🤞🏻 🔟 👩🏾‍🚀 सार्वजनिक कुंजी अवसंरचना (जारी): OpenSSL और SQLite3 पर आधारित प्रमाणपत्र प्राधिकरण 😭 🕊️ 🤜🏻

यदि सार्वजनिक कुंजी बुनियादी ढांचे (पीकेआई) की मुख्य वस्तुओं में से एक X509 प्रमाणपत्र है, तो पीकेआई का केंद्रीय विषय प्रमाणन प्राधिकरण (सीए) हैं। यह CA है जो प्रमाण पत्र जारी करता है, उनकी वैधता (प्रमाणपत्र निरस्तीकरण) को समाप्त करता है, उनकी वैधता की पुष्टि करता है। हबराब्र के पन्नों पर , आप ओपनएसएसएल का उपयोग करके डिजिटल प्रमाण पत्र के मुद्दे पर विभिन्न प्रकाशन पा सकते हैं। मूल रूप से, ये लेख ओपनसेल उपयोगिता के उपयोग पर चर्चा करते हैं, इसकी कमांड लाइन इंटरफ़ेस का वर्णन करते हैं और फाइलों के साथ काम करते हैं जो सब कुछ संग्रहीत करते हैं: कुंजी, अनुरोध, प्रमाण पत्र, रूट सहित, आदि। लेकिन अगर आप ओपनएसएसएल के आधार पर एक पूर्ण-स्तरीय प्रमाणन केंद्र (सीए) विकसित करते हैं, तो इस तरह की फाइलों से छुटकारा पाने और डेटाबेस के साथ काम करने के लिए आगे बढ़ना स्वाभाविक है, साथ ही प्रमाण पत्र जारी करने और प्रबंधन के लिए एक ग्राफिकल इंटरफ़ेस है। और अगर आप 6 अप्रैल, 2011 के संघीय कानून को याद करते हैं। नंबर 63-Sign इलेक्ट्रॉनिक हस्ताक्षर पर, इस कानून की आवश्यकताओं के अनुपालन के लिए सीए के लिए आवश्यक है, साथ ही इलेक्ट्रॉनिक हस्ताक्षर सत्यापन कुंजी के लिए अर्हताप्राप्त प्रमाण पत्र के फॉर्म के लिए आवश्यकताएं, रूस के संघीय सुरक्षा सेवा के आदेश द्वारा अनुमोदित 27 दिसंबर, 2011 नंबर 795।

साधारण नागरिकों की धारणा है कि संघ राज्य क्षेत्र कुछ बड़ा है (ठीक है, केंद्र, लगभग मिशन नियंत्रण केंद्र की तरह)।

सीए की जिम्मेदारी के दृष्टिकोण से - यह वास्तव में ऐसा है। आखिरकार, सीए द्वारा जारी किए गए प्रमाण पत्र आज पासपोर्ट में वास्तव में बराबर हैं।

एक प्रोग्रामर के दृष्टिकोण से, सब कुछ इतना डरावना नहीं है। इसलिए CAFL63 प्रमाणन केंद्र परियोजना का जन्म हुआ। CAFL63 परियोजना का कार्यान्वयन तीन "स्तंभों" पर आधारित है, जिसका नाम है OpenSSL, SQLite3 और Tcl / Tk ।

तो आज प्रमाणन प्राधिकरण क्या है? सबसे पहले, यह पंजीकरण केंद्र है, जहां कानूनी संस्थाओं के प्रतिनिधि, व्यक्ति, व्यक्तिगत उद्यमी आवश्यक दस्तावेजों के एक पैकेज के साथ प्रमाण पत्र के लिए आते हैं, विशेष रूप से, आवेदक की पहचान और अधिकार की पहचान करते हुए। वे इलेक्ट्रॉनिक रूप से तैयार अनुप्रयोगों के साथ आ सकते हैं। सीआर दस्तावेजों, अनुरोध (पूर्ण किए गए डेटा, इलेक्ट्रॉनिक हस्ताक्षर की शुद्धता, आदि) की जांच करता है, और अगर सबकुछ ठीक हो जाता है, तो वे अनुरोध को स्वीकार करते हैं, इसे स्वीकार करते हैं और इसे प्रमाणन केंद्र (सीए) को भेजते हैं। लेकिन यह आदर्श है। व्यवहार में, सब कुछ अलग दिखता है।

नागरिकों, संगठनों को एक प्रमाण पत्र की आवश्यकता होती है (कर रिपोर्टिंग के लिए राज्य सेवा पोर्टल तक पहुंच के लिए, बोली लगाने के लिए), लेकिन वे नहीं जानते कि यह क्या है और इसके साथ क्या करना है। वे पूरी तरह से आश्वस्त हैं कि CA को एक इलेक्ट्रॉनिक हस्ताक्षर जैसे कि एक प्रतिकृति प्राप्त होता है। लेकिन ये आत्मज्ञान की समस्याएं हैं। इसलिए, आवेदक केंद्रीय प्रशासन के केंद्रीय प्रशासन के पास आते हैं और दस्तावेज पेश करते हैं। केंद्रीय कार्यालय के कर्मचारी के साथ, वे एक अलग कार्यस्थल पर जाते हैं और एक प्रमाणपत्र अनुरोध तैयार करते हैं :

इलेक्ट्रॉनिक मीडिया पर एक तैयार अनुरोध, जैसा कि पहले ही उल्लेख किया गया है, सीआर द्वारा प्राप्त किया गया है। आवेदक को क्या याद रखना चाहिए? सबसे पहले और सबसे महत्वपूर्ण, मीडिया को निजी कुंजी के साथ चुनें!
इलेक्ट्रॉनिक मीडिया पर एक अनुमोदित अनुरोध सीए को प्रेषित किया जाता है, जहां इसके आधार पर एक प्रमाण पत्र जारी किया जाएगा।

यह सीए के काम का एक योजनाबद्ध आरेख है। विवरण नीचे स्पष्ट हो जाएगा। एक टिप्पणी, प्रदर्शन की सुविधा के लिए, एक अनुरोध तैयार करने के लिए उपयोगिता, सीआर और सीए को एक प्रदर्शन परिसर में जोड़ा जाता है। लेकिन कार्यात्मक विविधता के साथ कोई समस्या नहीं है। उनमें से सबसे सरल प्रत्येक कार्यस्थल पर CAFL63 उदाहरण है और केवल आवश्यक कार्यक्षमता का उपयोग करना है।

जब परियोजना पूरे जोरों पर थी, तो सिंपलसीएए परियोजना ने मेरी आंख पकड़ ली । सीएएफएल 63 सीए के अंतिम कार्यान्वयन के साथ इस परियोजना का अध्ययन करने में बहुत मदद मिली।

लिनक्स और एमएस विंडोज प्लेटफार्मों के लिए उपयोगिता और इसके वितरण का स्रोत कोड पाया जा सकता है

यहां:

तो, CAFL63 उपयोगिता चलाएं और स्क्रीन पर प्रारंभ पृष्ठ दिखाई देता है:

हम "डेटाबेस बनाएँ" कुंजी दबाकर काम शुरू करते हैं। CA डेटाबेस SQLite3 क्रॉस-प्लेटफॉर्म DBMS का उपयोग करके बनाया गया है। CA डेटाबेस में कई टेबल हैं। मुख्य टेबल मेनडीबी में केवल एक रिकॉर्ड होता है, जो रूट प्रमाणपत्र, पासवर्ड के साथ एन्क्रिप्टेड निजी कुंजी और सीए सेटिंग्स को संग्रहीत करता है। प्रमाणपत्र अनुरोधों से संबंधित दो तालिकाएँ हैं: वर्तमान reqDB अनुरोध और reqDBArc अनुरोध संग्रह। प्रमाणपत्रों के लिए तीन तालिकाएँ बनाई गई हैं: नए प्रमाणपत्रों की तालिका सर्टिफिकेट डीबीएनवाई, सर्टिफ़िकेट्स के संग्रह की तालिका सर्टिफ़िकेट और निरस्त प्रमाण-पत्रों की तालिका

. . . certdb eval {create table certDB( ckaID text primary key , nick text, sernum text, certPEM text, subject text, notAfter text, notBefore text, dateRevoke text, state text )} certdb eval {create table certDBRev( ckaID text primary key )} certdb eval {create table certDBNew( ckaID text primary key )} certdb eval {create table reqDB (ckaID text primary key, nick text, sernum text, subject text, type text, datereq text, status text, reqpem text, pkcs7 text)} certdb eval {create table reqDBAr (ckaID text primary key, nick text, sernum text, subject text, type text, datereq text, status text, reqpem text, pkcs7 text)} certdb eval {create table crlDB(ID integer primary key autoincrement, signtype text, issuer text, publishdate text, nextdate text, crlpem text)} . . .

सभी अनुरोध और प्रमाणपत्र तालिका सार्वजनिक कुंजी से कुंजी (प्राथमिक कुंजी) के रूप में हैश मान (sha1) का उपयोग करती हैं । सुविधा के लिए, भविष्य में, सार्वजनिक कुंजी मूल्य से हैश मूल्य को CKAID (PKCS # 11 शब्दावली) कहा जाएगा। यह बहुत सुविधाजनक निकला, उदाहरण के लिए, जब अनुरोध पर एक प्रमाण पत्र की खोज या इसके विपरीत। डेटाबेस में एक और crlDB तालिका है जो निरस्त प्रमाणपत्रों की सूची संग्रहीत करती है।

सार्वजनिक कुंजी मान अनुरोध और प्रमाणपत्र में संग्रहीत किया जाता है। इसलिए, उन्हें डेटाबेस में डालने से पहले, उनसे सार्वजनिक कुंजी निकालना और CKAID की गणना करना आवश्यक है। सार्वजनिक कुंजी के मूल्य को निकालने के लिए, पक्की पैकेज (पैकेज की आवश्यकता पक्की) का उपयोग करना सुविधाजनक है, जिसमें प्रमाण पत्र और अनुरोधों के साथ काम करने के लिए उपकरण शामिल हैं। हालांकि, यह पैकेज रूसी क्रिप्टोग्राफी के साथ काम करने के लिए डिज़ाइन नहीं किया गया है। इस संबंध में, पक्की पैकेज में शामिल parse_cert और parse_csr प्रक्रियाओं के आधार पर, parce_cert_gost और parse_csr_gost प्रक्रियाओं को लिखें:

 ... ## Convert Pubkey type to string set pubkey_type [::pki::_oid_number_to_name $pubkey_type] # Parse public key, based on type switch -- $pubkey_type { "rsaEncryption" { set pubkey [binary format B* $pubkey] binary scan $pubkey H* ret(pubkey) ::asn::asnGetSequence pubkey pubkey_parts ::asn::asnGetBigInteger pubkey_parts ret(n) ::asn::asnGetBigInteger pubkey_parts ret(e) set ret(n) [::math::bignum::tostr $ret(n)] set ret(e) [::math::bignum::tostr $ret(e)] set ret(l) [expr {int([::pki::_bits $ret(n)] / 8.0000 + 0.5) * 8}] set ret(type) rsa } "1.2.643.2.2.19" - "1.2.643.7.1.1.1.1" - "1.2.643.7.1.1.1.2" { # gost2001, gost2012-256,gost2012-512 set pubkey [binary format B* $pubkey] binary scan $pubkey H* ret(pubkey) set ret(type) $pubkey_type ::asn::asnGetSequence pubkey_algoid pubalgost #OID -  ::asn::asnGetObjectIdentifier pubalgost oid1 #OID -   ::asn::asnGetObjectIdentifier pubalgost oid2 } default { error "Unknown algorithm" } } ...

"देशी" प्रक्रियाओं के विपरीत, वे आपको न केवल पीईएम प्रारूप में वस्तुओं के साथ काम करने की अनुमति देते हैं, बल्कि डीईआर प्रारूप में भी। CRL प्रमाणपत्र निरस्तीकरण सूचियों के साथ काम करने के लिए, parse_crl प्रक्रिया लिखी गई थी। इन सभी प्रक्रियाओं को स्रोत कोड में पाया जा सकता है, जिसे वितरण के साथ संग्रहीत किया जाता है।

इसके अलावा पक्की पैकेज में कोई रूसी ओड-एस नहीं हैं, उदाहरण के लिए, टिन, एसएनआईएलएस, आदि। यह समस्या आसानी से हल करने के लिए रूसी oid-s जोड़कर हल किया जाता है :: pki :: oids:

 . . . set ::pki::oids(1.2.643.100.1) "OGRN" set ::pki::oids(1.2.643.100.5) "OGRNIP" set ::pki::oids(1.2.643.3.131.1.1) "INN" set ::pki::oids(1.2.643.100.3) "SNILS" #  set ::pki::oids(1.2.643.2.2.3) "  34.10-2001" set ::pki::oids(1.2.643.7.1.1.3.2) "  34.10-2012-256" set ::pki::oids(1.2.643.7.1.1.3.3) "  34.10-2012-512" . . .

कार्य के बाद parse_cert_gost और parse_csr_gost, CKAID के मूल्यों (डेटाबेस के लिए प्राथमिक कुंजी) की गणना निम्नानुसार की जाती है:

 . . . array set b [parse_csr_gost $req] set pem $b(pem) set subject $b(subject) set pubkey $b(pubkey) set key1 [binary format H* $pubkey] set ckaID [::sha1::sha1 $key1] . . .

तो, "डेटाबेस बनाएँ" बटन पर क्लिक करें:

सीए निर्माण उस निर्देशिका की पसंद से शुरू होता है जिसमें हम सीए निजी कुंजी तक पहुंच के लिए डेटाबेस और पासवर्ड सेटिंग्स संग्रहीत करेंगे। CAFL63 उपयोगिता पासवर्ड की लंबाई की सावधानीपूर्वक निगरानी करती है:

पासवर्ड को CA डेटाबेस में हैश के रूप में संग्रहीत किया जाता है:

 . . . set hash256 [::sha2::sha256 $wizData(capassword)] . . .

"ट्रेस" कुंजी को दबाने के बाद, तैनात सीए का स्व-हस्ताक्षरित रूट प्रमाण पत्र बनाने की प्रक्रिया शुरू होती है। इस प्रक्रिया के पहले चरण में, कुंजी जोड़ी के प्रकार और मापदंडों का चयन किया जाता है:

निर्मित प्रमाणन केंद्र के मूल प्रमाणपत्र के लिए मुख्य जोड़ी पर निर्णय लेने के बाद, हम स्वामी के बारे में जानकारी के साथ फ़ॉर्म को भरने के लिए आगे बढ़ते हैं (पहला स्क्रीनशॉट गायब है)।

ध्यान दें कि CAFL63 उपयोगिता में एक निश्चित "खुफिया" है और इसलिए न केवल खेतों में डेटा की उपलब्धता को नियंत्रित करता है, बल्कि टिन, पीएसआरएन, एसएनआईएलएस, पीएसएनएनआईपी, ईमेल पते, आदि जैसे क्षेत्रों में भरने की शुद्धता (लाल हाइलाइटिंग - गलत) भी है।

सीए के मालिक के बारे में जानकारी के साथ खेतों में भरने के बाद, यह सीए की सिस्टम सेटिंग्स को निर्धारित करने की पेशकश की जाएगी:

यदि आप रूसी क्रिप्टोग्राफी के साथ काम नहीं करने जा रहे हैं, तो आप सामान्य ओपनएसएसएल का उपयोग कर सकते हैं। रूसी क्रिप्टोग्राफी के साथ काम करने के लिए, आपको उपयुक्त संस्करण, ओपनएसएसएल के एक संशोधन का चयन करना होगा। अधिक जानकारी के लिए, डाउनलोड किए गए वितरण में README.txt पढ़ें। चूंकि यह योग्य प्रमाण पत्र जारी करने की योजना है, इसलिए स्वयं सीए के प्रमाणीकरण और इसके द्वारा उपयोग की जाने वाली क्रिप्टोग्राफ़िक सूचना सुरक्षा प्रणाली ("27 दिसंबर 2011 की संख्या 795 रूस की संघीय सुरक्षा सेवा के आदेश द्वारा अनुमोदित" इलेक्ट्रॉनिक हस्ताक्षर सत्यापन कुंजी के योग्य प्रमाण पत्र के लिए आवश्यकताएँ देखें) के बारे में जानकारी प्रदान करना आवश्यक है।

सभी क्षेत्रों में सही ढंग से भरने के बाद, यह एक बार फिर से उनकी सटीकता की जांच करने और "समाप्त" बटन पर क्लिक करने की पेशकश की जाएगी:

"समाप्त" बटन पर क्लिक करने के बाद, सीए डेटाबेस बनाया जाएगा जिसमें सीए रूट प्रमाण पत्र, निजी कुंजी, सिस्टम सेटिंग्स सहेजी जाएंगी, और सीएएफएल 63 उपयोगिता प्रारंभ पृष्ठ फिर से स्क्रीन पर दिखाई देगा। अब जब हमने नए बनाए गए CA का डेटाबेस बनाया है, तो हम "Open DB" बटन पर क्लिक करते हैं, डेटाबेस के साथ डायरेक्टरी को चुनते हैं, CA की मुख्य कार्यशील विंडो पर जाते हैं और "CA देखें" बटन पर क्लिक करते हैं, सुनिश्चित करें कि हमने जो रूट सर्टिफिकेट बनाया है। :

अगला कदम कानूनी संस्थाओं, व्यक्तियों, व्यक्तिगत उद्यमियों ( टूल-> सेटिंग्स-> प्रमाणपत्र प्रकार-> नया ) के लिए आवेदन टेम्पलेट्स / प्रोफाइल तैयार करना है:

नई प्रोफ़ाइल का नाम सेट करने के बाद, इसकी संरचना निर्धारित करने का प्रस्ताव दिया जाएगा:

प्रोफ़ाइल की संरचना प्रतिष्ठित नाम से निर्धारित होती है। प्रत्येक प्रोफ़ाइल में आवश्यक (आवश्यक) या नहीं फ़ील्ड / oids के साथ अपनी स्वयं की रचना है। कानूनी संस्थाओं, व्यक्तियों, व्यक्तिगत उद्यमियों के लिए प्रोफाइल की संरचना संघीय कानून -63 की आवश्यकताओं और "रूस के इलेक्ट्रॉनिक हस्ताक्षर सत्यापन कुंजी प्रमाणपत्र के योग्य प्रमाण पत्र के लिए आवश्यकताएँ" की आवश्यकताओं से निर्धारित होती है।

प्रोफाइल तैयार करने के बाद, CA आवेदकों और उनसे आवेदन प्राप्त करने के लिए तैयार है। जैसा कि ऊपर उल्लेख किया गया है, आवेदक प्रमाण पत्र के लिए तैयार आवेदन के साथ या बिना आ सकता है।
यदि आवेदक एक तैयार आवेदन के साथ आया है, तो अपने दस्तावेजों की जांच करने के बाद, आवेदन को सीए के डेटाबेस में आयात किया जाता है। ऐसा करने के लिए, मुख्य कार्य विंडो पर "प्रमाणपत्र के लिए अनुरोध" टैब का चयन करें, "आयात अनुरोध / सीएसआर" बटन पर क्लिक करें, और अनुरोध के साथ फ़ाइल का चयन करें। उसके बाद, अनुरोध के बारे में जानकारी के साथ एक विंडो दिखाई देगी:

अनुरोध की समीक्षा करने और यह सुनिश्चित करने के बाद कि यह सही तरीके से भरा गया है, आप इसे डेटाबेस में दर्ज करने के लिए "आयात" बटन पर क्लिक कर सकते हैं। तुरंत, हम ध्यान दें कि जब आप CA के डेटाबेस में फिर से अनुरोध करने का प्रयास करते हैं, तो एक संदेश प्रदर्शित किया जाएगा:

सीए डेटाबेस के लिए अनुरोध ("टाइप" कॉलम) या तो "लोकेल" के रूप में सीए पंजीकरण केंद्र में बनाए गए हैं, या आवेदक द्वारा खुद बनाए गए "आयात" के रूप में चिह्नित हैं, और सीए में आवेदन प्राप्त होने का समय भी दर्ज किया गया है। यह संघर्ष स्थितियों को सुलझाने में उपयोगी हो सकता है। इसलिए, एक प्रमाणपत्र अनुरोध का आयात करते समय, आपको संकेत करना चाहिए कि अनुरोध किसने बनाया है (स्क्रीनशॉट देखें)।
आयातित एप्लिकेशन CA डेटाबेस में स्थित है और "प्रमाणपत्र अनुरोध" टैब पर मुख्य विंडो पर प्रदर्शित होता है। प्राप्त अनुरोध "विचार" चरण ("प्रमाणपत्र अनुरोध" और "अनुरोध अभिलेखागार" टैब के "स्थिति" कॉलम) में हैं। प्रत्येक नए प्राप्त अनुरोध के लिए, एक निर्णय किया जाना चाहिए (जब आप चयनित अनुरोध पर राइट-क्लिक करते हैं तो ड्रॉप-डाउन मेनू):

प्रत्येक अनुरोध को अस्वीकार या अनुमोदित होना चाहिए:

यदि अनुरोध अस्वीकार कर दिया जाता है, तो इसे वर्तमान reqDB अनुरोधों की तालिका से reqDBArc अनुरोध संग्रह की तालिका में ले जाया जाता है और तदनुसार, "प्रमाणपत्र अनुरोध" टैब पर गायब हो जाता है और "अनुरोध पुरालेख" टैब पर दिखाई देता है।

स्वीकृत आवेदन reqDB तालिका में और प्रमाणपत्र जारी होने तक "प्रमाणपत्र अनुरोध" टैब पर रहता है, और फिर यह संग्रह में भी समाप्त होता है।

प्रमाण पत्र जारी करने से पहले, आवेदक के साथ यह स्पष्ट करना आवश्यक है कि किन उद्देश्यों के लिए (उदाहरण के लिए, राज्य सेवा पोर्टल तक पहुंच के लिए) प्रमाण पत्र का उपयोग किया जाएगा ( उपकरण-> सेटिंग्स-> प्रमाणपत्र प्रकार -> व्यक्तिगत -> संपादित करें -> कुंजी का उपयोग ):

प्रमाणपत्र जारी करने के लिए, आपको "प्रमाणपत्र के लिए अनुरोध" टैब पर स्वीकृत आवेदन का चयन करना होगा, राइट-क्लिक करना होगा और ड्रॉप-डाउन मेनू में "अंक प्रमाण पत्र" का चयन करना होगा। दिखाई देने वाले विजेट में, आपको उस प्रोफ़ाइल का चयन करना होगा, जिसके लिए अनुरोध / प्रमाण पत्र की प्रोफ़ाइल अनुरूप होनी चाहिए:

ध्यान दें कि प्रमाणपत्र जारी करने की प्रक्रिया में, आप किसी विशेष क्षेत्र के मूल्यों को स्पष्ट कर सकते हैं:

प्रमाणपत्र जारी करने की प्रक्रिया (मेनू आइटम "एक प्रमाण पत्र जारी करें") रूट प्रमाणपत्र बनाने या आवेदन जारी करने की प्रक्रिया से थोड़ा अलग है:

जारी प्रमाण पत्र तुरंत प्रमाण पत्र टैब पर दिखाई देगा। इस मामले में, प्रमाण पत्र स्वयं CA डेटाबेस की सर्टिफिकेशन तालिका में आता है और प्रकाशित होने तक बना रहता है। एक प्रमाणपत्र को तब माना जाता है, जब उसे नए प्रमाणपत्रों के SQL डंप को निर्यात किया जाता है, जिसे एक सार्वजनिक सेवा में स्थानांतरित कर दिया जाता है। किसी प्रमाणपत्र को प्रकाशित करना उसे सर्टिफ़िकेट तालिका से सर्टिफ़िकेट तालिका में ले जाता है।

यदि आप "प्रमाणपत्र" टैब में चयनित लाइन पर राइट-क्लिक करते हैं, तो निम्न फ़ंक्शन वाला मेनू दिखाई देगा:

ये फ़ंक्शन आपको प्रमाणपत्र और अनुरोध दोनों को देखने की अनुमति देते हैं जिसके आधार पर इसे जारी किया गया था। आप प्रमाणपत्र को फ़ाइल या किसी आवेदक के फ्लैश ड्राइव में भी निर्यात कर सकते हैं। यहाँ सबसे महत्वपूर्ण कार्य प्रमाणपत्र निरस्तीकरण समारोह है! पीकेसीएस # 12 सुरक्षित कंटेनर के लिए एक प्रमाण पत्र के निर्यात के रूप में ऐसी एक विदेशी विशेषता है। इसका उपयोग तब किया जाता है जब आवेदक इस तरह के कंटेनर को प्राप्त करना चाहता है। ऐसे आवेदकों के लिए, फ़ाइल में निजी कुंजी को सहेजने के साथ एक अनुरोध पीढ़ी फ़ंक्शन विशेष रूप से "प्रमाणपत्र अनुरोध" टैब पर "अनुरोध बनाएँ / सीएसआर" बटन प्रदान किया जाता है।

तो, सीए ने अपना जीवन शुरू किया, पहला प्रमाण पत्र जारी किया। सीए के उद्देश्यों में से एक जारी किए गए प्रमाणपत्रों तक मुफ्त पहुंच का संगठन है। प्रमाणपत्रों का प्रकाशन आमतौर पर वेब सेवाओं के माध्यम से होता है। CAFL63 में भी यह सेवा है:

किसी सार्वजनिक सेवा पर निरस्त किए गए प्रमाणपत्रों की सूचियों और सूचियों को प्रकाशित करने के लिए, CA प्रमाण पत्र को या तो फाइलों ( प्रमाण पत्र-> निर्यात प्रमाणपत्र ) में पूर्व-अपलोड करता है, या संपूर्ण प्रमाणपत्र तालिका का एक SQL डंप बनाता है, जहां से आप प्रमाण पत्र का डेटाबेस बना सकते हैं और उन्हें अपलोड कर सकते हैं, और फिर उन्हें कर सकते हैं। नए प्रमाणपत्रों के SQL डंप जिनसे उन्हें सार्वजनिक सेवा डेटाबेस में जोड़ा जाएगा:

सीए का मूल कार्य निरस्त प्रमाण पत्रों की सूची को प्रकाशित करना है, जैसा कि आंतरिक मामलों के मंत्रालय ने समाप्त पासपोर्ट के संबंध में किया है। मालिक के अनुरोध पर प्रमाणपत्र रद्द किया जा सकता है। वापस बुलाने का मुख्य कारण निजी कुंजी का नुकसान या उस पर विश्वास का नुकसान है।

किसी प्रमाणपत्र को रद्द करने के लिए, इसे "प्रमाणपत्र" टैब पर चुनें, राइट-क्लिक करें और मेनू आइटम "प्रमाणपत्र निरस्तीकरण" चुनें:

अनुरोध या प्रमाणपत्र जारी करने के लिए निरस्तीकरण प्रक्रिया अनुमोदन प्रक्रिया से अलग नहीं है। निरस्त प्रमाणपत्र CA डेटाबेस के cerDBRev तालिका में आता है और "निरस्त प्रमाण पत्र" टैब में दिखाई देता है।

यह सीए के अंतिम कार्य पर विचार करने के लिए बनी हुई है - सीआरएल की रिहाई - निरस्त प्रमाण पत्र की एक सूची। जब आप "क्रिएट एसओएस / सीआरएल" बटन पर क्लिक करते हैं तो सीआरएल सूची "निरस्त प्रमाण पत्र" टैब पर बनती है। व्यवस्थापक के लिए आवश्यक सभी CA पासवर्ड दर्ज करना और CRL जारी करने के अपने इरादे की पुष्टि करना है:

जारी CRL डेटाबेस के crlDB तालिका में आता है और CRL / SOS टैब पर प्रदर्शित होता है।

डेटाबेस में रखने से पहले CRL को पार्स करने के लिए, parse_crl प्रक्रिया को लिखा गया था:

 proc parse_crl {crl} { array set ret [list] if { [string range $crl 0 9 ] == "-----BEGIN" } { array set parsed_crl [::pki::_parse_pem $crl "-----BEGIN X509 CRL-----" "-----END X509 CRL-----"] set crl $parsed_crl(data) } ::asn::asnGetSequence crl crl_seq ::asn::asnGetSequence crl_seq crl_base ::asn::asnGetSequence crl_base crl_full ::asn::asnGetObjectIdentifier crl_full ret(signtype) #puts "KEY_TYPE=$ret(signtype)" ::::asn::asnGetSequence crl_base crl_issue set ret(issue) [::pki::x509::_dn_to_string $crl_issue] #puts "ISSUE=$ret(issue)" ::asn::asnGetUTCTime crl_base ret(publishDate) ::asn::asnGetUTCTime crl_base ret(nextDate) #puts "publishDate=$ret(publishDate)" return [array get ret] }

सार्वजनिक सेवा पर प्रकाशन के लिए CRL देखने या उसे निर्यात करने के लिए, आपको हमेशा की तरह, वांछित लाइन का चयन करना होगा, सही माउस बटन पर क्लिक करना होगा और उपयुक्त मेनू आइटम का चयन करना होगा:

बस, प्रमाणन प्राधिकरण तैयार है।

रूसी क्रिप्टोग्राफी के साथ ओपनएसएसएल को इकट्ठा करने और कनेक्ट करने का तरीका जानें ।

सार्वजनिक कुंजी अवसंरचना (जारी): OpenSSL और SQLite3 पर आधारित प्रमाणपत्र प्राधिकरण

More articles: