ключи ЭЦП, список отозванных сертификатов

0

1

Добрый день!

Существует немалое количество ключевых носителей, причём совершенно для разных систем. Что можете предложить в качестве не слишком сложной системы для напоминания о том, что срок действия истекает? Например: по электронной почте приходит сообщение «Срок действия ключа Пупкина В.И. на систему Площадка Электронных Торгов истекает через месяц», потом через ещё 2 недели «Срок действия ключа Пупкина В.И. на систему Площадка Электронных Торгов истекает через 2 недели. Срочно обновите ключ» В идеале хочется чтобы изменения можно было вносить из-под Windows XP (добавлять информацию о новых ключах и редактировать старые), а собственно информация хранилась на Linux.

Второй вопрос: каждый месяц приходится скачивать(причём не обязательно день-в-день) «список отозванных сертификатов» (это не корневой центр сертификации, а местный удостоверяющий центр) и устанавливать его на 50 рабочих станций. При условии, что сеть функционирует в режиме рабочей группы, а пользователи ленятся устанавливать вышеназванный «список» самостоятельно, что можете посоветовать для облегчения жизни(системному администратору и пользователям)?

Ссылка

←	Отображение массивов при дебаге

Русская и английская раскладка клавиатуры в CentOS 6

→

Для винды есть приблуда CertMgr.exe - консольная софтина для установки сертификата. Соответственно, я писал bat-файл, который автоматически цеплял сертификат с нужного места и устанавливал его. Для линукса - хз.

strangeman ★★★★
(21.05.12 10:00:31 MSK)

каждый месяц приходится скачивать(причём не обязательно день-в-день) «список отозванных сертификатов»

Вообще, это неправильно. Если у клиентов есть интеренет на рабочих места (а где его сейчас нет?), СОС должно запрашивать клиентское ПО. ПО самописное?

yirk ★★★
(21.05.12 10:07:01 MSK)

Про OCSP у вас там не слышали?

vasily_pupkin ★★★★★
(21.05.12 10:19:17 MSK)

Ответ на: комментарий от strangeman 21.05.12 10:00:31 MSK

Спасибо. Попробуем.

klen312
(21.05.12 10:36:38 MSK) автор топика

Ссылка

Ответ на: комментарий от vasily_pupkin 21.05.12 10:19:17 MSK

Не слышали. Почитал. Пришёл к выводу, что у OCSP должна иметь место клиентская и серверная сторона. Клиентская сторона на Windows XP реализуема посредством свободного ПО? Могу ли я поднять серверную часть на OCSP, скармливая ей эти же самые списки отозванных сертификатов? Расскажите, пожалуйста, про свою схему поподробнее.

klen312
(21.05.12 12:48:45 MSK) автор топика

Ссылка

Ответ на: комментарий от yirk 21.05.12 10:07:01 MSK

Должно. Но оно этого не делает. Ни одна система, ни другая :) У вас есть рекомендации (кроме «менять ПО»)?

klen312
(21.05.12 12:52:31 MSK) автор топика

Ответ на: комментарий от klen312 21.05.12 12:52:31 MSK

пример ПО в студию. Руководство к нему есть?

Pinkbyte ★★★★★
(21.05.12 13:43:30 MSK)

Ответ на: комментарий от Pinkbyte 21.05.12 13:43:30 MSK

БашФин :) Пример второго ПО дам как только мне официально ответит техподдержка «не умеет».

klen312
(21.05.12 15:06:06 MSK) автор топика

Ссылка

Какой софт УЦ

А на чем этот местный УЦ ездит? Потому что вся необходимая инфа есть в базе УЦ, и он сам способен делать такие рассылки по email-адресам из сертификатов.

uuwaan ★★
(21.05.12 20:28:18 MSK)

скачивать можно по крону и раскидывать на машины через rsync впрочем, можно скачивать в папку на самбе, и научить машины забирать, при запуске, тоже через питон или даже батник напоминание можно написать через dbus libnotify на питоне работы на минут 5 наверно тоже по крону проверять истечение, данные хранить в sqlite

wingrime ★
(21.05.12 22:14:58 MSK)

Ссылка

Ответ на: Какой софт УЦ от uuwaan 21.05.12 20:28:18 MSK

инфа есть в базе УЦ, и он сам способен делать такие рассылки по email-адресам

«Да они тут все е...тые!!!!» (c) Есть же OCSP, есть CDP (CRL Distribution point), какой нафиг e-mail????

~~no-dashi~~ ★★★★★
(21.05.12 22:51:22 MSK)

Ответ на: комментарий от no-dashi 21.05.12 22:51:22 MSK

Уважаемый, а вы разбираетесь в вопросе вообще?

1) OCSP согласно RFC дает ответ вида «сертификат недействителен» — «сертификат действителен», ничего о сроке его действия. 2) CRL содержит в себе УЖЕ ОТОЗВАННЫЕ сертификаты, которые задаваемому вопросу иррелевантны, поскольку надо уведомления слать по действующим сертификатам.

uuwaan ★★
(21.05.12 22:55:44 MSK)

Ответ на: комментарий от uuwaan 21.05.12 22:55:44 MSK

Сорри. Походу ты отвечал на первую часть вопроса ТСа, а я решил, что твой пост про e-mail это ответ на вторую половину (где речь идет про CRL).

Но в любом случае твой ответ можно смело выкинуть. У ТС'а нет УЦ, он является клиентом (и только клиентом) многих УЦ у каждого из которых свой софт и свои тараканы, и ТСу надо _клиентское_ решение.

Ничего личного :-)

~~no-dashi~~ ★★★★★
(21.05.12 23:04:40 MSK)

Ссылка

ТС: для напоминания о событиях смены ключа... Юзай гуглокалендарь или самописный скрип :-) Другого решения у тебя нет.

Исключение если все твои ключи лежат на токенах которые позволяют получить сертификат или на флэшках - тогда с использованием всяких pc/sc можно вытаскивать сертификаты (или просто читать их файлы), составлять базу сертикатов и сроков их истекания... И опять таки заносить их в календарь :-(

~~no-dashi~~ ★★★★★
(21.05.12 23:09:41 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Отображение массивов при дебаге

General

Русская и английская раскладка клавиатуры в CentOS 6

→

Какой софт УЦ

Похожие темы