Форум НУЦ РК
Главный раздел
Для разработчиков

(Решено) Список CA сертификатов, их предназначение
(0 чел.) 
  • Страница:
  • 1

ТЕМА: (Решено) Список CA сертификатов, их предназначение

(Решено) Список CA сертификатов, их предназначение 3 года, 10 мес. назад #1860

  • opewix
  • Осваиваюсь на форуме
  • Постов: 33
  • Репутация: 0
В SDK (сентябрь 2015) были найдены с следующие CA сертификаты:
- NCA_GOST.der ( ? НУЦ 1.0)
- new_NCA_GOST.der ( ? НУЦ 1.0)
- new_NCA_RSA.cer ( ? НУЦ 1.0)
- knca_root.crt (НУЦ 2.0)
- knca_rsa.crt (НУЦ 2.0)
- rca_gost.crt (КУЦ)
- rca_rsa.crt (КУЦ)
- knca_root.cer (НУЦ 2.0)
- knca_rsa.cer (НУЦ 2.0)
- rca_gost.cer (КУЦ)
- rca_rsa.cer (КУЦ)

Затем были выпущены новые корневые сертификаты (27 июля 2015 года)
- pki_gost.cer (НУЦ 2.0)
- pki_rsa.cer (НУЦ 2.0)
- root_gost.cer (КУЦ)
- root_rsa.cer (КУЦ)

Обратите внимание на различие в расширениях (crt, cer, der).

Подскажите пожалуйста, какие сертификаты нужно использовать для валидации цепочки для проведения тестирования в боевом режиме.

Для примера предлагаю взять пользовательские сертификаты старого образца (НУЦ 1.0) и пользовательские сертификаты, которые выдаются на данный момент до 1 декабря.

Новые ключи (действующие до 1 декабря) именуются так:
AUTH_RSA256_xxxxxxxxxxxxxx
RSA256_xxxxxxxxxxxxxx

PS: Нужно ли устанавливать корневые сертификаты в TRUSTED на севрере?
Изменено: 3 года, 10 мес. назад от opewix.

Re: Список CA сертификатов и их предназначение 3 года, 10 мес. назад #1861

  • Murat Seisenov
  • Модератор
  • Постов: 391
  • Репутация: 19
В SDK же все разложено по папкам.

SDK 2.0\Keys and Certs\ Нового НУЦ (new oids)\ca - здесь лежат 2 папки "КУЦ" и "НУЦ 2.0" - это корневой и промежуточный для новых ключей (НУЦ 2.0)

SDK 2.0\Keys and Certs\ Текущий НУЦ (old oids)\CA Root Certs - здесь лежат 2 файла new_NCA_GOST.cer и new_NCA_RSA.cer - это корневые сертификаты текущего НУЦ.
Модератор

Re: Список CA сертификатов и их предназначение 3 года, 10 мес. назад #1862

  • opewix
  • Осваиваюсь на форуме
  • Постов: 33
  • Репутация: 0
Ок.

Значит если документ подписан старым ключем НУЦ, то нужно проверять цепочку:
[new_NCA_GOST.cer] > [user_certificate_GOST]
[new_NCA_RSA.cer] > [user_certificate_RSA]

А если новым ключем, то:
[rca_gost.crt] > [knca_root.crt] > [user_certificate_GOST]
[rca_rsa.crt] > [knca_rsa.crt] > [user_certificate_RSA]

Корневые сертификаты из SDK можно использовать для тестирования на боевых серверах?
И что надо делать с корневыми сертификатами, выпущенными 27 июля?

Re: Список CA сертификатов и их предназначение 3 года, 10 мес. назад #1863

  • Murat Seisenov
  • Модератор
  • Постов: 391
  • Репутация: 19
В SDK лежат тестовые сертификаты нового НУЦ.
Для работы с боевыми серверами необходимо использовать сертификаты выпущенные 27 июля.

Скачать их можете по следующим ссылкам:
НУЦ:
http://pki.gov.kz/cert/pki_rsa.cer и http://pki.gov.kz/cert/pki_gost.cer
КУЦ:
http://root.gov.kz/cert/root_rsa.cer и http://root.gov.kz/cert/root_gost.cer

Цепочка получится такой:
[root_gost.cer] > [pki_gost.cer] > [user_certificate_GOST]
[root_rsa.cer] > [pki_rsa.cer] > [user_certificate_RSA]
Модератор

Re: Список CA сертификатов и их предназначение 3 года, 10 мес. назад #1864

  • opewix
  • Осваиваюсь на форуме
  • Постов: 33
  • Репутация: 0
Спасибо за информацию!
Изменено: 3 года, 10 мес. назад от opewix.
  • Страница:
  • 1
Форум НУЦ РК
Главный раздел
Для разработчиков
FaLang translation system by Faboba