертифіката, що засвідчує, і список відгуку сертифікатів (CRL), а також закритий ключ, що відповідає сертифікату користувача. Майже будь-коли використовується передачі сертифікатів (крім дуже рідкісних спеціальних випадків), т.к. передача закритого ключа іншим особам призводить до порушення найважливішого правила криптографії - доступ до закритого ключа має тільки його власник.

Файли формату X.509 можуть існувати у двох різних кодуваннях – DER та Base64. Ці кодування підтримуються для сумісності з іншими операційними системами. Для користувача Windows різниці між роботою з файлами у цих двох кодуваннях немає.

Якщо ви експортуєте файл сертифіката, встановленого в системі, користувач може вибрати, чи створити файл формату X.509 або PKCS#7. Як правило, користувачі передають окремі сертифікати у файлах формату X.509; файли формату PKCS#7 зручні передачі всіх сертифікатів, складових ланцюжок довіри, що буває необхідно значно рідше. Експорт сертифіката у файл формату PKCS#12 у переважній більшості випадків просто заборонено.

Файл формату PKCS#7, по суті, є комплектом з декількох файлів формату X.509. Тому після отримання файлу формату PKCS#7 його обробка зводиться працювати з кількома файлами формату X.509.

Загальні принципи встановлення сертифікатів

Щоб отримати можливість використовувати сертифікат, отриманий з центру, що засвідчує, для виконання криптографічних операцій, цей сертифікат попередньо необхідно встановити в операційній системі.

Операційні системи Windows надають системні засоби для встановлення сертифікатів із файлів сертифікатів—так званий майстер сертифікатів.

Крім того, встановлення сертифіката на відкритий ключ користувача може здійснюватися скриптом, завантаженим з сервера центру, що посвідчує, якщо такий скрипт на сервері встановлено; або спеціальними утилітами, якщо такі є у використовуваному СКЗД.

У всіх випадках повинні дотримуватися основних принципів встановлення сертифіката:

Насамперед система перевіряє, чи встановлено вже сертифікат, на якому потрібно перевіряти сертифікат, що встановлюється (тобто сертифікат посвідчувального центру). Виняток із цього правила — кореневий сертифікат центру, що засвідчує (довірений кореневий сертифікат).
Якщо такий сертифікат не знайдено, система перевіряє, чи немає можливості встановити потрібний сертифікатпосвідчувального центру. Цей сертифікат часто передається користувачам разом із сертифікатами, призначеними для встановлення. Якщо можливість встановити сертифікат центру, що засвідчує, система пропонує його встановити. При відмові користувача відбувається скасування установки взагалі (бо не можна встановити неперевірений сертифікат).
Якщо сертифікат посвідчувального центру, виявлений або успішно встановлений, система перевіряє на цьому сертифікаті встановлюваний сертифікат користувача. Якщо сертифікат користувача некоректний, система повідомляє про це і перериває установку. У цій ситуації потрібно отримати коректний сертифікат та повторити встановлення.
Якщо сертифікат встановлюється коректним, система встановлює його в сховище сертифікатів.

Довірені кореневі сертифікати

Очевидно, що в системі повинен бути встановлений хоча б один кореневий сертифікат центру, що засвідчує (можуть також бути встановлені сертифікати засвідчувального центру, підписані на кореневому).

Під час встановлення кореневого сертифіката в операційній системі на екран обов'язково виводиться цифровий відбиток сертифіката. Його необхідно порівняти з паперовою роздруківкою. При збігу цифрового відбитка з паперовим роздруком кореневий сертифікат вважається коректним, його можна встановлювати. При розбіжності установку необхідно скасувати і якнайшвидше повідомити в центр посвідчення.

Якщо в роздруківці міститься не цифровий відбиток, а сам відкритий ключ, необхідно перед початком встановлення сертифіката порівняти відкритий ключ, який міститься в сертифікаті, з відкритим ключем із роздруківки. При перегляді сертифіката можна побачити відкритий ключ, який міститься в сертифікаті. При збігу відкритого ключа з паперовим роздруком кореневий сертифікат вважається коректним, його можна встановлювати як довірений без додаткових перевірок. При розбіжності встановлювати сертифікат не можна, необхідно якнайшвидше повідомити центр, що посвідчує.

Система встановлює кореневі сертифікати, коректність яких підтверджена користувачем, у спеціальне сховище «Довірені кореневі сертифікати центрів сертифікації».

Після успішної установки операційна система вважає, що встановленим у це сховище сертифікатам можна довіряти, хоча їх перевірку доступними засобами система провести не в змозі. Тому такі сертифікати називаються "Довіреними".

успадкування довіри

У Windows використовується поняття «сертифікат успадковує довіру від постачальника». Це поняття передбачає, що коректність сертифіката на відкритий ключ перевіряється на сертифікаті постачальника (тобто, наприклад, посвідчуючого центру.) Якщо сертифікат посвідчувального центру є довіреним, і перевірка іншого сертифіката, підписаного на довіреному сертифікаті, можна довіряти (тобто він є справжнім та коректним). Тобто. Термін «успадкування довіри» передбачає передачу довіри від кореневого сертифіката до некореневих сертифікатів на основі перевірки електронними засобами.

Альтернативою є очевидна вказівка довіри сертифікату на відкритий ключ. Для цього необхідно роздрукувати цифровий відбиток.

Можна також явно вказати, що цей сертифікат не слід довіряти. Так чинять, наприклад, у разі компрометації відповідного закритого ключа. У цьому випадку система вважатиме сертифікат недійсним.

Сховища сертифікатів

При установці сертифікат міститься у так зване сховище сертифікатів. Кожне таке сховище призначене для сертифікатів певних функцій та призначень. Так, є сховище «Особисті», де містяться особисті сертифікати користувача; є сховище для запитів сертифікати користувача; є сховища «Довірені центри сертифікації», «Інші користувачі», «Сторонні центри сертифікації», «Довірені користувачі» тощо.

Найчастіше використовуються сховища:

"Довірені центри сертифікації" - для зберігання кореневих сертифікатів УЦ; Довіра до сертифікатів, що зберігаються тут, явно виражена користувачем.
"Проміжні центри сертифікації" - для зберігання некореневих сертифікатів УЦ (підписані на інших сертифікатах УЦ).
"Особисті" - для зберігання сертифікатів на відкриті ключі, що належать даному користувачеві; як правило, такі сертифікати відповідають закритим ключам, які є у користувача. Ці сертифікати успадковують довіру корінних сертифікатів.
«Інші користувачі» — зберігати сертифікати на відкриті ключі, що належать іншим користувачам. Ці сертифікати успадковують довіру корінних сертифікатів.

При установці сертифікат поміщається у сховище сертифікатів, яке відповідає його призначенню. Вибір сховища для встановлення сертифікатів проводиться автоматично відповідно до зазначеного призначення сертифіката, або користувач може сам вибрати необхідне сховище. Автоматично сертифікат швидше за все буде встановлений в одне з вищезгаданих сховищ. Якщо користувач бажає встановити сертифікат в якесь інше сховище (наприклад, «Довірені користувачі» - для сертифікатів користувача, довіра до яких з якоїсь причини не успадковується від сертифіката УЦ, а оголошується користувачем особисто) - слід вказати це при установці. Така ситуація виникає досить рідко.

Зв'язування особистих сертифікатів користувача із закритими ключами

Якщо у користувача є закритий ключ, що відповідає встановлюваному сертифікату (тобто сертифікат є особистим сертифікатом даного користувача), то при встановленні сертифіката на відкритий ключ в системі має бути встановлена відповідність сертифіката із закритим ключом - системі потрібно повідомити, що відкритий ключ який виданий цей сертифікат, і відповідний закритий ключ складають ключову пару. Таке встановлення відповідності називається зв'язуванням сертифіката із закритим ключем.

Зазвичай, системними засобами таке зв'язування виконується автоматично. Але автоматичне зв'язування сертифіката із закритим ключем можливе лише при виконанні певних вимог. Зокрема, в системі повинен бути запит на встановлюваний сертифікат (тобто запит повинен бути створений на даному комп'ютері і в даній операційній системі). Можуть бути додаткові умови (так, у разі зберігання ключів у пристрої «В'юга» такою додатковою умовою є збіг серійного номера пристрою, з якого зчитуються ключі під час встановлення сертифіката, та серійного номера пристрою, в який ці ключі були записані під час створення запиту; серійні номери різних екземплярів пристрою «В'юга» унікальні, це означає, що в обох випадках повинен бути використаний один і той самий екземпляр).

Якщо хоча б одна з необхідних умов не виконується, при установці сертифіката не відбувається зв'язування сертифіката із закритим ключем (хоча сам сертифікат при цьому може бути цілком успішно встановлений). У таких випадках слід користуватися спеціальними скриптами або утилітами, що вирішують цю проблему, якщо у СКЗІ такі скрипти або утиліти є. Якщо їх немає, слід дуже ретельно дотримуватись умов, за яких відбувається автоматичне зв'язування сертифіката із закритим ключем, інакше повноцінне виконання криптографічних операцій буде неможливо.

Списки відгуку сертифікатів

У Windows списки відкликання сертифікатів встановлюються у спеціальні сховища, призначені для зберігання списків відкликання сертифікатів.

Перевірку того, чи сертифікат включений до списку відкликання сертифікатів, виконують програми, що звертаються до сертифікатів під час роботи, якщо така перевірка в них закладена. У багатьох програмах (наприклад, поштових програмах) перевірку списку відкликання сертифікатів можна увімкнути або скасувати.

Існують різні способи розподілу та розміщення списків відкликання сертифікатів, з них найбільш уживані два:

Розміщення списку відгуків сертифікатів у локальному сховищі
При використанні цього варіанта розподілу списків відкликання сертифікатів, що посвідчує центр розподіляє списки відкликання у вигляді файлів, подібних до формату файлів сертифікатів (формат X.509) або включає списки відгуків у файли, що містять ланцюжки сертифікатів (формат PKSC#7 або PKSC#12). Користувачі встановлюють списки відкликання сертифікатів у відповідні локальні сховища своєї операційної системи.
Розміщення списку відгуків сертифікатів на сервері (у так званій точці розповсюдження списків відгуків)
При використанні цього варіанта розподілу списків відкликання сертифікатів центр, що посвідчує, поміщає кожен список відгуків на сервер, де список відгуків стає доступний за певною адресою (URL), званою точкою поширення списків відкликання сертифікатів. Ця адреса засвідчує центр включає в кожен сертифікат, що випускається, як значення параметра «Точка поширення». Наявність цього параметра в сертифікаті, як і його значення, можна побачити під час перегляду сертифіката на сторінці Склад.

Вибір способу розповсюдження списків відкликання сертифікатів є частиною регламенту центру, що засвідчує.

Під час перевірки підпису або розшифрування програма звертається до локального сховища і перевіряє там наявність дійсного списку відкликання сертифікатів, випущеного даним центром, що засвідчує. За наявності такого списку відгуку програма перевіряє наявність у списку відгуку сертифіката, що перевіряється.

Якщо в сертифікаті не вказано точку розповсюдження, програма може звернутися за списком відкликання сертифікатів до точки розповсюдження. Чи буде це робити чи ні, залежить від налаштувань програми.

Коректний список відкликання сертифікатів, виявлений у точці розповсюдження, автоматично зберігається в операційній системі, але не встановлюється у сховищі, а зберігається у каталозі

%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.IE5

При подальших перевірках, якщо список відкликань не було встановлено у відповідному сховищі, програма знову перетворюється на точку розповсюдження. Якщо в точці розповсюдження не буде виявлено коректний список відгуку, програма скористається списком відгуку, що зберігається у наведеному вище каталозі (якщо він не прострочений).

Слід пам'ятати, що за наявності дійсного списку відкликання сертифікатів у локальному сховищі перевірка списку відкликання на сервері не проводиться. Тобто. наступного разу програма звернеться до точки розповсюдження, коли закінчиться термін дії списку відкликання сертифікатів або список відкликання сертифікатів буде видалено із системи.

Перегляд та видалення встановлених сертифікатів

Сертифікати можна переглядати за допомогою системних засобів. Також можна видалити встановлені сертифікати.

В операційних системах Windows 98/SE/Me/NT доступ до сертифікатів можливий через властивості браузера ("Пуск" - "Налаштування"~--- "Панель керування" - "Властивості браузера"). В операційних системах Windows 2000/XP доступ до сертифікатів здійснюється за допомогою програми Microsoft Management Console (оснащення «Сертифікати»).

Також можна переглядати сертифікати під час роботи з програмами, що використовують сертифікати. При такому перегляді можливе отримання більш повної інформації про сертифікат, пов'язану із взаємодією сертифікатів, додатків та інших документів, встановлених у системі.

Обмін сертифікатами з іншими користувачами

Існує багато ситуацій, коли користувачам необхідно передавати сертифікати на відкриті ключі один одному. Якщо сертифікат, що передається, не є кореневим, будь-який користувач, який має сертифікат відповідного УЦ, може перевірити коректність отриманого сертифіката при його установці у себе в системі. Тому передача сертифікатів користувача від користувача до користувача - повністю коректна операція з точки зору криптографії.

Для передачі сертифіката, встановленого у системі, іншому користувачеві необхідно отримати цей сертифікат як файла, тобто. експортувати сертифікат у файл.

Статті потемі:

Асоціація Саморегулівна організація «Брянське Регіональне Об'єднання Проектувальників Зміни у ФЗ 340 від 03

Минулого тижня ми за допомогою нашого пітерського експерта про новий Федеральний закон № 340-ФЗ від 3 серпня 2018 року "Про внесення змін до Містобудівного кодексу Російської Федерації та окремі законодавчі акти Російської Федерації". Акцент був з

Хто розраховує заборгованість із аліментів?

Аліментна заборгованість - це сума, що утворюється внаслідок відсутності грошових виплат за аліментами з боку зобов'язаної особи або часткових виплат за певний період. Цей період часу може тривати максимально: До настання

Довідка про доходи, витрати, про майно державного службовця

Довідка про доходи, витрати, про майно та зобов'язання майнового характеру – це документ, який заповнюється та подається особами, які претендують або заміщають посади, здійснення повноважень за якими передбачає безумовний обов'язок

Поняття та види нормативних правових актів

Нормативно-правові акти – це корпус документів, який регулює правовідносини у всіх сферах діяльності. Це система джерел права. До неї входять кодекси, закони, розпорядження федеральних та місцевих органів влади тощо. буд. Залежно від виду

Популярне

2022-03-23 03:40:43	Біографія Євгена Алдоніна: нова сім'я Виступ за цска
2022-03-23 03:40:43	Нове у формуванні та веденні кадрового резерву на державній цивільній службі
2022-03-23 03:40:43	Скільки заробляють судові пристави?
2022-03-23 03:40:43	Теорія Дж. М. Кейнс. Біографія Дж. Кейнса На кому був одружений кейнс
2022-03-17 00:25:56	Історія та сучасність валюти Франції
2022-03-17 00:25:56	Хімічний склад та харчова цінність
2022-03-17 00:25:56	Гра мафія у контакті досягнення
2022-03-17 00:25:56	Варолієв міст - основний взаємозв'язок між відділами мозку Поперечний зріз моста
2022-03-17 00:25:56	Модель загальної рівноваги Вальраса
2022-03-17 00:25:56	Районування Сутність та рівні економічного районування

Нове

2022-03-17 00:25:56	Страхування від нещасного випадку та хвороб Страхування від нещасного випадку на один день
2022-03-17 00:25:56	Класифікація та асортимент сирів
2022-03-11 18:04:07	Чи можна митися у Водохреще?
2022-03-11 18:04:07	Чи можна митися у Водохреще?
2022-03-11 18:04:07	Найаномальніші дороги світу Аномальне місце на трасі
2022-03-11 18:04:07	Що говориться в Біблії про кінець світу?
11.03.2022	Ви тут: «Дезінфектор» та «Медичний дезінфектор»: у чому схожість та відмінність?
11.03.2022	Список грізних птахів, найнебезпечніших для людини Напад хижих птахів на людину
11.03.2022	Три містичні таємниці із розсекречених архівів кгб Журнал секретні архіви читати онлайн
11.03.2022	Чому геостаціонарні супутники не падають на землю?
06.03.2022	З скільки продають алкоголь у різних країнах?
06.03.2022	З скільки продають алкоголь у різних країнах?