URL: https://ssl.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4366
[ Назад ]
Исходное сообщение
"удостоверяющие центры и PKI"
Отправлено GrigoryT , 29-Сен-09 10:23 
Категорически всех приветствую!
Сразу уточню, что проблема у меня с удостоверяющим центром - от Microsoft Server 2003 R2 и Active Directory. Суть проблемы в следующем - есть две сотни пользователей, каждый из которых порождает документы, которые сохраняются в базе данных. Требуется предоставить пользователям возможность ставить ЭЦП на документ, и чтобы любой другой пользователь мог этот ЭЦП проверить. Требуется реализовать данный процесс через удостоверяющий центр. Перед началом работы пользователь через Web-интерфейс запрашивает УЦ о выдаче сертификата. При этом генерируется пара открытый/закрытый ключ и сохраняется в заданном именованном ключевом контейнере. А на сервере подтверждается или отвергается заявка на сертификат. В случае подтверждения сертификат подписывается ЭЦП корневого УЦ и публикуется в active directory. Теперь я могу обеспечить пользователю возможность подписать свой документ и проверить подпись. Для того, чтобы ДРУГОЙ пользователь смог проверить ЭЦП, нужно ему как-то передать сертификат с открытым ключом. Требование передачи именно сертификата с открытым ключом, а не просто открытого ключа диктуется возможностью подмены открытого ключа в процессе передачи. К сожалению, я пока не смог найти штатного способа тиражирования открытых ключей среди пользователей в Active Directory. Известный мне вариант заключается в экспорте сертификата на рабочей станции владельца ключа и импорте на рабочей станции того пользователя, который будет проверять ЭЦП. Но, учитывая кол-во пользователей, такой вариант выглядит не слишком привлекательным. Собственно, в этом и заключается вопрос - как сделать видимыми сертификаты с открытыми ключами всем пользователям AD ? Существует открытое решение данной проблемы http://www.ietf.org/dyn/wg/charter/tls-charter.html , но наша информационная безопасность требует решения именно на основе удостоверяющего центра Windows.

Заранее спасибо!

Содержание
Сообщения в этом обсуждении
"удостоверяющие центры и PKI"
Отправлено Michael , 29-Сен-09 10:33 
>Категорически всех приветствую!
>Сразу уточню, что проблема у меня с удостоверяющим центром - от Microsoft
>Server 2003 R2 и Active Directory.

ну эт вы, батенька, форумом ошиблись. вындовс здесь, как и рыбы нет