|
Sertifikatni imzolashni va imzo to'g'riligini tekshirish
|
| bet | 6/8 | | Sana | 20.05.2024 | | Hajmi | 0,62 Mb. | | #246235 |
Bog'liq induvidualish2 Sertifikatni imzolashni va imzo to'g'riligini tekshirish
Sertifikatning vaqtinchalik parametrlarini qayta ishlashda, joriy sana sertifikatning boshlanish va tugash sanalari bilan taqqoslanadi. Sertifikatning amal qilishini cheklash sabablaridan biri zamonaviy kompyuter xavfsizligi talablariga, xususan kriptografiyaga javob berishdir, chunki eskirgan texnologiyalar yordamida berilgan sertifikatlarga hech kim ishonishi dargumon.
Qaytarishni tekshirish paytida sertifikat uni bergan CA tomonidan bekor qilinganligi tekshiriladi. Windows 2003 va Windows 2000 Server PKI muhitlari to'liq CRL va CRL tarqatish punktlarini (CDP) qo'llab-quvvatlaydi. Bundan tashqari, Windows 2003 Sertifikat Xizmatlari delta CRL-larni boshqarishi mumkin. CRLs, CRL Change Lists va CDP tugunlari yordamida siz sertifikatlar haqiqiyligini avtomatik ravishda tekshirishingiz mumkin. Sertifikatlarni bekor qilish bilan bog'liq muammolar haqida ko'proq ma'lumot olish uchun maqolaga qarang Windows IT Pro
/ RE # 4 2006 da nashr etilgan[3,2].
Formatni taqqoslash protsedurasi sertifikat formati Xalqaro elektraloqa ittifoqining elektraloqani standartlashtirish sektori (ITU-T) tomonidan chiqarilgan
X.509 tavsiyalarida belgilangan talablarga javob berishini tekshiradi. Shuningdek, u asosiy cheklovlar, ism cheklovlari, dastur siyosati cheklovlari va berish siyosati cheklovlari kabi boshqariladigan ishonch munosabatlari sozlamalarini tavsiflovchi sertifikat kengaytmalarining haqiqiyligini tasdiqlaydi. Ushbu kengaytmalar maqolada batafsilroq tasvirlangan. Windows IT Pro # 7, 2006 da nashr etilgan. Masalan, Secure MIME (S / MIME) dan foydalanadigan ko'pgina dasturlar Internet muhandislik topshiriqlarini kuchaytirish (IETF) sharhlar uchun so'rovda (RFC) tavsiflangan ob'ekt nomining sertifikati parametrining haqiqiyligini tasdiqlaydi. 822 (aslida Internet-manzillar formatidagi standart nom,aytaylik jan.declercq@hp.com). Buning uchun ushbu parametrning qiymati SMTP xabarining sarlavhasida yuboruvchining manzil manzili bilan taqqoslanadi. S / MIME holatida, bu tekshirish mumkin bo'lgan o'zini tutish va odam ichidagi hujumlardan himoya qiladi. Bunday
hujumlarda, buzg'unchi odatda tizimga yoki tarmoqqa kirish uchun o'zini haqiqiy foydalanuvchi bilan aniqlashga harakat qiladi. Secure Sockets Layer (SSL) dasturlarining aksariyati shunga o'xshash tekshiruvlarni amalga oshiradi. SSL, sub'ektning RFC 822 nom parametrlari mijoz kiradigan xavfsiz veb-saytning URL manzilidagi nomga mos kelishini tasdiqlaydi.
Sertifikatlar zanjiri bilan ishlashning standart tartibi.
Sertifikatlar zanjiri nima va u sertifikatni autentifikatsiya qilish jarayonida nima uchun qayta ishlanishi kerak? Zanjirni yaratish orqali siz ushbu sertifikat bilan bog'liq bo'lgan barcha sertifikatlar autentifikatsiyasini tashkil qilishingiz mumkin. Sertifikatlar zanjiri nima ekanligini tushunish uchun PKI infratuzilmasidagi ierarxik ishonch modelini ko'rib chiqamiz. Ushbu modelda (yuqorida aytib o'tilgan PKI Trast Printsiplari maqolasida ham muhokama qilingan) har bir foydalanuvchining sertifikat zanjiri foydalanuvchidan ushbu ierarxiya tarkibidagi CA-ning ildiziga (ildiziga) yo'lni tashkil etuvchi barcha CA sertifikatlaridan iborat. Ierarxik ishonch modelidan foydalangan holda, har bir sertifikat X.509 sertifikatining emitent sohasida saqlanadigan ota-ona (yoki sertifikat beruvchi) CA-ga ko'rsatgichni o'z ichiga oladi. Shaklda 1da ikki darajali PKI ierarxiyasi mavjud bo'lganda, CA tomonidan berilgan foydalanuvchi sertifikati uchun zanjir namunasi ko'rsatilgan. Anjir. 1da sertifikat mavzusi va sertifikat beruvchining parametrlaridan foydalanishning eng oddiy namunasi keltirilgan. Ushbu misolda, foydalanuvchi sertifikatining predmeti foydalanuvchi va sertifikat beruvchisi CA hisoblanadi. Oraliq hokimiyat guvohnomasida, sub'ekt - bu hokimiyatning o'zi, noshir esa bu holda asosiy CA bo'ladi. Ierarxik ishonch modelida, IK har doim o'z sertifikatiga imzo qo'yadi, shuning uchun u sertifikat uchun subyekt ham, sertifikat beruvchi ham hisoblanadi.
2.5-rasm. Zanjirni qayta ishlash sertifikat tekshirish.
Ushbu protsedura sertifikat zanjirlarini qayta ishlash uchun alohida holdir. CTL sertifikatlangan sertifikatlangan ro'yxatni o'z ichiga oladi, shuning uchun u CA- lar tomonidan imzolangan sertifikatlarga ega. CTL ro'yxati Enterprise Trust Group Policy Object konteynerining ochiladigan menyusi orqali yaratiladi. Ushbu konteynerga Windows Sozlamalar Xavfsizlik sozlamalari Umumiy kalit siyosatining ketma-ket tanlovi orqali kirish mumkin. GPOlar shuningdek CTL-larni Sertifikat Kontent Do'konidagi Enterprise Trust konteyneriga avtomatik ravishda yuklaydi. Esda tutingki, Enterprise Trust konteyneri ishonchli anker konteyneri emas - uning tarkibi sukut bo'yicha mutlaq ishonch deb hisoblanmaydi.
CTL va uning tarkibidagi ma'lumotlar ishonchli deb hisoblanishi uchun CTL imzolagan sertifikat haqiqiy bo'lishi kerak. Shuning uchun ushbu sertifikat yuqorida muhokama qilingan barcha parametrlarni (raqamli imzo, ishonch munosabatlari parametrlari, vaqt parametrlari, sertifikatni bekor qilish to'g'risidagi ma'lumot va format parametrlari) taqqoslash tartiblari bo'yicha tekshirish talablariga to'liq javob berishi kerak. Muvaffaqiyatli raqamli imzoni tekshirish CTL sertifikatiga imzo qo'yish uchun ishlatilgan sertifikat zanjirida Ishonchli Ildiz Sertifikatlash Vakolatxonalari konteyneridan sertifikat mavjudligi bilan kafolatlanadi. Yuqorida muhokama qilinganidek, sertifikat zanjiri haqiqiy CTL tarkibiga kiradimi yoki yo'qligini aniqlashingiz mumkin, bu sertifikat xususiyatlari oynasida Sertifikat yo'li yorlig'ini ishlatib zanjirdagi har bir sertifikatni ko'rish mumkin [5,6].
|
| |
