forum.opennet.ru

Составление сообщения

Исходное сообщение

"удостоверяющие центры и PKI"
Отправлено GrigoryT, 29-Сен-09 10:23

Категорически всех приветствую!
Сразу уточню, что проблема у меня с удостоверяющим центром - от Microsoft Server 2003 R2 и Active Directory. Суть проблемы в следующем - есть две сотни пользователей, каждый из которых порождает документы, которые сохраняются в базе данных. Требуется предоставить пользователям возможность ставить ЭЦП на документ, и чтобы любой другой пользователь мог этот ЭЦП проверить. Требуется реализовать данный процесс через удостоверяющий центр. Перед началом работы пользователь через Web-интерфейс запрашивает УЦ о выдаче сертификата. При этом генерируется пара открытый/закрытый ключ и сохраняется в заданном именованном ключевом контейнере. А на сервере подтверждается или отвергается заявка на сертификат. В случае подтверждения сертификат подписывается ЭЦП корневого УЦ и публикуется в active directory. Теперь я могу обеспечить пользователю возможность подписать свой документ и проверить подпись. Для того, чтобы ДРУГОЙ пользователь смог проверить ЭЦП, нужно ему как-то передать сертификат с открытым ключом. Требование передачи именно сертификата с открытым ключом, а не просто открытого ключа диктуется возможностью подмены открытого ключа в процессе передачи. К сожалению, я пока не смог найти штатного способа тиражирования открытых ключей среди пользователей в Active Directory. Известный мне вариант заключается в экспорте сертификата на рабочей станции владельца ключа и импорте на рабочей станции того пользователя, который будет проверять ЭЦП. Но, учитывая кол-во пользователей, такой вариант выглядит не слишком привлекательным. Собственно, в этом и заключается вопрос - как сделать видимыми сертификаты с открытыми ключами всем пользователям AD ? Существует открытое решение данной проблемы http://www.ietf.org/dyn/wg/charter/tls-charter.html , но наша информационная безопасность требует решения именно на основе удостоверяющего центра Windows.
Заранее спасибо!

Исходное сообщение
"удостоверяющие центры и PKI" Отправлено GrigoryT, 29-Сен-09 10:23
Категорически всех приветствую! Сразу уточню, что проблема у меня с удостоверяющим центром - от Microsoft Server 2003 R2 и Active Directory. Суть проблемы в следующем - есть две сотни пользователей, каждый из которых порождает документы, которые сохраняются в базе данных. Требуется предоставить пользователям возможность ставить ЭЦП на документ, и чтобы любой другой пользователь мог этот ЭЦП проверить. Требуется реализовать данный процесс через удостоверяющий центр. Перед началом работы пользователь через Web-интерфейс запрашивает УЦ о выдаче сертификата. При этом генерируется пара открытый/закрытый ключ и сохраняется в заданном именованном ключевом контейнере. А на сервере подтверждается или отвергается заявка на сертификат. В случае подтверждения сертификат подписывается ЭЦП корневого УЦ и публикуется в active directory. Теперь я могу обеспечить пользователю возможность подписать свой документ и проверить подпись. Для того, чтобы ДРУГОЙ пользователь смог проверить ЭЦП, нужно ему как-то передать сертификат с открытым ключом. Требование передачи именно сертификата с открытым ключом, а не просто открытого ключа диктуется возможностью подмены открытого ключа в процессе передачи. К сожалению, я пока не смог найти штатного способа тиражирования открытых ключей среди пользователей в Active Directory. Известный мне вариант заключается в экспорте сертификата на рабочей станции владельца ключа и импорте на рабочей станции того пользователя, который будет проверять ЭЦП. Но, учитывая кол-во пользователей, такой вариант выглядит не слишком привлекательным. Собственно, в этом и заключается вопрос - как сделать видимыми сертификаты с открытыми ключами всем пользователям AD ? Существует открытое решение данной проблемы http://www.ietf.org/dyn/wg/charter/tls-charter.html , но наша информационная безопасность требует решения именно на основе удостоверяющего центра Windows. Заранее спасибо!

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Категорически всех приветствую! > Сразу уточню, что проблема у меня с удостоверяющим центром - от Microsoft > Server 2003 R2 и Active Directory. Суть проблемы в следующем - > есть две сотни пользователей, каждый из которых порождает документы, которые сохраняются > в базе данных. Требуется предоставить пользователям возможность ставить ЭЦП на документ, > и чтобы любой другой пользователь мог этот ЭЦП проверить. Требуется реализовать > данный процесс через удостоверяющий центр. Перед началом работы пользователь через Web-интерфейс > запрашивает УЦ о выдаче сертификата. При этом генерируется пара открытый/закрытый ключ > и сохраняется в заданном именованном ключевом контейнере. А на сервере подтверждается > или отвергается заявка на сертификат. В случае подтверждения сертификат подписывается > ЭЦП корневого УЦ и публикуется в active directory. Теперь я могу > обеспечить пользователю возможность подписать свой документ и проверить подпись. Для того, > чтобы ДРУГОЙ пользователь смог проверить ЭЦП, нужно ему как-то передать сертификат > с открытым ключом. Требование передачи именно сертификата с открытым ключом, а > не просто открытого ключа диктуется возможностью подмены открытого ключа в процессе > передачи. К сожалению, я пока не смог найти штатного способа тиражирования > открытых ключей среди пользователей в Active Directory. Известный мне вариант заключается > в экспорте сертификата на рабочей станции владельца ключа и импорте на > рабочей станции того пользователя, который будет проверять ЭЦП. Но, учитывая кол-во > пользователей, такой вариант выглядит не слишком привлекательным. Собственно, в этом и > заключается вопрос - как сделать видимыми сертификаты с открытыми ключами всем > пользователям AD ? Существует открытое решение данной проблемы http://www.ietf.org/dyn/wg/charter/tls-charter.html > , но наша информационная безопасность требует решения именно на основе удостоверяющего > центра Windows. > Заранее спасибо!
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру