SK development

сайт о программах и программировании

  • Увеличить размер шрифта
  • Размер шрифта по умолчанию
  • Уменьшить размер шрифта
Java

Создание защищенного соединения SSL - Цифровой сертификат

E-mail Печать
Индекс материала
Создание защищенного соединения SSL
Цифровой сертификат
Инфраструктура открытого ключа (PKI)
Защищенное соединение с двухсторонней аутентификацией
Организация удостоверяющего центра
Получение серверного сертификата в удостоверяющем центре и конфигурирование контейнера сервлетов
Получение клиентского сертификата в удостоверяющем центре и конфигурирование web-обозревателя
Все страницы
 Цифровой сертификат

 Цифровой сертификат – это электронный документ, идентифицирующий владельца. Он содержит основную информацию о владельце, открытый ключ владельца, сроки действия, цифровая подпись эмитента (издателя) и др. необходимую информацию. В цифровом сертификате существует раздел расширений (необязательный для заполнения),  в котором расположены точки распространения списка отзыва, сведения об издателе и др. Цифровой сертификат позволяет организовать защищенное соединение SSL. О том как создать SSL сертификат рассказывается ниже в данной статье.

Из-за разнообразия программного обеспечения существуют различные типы цифровых SSL сертификатов:

- SSL сертификаты удостоверяющих центров;

- серверные SSL сертификаты;

- клиентские SSL сертификаты;

и др.

Основные особенности приведенных выше сертификатов:

- SSL сертификат удостоверяющего центра должен содержать поле CA со значением TRUE, что позволяет выдавать другие сертификаты, т.е. данный сертификат не является конечным в цепочке.

- серверные SSL сертификаты в поле CN (common name) должны обязательно содержать доменное имя или ip-адрес по которому происходит обращение к серверу, в противном случае сертификат будет признан недействительным;

- клиентские SSL сертификаты содержат e-mail адрес клиента, его имя и фамилию. В отличие от серверного сертификата поле CN не критично к содержимому и может содержать как имя с фамилией, так и e-mail адрес.

Цифровой SSL сертификат считается действительным в пределах срока действия, указанного в его полях. Таким образом, сертификатом невозможно пользоваться ранее даты начала действия, и после даты окончания действия, т.к. системы, вступающие с ним в контакт, будут сообщать о недоверии к нему.

Существуют ситуации, когда пользователю или издателю сертификата необходимо приостановить или полностью остановить его действие. Допустим, что закрытый ключ, который должен надежно храниться, был утерян или к нему получили доступ злоумышленники. В такой ситуации пользователю необходимо обратиться к эмитенту (издателю) сертификата, чтобы последний отменил его действие. Также издатель может отменить сертификат в случае выяснения, что клиент предоставил сфальсифицированную информацию о себе. Для этих целей создается специальный список, называемый списком аннулированных (отозванных) сертификатов (англ. Certificate revocation list, CRL). Данный список содержит серийный номер сертификата, дату прекращения его действия и причину отзыва. С момента попадания сертификата в CRL он считается недействительным и издатель не несет ответственность за содержимое такого сертификата. Одним из методов проверки CRL списка является протокол OCSP, но для этого необходимо налицие у удостоверяющего центра OCSP-респондера.



Обновлено 26.06.2009 19:34  

Добавить комментарий


Защитный код
Обновить

Категории блога

Google