корневой сертификат для чего нужен

Корневой сертификат для чего нужен

Основные понятия PKI

Сертификаты и удостоверяющие центры

Сертификаты

Для того, чтобы обеспечить эти требования, все открытые ключи хранятся и передаются в виде сертификатов.

Сертификат — это набор данных специального формата, содержащий сам открытый ключ и всю информацию о нем: кто владелец, адрес электронной почты владельца, когда ключ создан, назначение ключа (подпись или обмен), для какого алгоритма предназначен ключ и т.д.

Сертификаты являются основным инструментом, которым пользуются различные приложения для криптографической защиты информации. В отличие от секретных ключей, криптопровайдеров и прочих составляющих системы криптографической защиты, которые «неочевидны» пользователю, с сертификатами пользователю непосредственно приходится иметь дело при любых операциях, связанных с защитой информации. Поэтому пользователю необходимо знать, как и для чего используются сертификаты, и уметь с ними работать.

Удостоверяющие центры

Создает (выпускает) сертификаты специальный административный центр, называемый удостоверяющим центром (УЦ) или центром сертификации (ЦС).

Удостоверяющий центр устанавливает определенные требования к работе пользователей. Например, удостоверяющий центр определяет максимальный срок действия сертификатов, совокупность необходимых данных запросе на сертификат, способы передачи запроса от пользователя в УЦ, способы проверки корректности запросов пользователей и т.д.

Совокупность требований удостоверяющего центра называется регламентом удостоверяющего центра.

Удостоверяющий центр имеет собственные ключи подписи и подписывает на них все электронные документы, которые он выпускает.

Удостоверяющий центр выпускает сертификат на собственный открытый ключ. Такой сертификат называется сертификатом удостоверяющего центра.

Таким образом, каждый пользователь в любой момент может, воспользовавшись сертификатом удостоверяющего центра, проверить корректность любого сертификата.

Удостоверяющий центр и пользователи, чьи сертификаты зарегистрированы в удостоверяющем центре, вместе составляют криптосеть.

Криптографические операции и цепочки доверия

Понятие «Проверка подписи» подразумевает проверку соответствия подписи документу, который подписан этой подписью. Если подпись соответствует документу, документ считается подлинным и корректным.

Для проверки подписи используется открытый ключ подписи автора подписи. Но для того, чтобы результат проверки можно было считать надежным, необходимо удостовериться, что сам открытый ключ подписи автора подписи, имеющийся у проверяющего, корректен.

Для этого проводится проверка сертификата на этот ключ. Понятие «проверка сертификата» означает проверку подписи под этим сертификатом. Подпись под сертификатом проверяется на открытом ключе того, кто создал и подписал сертификат — т.е. на открытом ключе удостоверяющего центра.

Т.е. для того, чтобы результат проверки подписи под документом можно было считать надежным, кроме собственно проверки подписи и проверки сертификата на ключ подписи необходимо удостовериться также и в корректности сертификата удостоверяющего центра.

Таким образом, в процессе проверки подписи возникает цепочка сертификатов, каждый из которых проверяется на следующем. Такая цепочка сертификатов называется цепочкой доверия.

То же самое происходит и при зашифровании: прежде чем зашифровать сообщение для владельца открытого ключа обмена, необходимо удостовериться, что данный открытый ключ обмена корректен и подлинен. Для этого необходимо проверить подпись под сертификатом на этот ключ, и возникает точно такая же цепочка доверия.

Корневые сертификаты удостоверяющих центров

В каждой цепочке доверия рано или поздно встречается сертификат, на котором цепочка заканчивается. Т.е. для этого сертификата нет сертификата, на котором его можно было бы проверить.

Такие сертификаты называются корневыми.

Очевидно, что корневым сертификатом в цепочке доверия всегда является сертификат удостоверяющего центра (хотя необязательно каждый сертификат удостоверяющего центра будет корневым—могут, например, существовать сертификаты удостоверяющего центра, подписанные на корневом и т.д.)

Проверить такой сертификат электронными средствами невозможно. Для проверки этих сертификатов используются бумажные распечатки, содержащие определенную информацию: как правило, так называемые цифровые отпечатки, либо сами открытые ключи. Какая именно информация используется для проверки, зависит от регламента удостоверяющего центра.

Цифровой отпечаток документа — это последовательность символов, соответствующая документу таким образом, что каждому документу соответствует свой отпечаток, и по изменению документа нельзя определить, как изменится цифровой отпечаток. Таким образом, можно быть уверенными, что если цифровой отпечаток документа соответствует документу, документ подлинный и корректный. (Эта идея заложена также в основе формирования ЭП).

Для проверки корневого сертификата удостоверяющего центра необходимо получить в удостоверяющем центре бумажную распечатку, содержащую цифровой отпечаток этого сертификата либо открытый ключ, и заверенную подписью администратора удостоверяющего центра и печатью удостоверяющего центра, и сравнить информацию из распечатки с соответствующей информацией, содержащейся в сертификате (увидеть эту информацию можно при просмотре и при установке сертификата).

Если цифровой отпечаток или открытый ключ в распечатке и в сертификате совпадает, корневой сертификат считается корректным. Если цифровой отпечаток или открытый ключ в распечатке и в сертификате не совпадают, значит, файл корневого сертификата искажен. О факте искажения файла сертификата следует немедленно сообщить в удостоверяющий центр—это может означать компрометацию ключей удостоверяющего центра.

Промежуточные сертификаты удостоверяющих центров

Промежуточные сертификаты удостоверяющих центров—это сертификаты на ключи удостоверяющих центров, не являющиеся корневыми. Т.е. это сертификаты удостоверяющих центров, подписанные на других сертификатах удостоверяющих центров.

Если в цепочке доверия присутствует промежуточный сертификат удостоверяющего центра, она оказывается трехзвенной:

Корневой сертификат УЦ—промежуточный сертификат УЦ—сертификат пользователя.

Более длинные цепочки (с несколькими промежуточными сертификатами) возможны, но встречаются очень редко.

Запрос на сертификат на открытый ключ

Для того чтобы удостоверяющий центр выпустил сертификат на открытый ключ пользователя, пользователю необходимо отправить в удостоверяющий центр запрос на этот сертификат.

Точный набор данных, включаемых в запрос, определяется регламентом удостоверяющего центра. В запрос обязательно включается имя пользователя, назначение запрашиваемого сертификата (подпись или обмен), а также сам открытый ключ, на который создается сертификат. Таким образом, к моменту формирования запроса открытый ключ уже должен существовать.

Конец срока действия сертификата

Каждый сертификат имеет ограниченный срок действия. Конкретный максимальный срок действия сертификата устанавливается регламентом УЦ, но обычно он не превышает одного года.

По истечении срока действия сертификат становится недействительным.

По истечении срока действия сертификата удостоверяющего центра необходимо получить и установить в системе новый.

По истечении срока действия сертификата на открытый ключ пользователя необходимо сформировать запрос на новый сертификат.

Это может быть запрос на сертификат на уже существующие ключи или на новые ключи. Можно ли получать новые сертификаты на уже существующие ключи или необходимо создавать новые ключи после окончания срока действия сертификата, определяется регламентом удостоверяющего центра.

Отзыв сертификата

Существует ряд причин, по которым действие сертификата бывает необходимо прекратить до окончания его срока действия.

В таких ситуациях удостоверяющий центр отзывает соответствующий сертификат.

Если владелец ключей считает нужным отзыв имеющегося у него сертификата, ему необходимо сообщить об этом в удостоверяющий центр. Особенно это важно при компрометации ключей. Если владельцу ключей становится известно о факте их компрометации, ему необходимо сообщить о факте компрометации в удостоверяющий центр как можно скорее.

Удостоверяющий центр отзывает соответствующий сертификат, т.е. заносит его в так называемый список отзыва сертификатов (CRL — Certificate Revocation List). Все сертификаты, числящиеся в списке отзыва сертификатов, недействительны. Список отзыва сертификатов доводится до сведения всех пользователей в соответствии с регламентом удостоверяющего центра.

Владелец отозванного сертификата отправляет в удостоверяющий центр запрос на новый сертификат. Необходимость создания новых ключей в этом случае определяется конкретной ситуацией: если старые ключи скомпрометированы, необходимо создать новые; если речь идет о замене сертификата вследствие изменения актуальной информации о владельце, достаточно создать запрос на новый сертификат на имеющиеся ключи.

Для того чтобы быть полностью уверенным в подлинности и корректности подписи под сообщением, необходимо проверить, не отозван ли сертификат на ключ, на котором выработана проверяемая подпись, т.е. не включен ли этот сертификат в список отзыва сертификатов.

Источник

eSSL — SSL сертификаты для встраиваемых систем

Немого общей имформации об SSL

eSSL — embedded Secure Socket Layer

Сценарий использования SSL во встраиваемых системах

Создание корневого сертификата

Здесь dir — это базовый каталог в котором будет располагаться наш собственный Центр Сертификации (Certificate Authority). Создаем его в текущем каталоге.
Т.к. наши устройства могут иметь одинаковые имена (параметр commonName при создании сертификата), по этому, параметром unique_subject, мы разрешаем создавать много сертификатов для одного субъекта.
Зададим длину ключа в 2048 (а можно и в 4096) бит.

Далее можно указать параметры по умолчанию чтобы не вводить их каждый раз в ручную, хотя, для корневого сертификата их нужно будет вводить только один раз, если Вы не собираетесь делать сотню-другую корневых сертификатов.

Она создаст необходимую структуру каталогов и корневой сертификат, и подпишет его самим собой.
По запросу необходимо ввести пароль для будущего корневого сертификата и затем повторить его

Его нужно указать в файле конфигурации(/home/user/my-certs/conf/openssl.cnf), тогда при создании пользовательских сертификатов не нужно будет каждый раз вводить пароль для корневого сертификата.

Его нужно указать в файле конфигурации, тогда при создании пользовательских сертификатов не нужно будет каждый раз вводить пароль для корневого сертификата.

Эти файлы надо «беречь как зеницу ока» ибо ими будут подписываться все сертификаты для конечных пользователей. Но файл ca.crt будет передаваться конечным пользователям для импорта в браузеры.

Сертификаты для устройств

При запуске ему нужно передавать как параметр имя нового сертификата, например

Такой вызов создаст 2 файла device.crt и device.key, т.е. сертификат и ключ к нему. Во время выполнения скрипта будут заданы вопросы о пароле для нового сертификата, а также стране, городе, фирме для кого выпускается сертификат. В поле commonName можно указать любую строку, например My cool device, в обычной практике сюда записывается домен для которого выпускается сертификат, но мы записываем IP адреса (и домены) в раздере альтернативных имен, так что браузеры не ругаются страшными словами, а при просмотре сертификата показывают красивый путь проверки.

Как всё это применять?

Итак, мы создали 2 вида сертификатов, корневой сертификат и сертификат пользователя. Корневой сертификат, как правило, создается один раз и в дальнейшем используется для подписи пользовательских сертификатов, которые мы раздаем пользователям, т.е. помещаем на наши девайсы. Разберемся, как их применять.
Сертификат пользователя и ключ к нему нужно поместить на целевое устройство, у меня это некая плата с ARM контроллером и Linux-ом на борту. Не буду описывать этот процесс, т.к. он зависит от WEBсервера, что у нас там установлен.
А вот корневой сертификат нужно импортировать как корневой сертификат доверенного центра сертификации в каждый браузер пользователя. Только в этом случае браузер не будет показывать предупреждения при заходе на страничку Вашего embedded WEB-сервера.

Импорт корневого сертификата в FireFox 6(Linux)

Импорт корневого сертификата в IE8 (Windows 7 64bit)

Заключение

Мы рассмотрели некоторые возможности SSL сертификатов позволяющие идентифицировать систему имеющую несколько IP адресов и/или Доменных имен, а так же рассмотрели простейший сценарий применения сертификатов во встраиваемых системах. Можно ли улучшить этот сценарий? Конечно можно. Например можно сделать так чтобы корневой сертификат генерировался прямо на устройстве и отдавался пользователю по запросу, например на USB Stick. В этом случае кража корневого сертификата не повлечет за собой опастность для подобных устройств у других покупателей. Применение самоподписанных сертификатов, безусловно, не является наилучшей практикой, но иногда для производителей встраиваемых систем это бывает единственный способ обеспечить минимальную безопастность своих устройств.
Часть информации относящуюся к сертификатам пользователей можно использовать и при покупке сертификатов подписываемых доверенными центрами сертификации. В этом случае обеспечивается наивысший уровень безопастности который может обеспечить технология SSL.

Источник

Часто задаваемые вопросы о SSL-сертификатах

Зачем нужны SSL-сертификаты?

При попытке доступа к вашему сайту он может быть подменен злоумышленниками даже в том случае, если пользователь правильно ввел его доменное имя.

SSL-сертификаты исключают возможность подобной подмены — просмотрев сертификат, пользователь может убедиться, что на домене размещен именно тот сайт, который там должен быть, а не его дубликат.

Кроме того, SSL-сертификат позволяет пользователю проверить, кто является владельцем сайта. Это значит, что пользователь может удостовериться, что он зашел на сайт нужной ему организации, а не на сайт ее двойника.

Еще одна важная функция SSL-сертификатов — шифрование интернет-соединения. Зашифрованное соединение необходимо для предотвращения возможного хищения конфиденциальных данных при их передаче в сети.

Туториал: SSL-сертификат для сайта: что это и зачем устанавливать?

Где использовать SSL-сертификаты?

SSL-сертификаты рекомендуем устанавливать в разделе сайта, где пользователи вводят конфиденциальные данные, например, на страницах авторизации и оплаты услуг. Наличие на сайте сертификата защищает его от возможных подделок, так как пользователь всегда может убедиться, что сайт подлинный, и проверить, кому он принадлежит.

Кто выпускает SSL-сертификат?

Для корректной работы SSL-сертификат должен быть выпущен специальной организацией — Удостоверяющим центром. В мире существует несколько общепризнанных удостоверяющих центров. Мы работаем с Удостоверяющими центрами: Thawte, GeoTrust, DigiCert, GlobalSign и Comodo.

Кто может заказать SSL-сертификат?

SSL сертификаты, удостоверяющие только домен (DV-сертификаты), доступны для юридических, физических лиц и ИП. SSL-сертификаты, удостоверяющие домен и его владельца (OV и EV-сертификаты), доступны только юридическим лицам.

Как аннулировать SSL-сертификат?

Для аннулирования сертификата необходимо отправить в RU-CENTER авторизованную заявку из личного кабинета.

Можно ли перенести SSL-сертификат с договора на договор?

В целях безопасности SSL-сертификат не переносится на другой договор.

Какие домены и поддомены защищает Wildcard сертификат?

Если вы заказываете Wildcard сертификат, учитывайте, что такой тип сертификата защищает сам домен, для которого заказывается сертификат, и неограниченное количество поддоменов одного уровня. Например, при заказе Wildcard сертификата на доменное имя *.test.domain.ru будут защищены поддомены 1.test.domain.ru, 2.test.domain.ru и т.д. Но сам домен test.domain.ru, а также domain.ru и www.domain.ru защищены не будут.

Конвертация сертификата в форматы pkcs12/pfx/p12

Вы можете конвертировать сертификат самостоятельно при помощи утилиты openssl, которая есть на любой Linux-машине. Команда выглядит так:

certificate.key — закрытый ключ сертификата,
cert.pem — сертификат в текстовом формате (PEM),
result.pkcs12 — имя результирующего файла,
intermediate_and_root.pem — корневой и промежуточные сертификаты, объединенные в одном файле: Корневой, Первый промежуточный сертификат, Второй промежуточный сертификат.

Если вы работаете под Windows, то необходимо сначала выполнить установку сертификата по инструкции. Затем через консоль MMC и оснастку «сертификаты» выполнить его экспорт в нужном формате. Для этого, в мастере экспорта необходимо поставить отметку в поле «экспортировать приватный ключ». Для экспорта под Windows запрос на сертификат должен быть создан из консоли MMC с указанием опции «сделать ключ экспортируемым», так как, если его создавать через IIS, ключ будет невозможно экспортировать.

Проверка принадлежности домена, зарегистрированного в RU-CENTER через электронную почту, указанную для домена в Whois сервисе (DigiCert)

Подтвердить принадлежность домена в заказе на сертификат можно через электронную почту, указанную для домена в Whois сервисе. Для этого вам нужно обратиться к регистратору домена и прописать в Whois сервисе для него любую электронную почту. Если домен зарегистрирован в RU-CENTER, то для этого укажите почту в личном кабинете:

Утерян закрытый ключ от сертификата

Если запрос на сертификат CSR вы генерировали в личном кабинете RU-CENTER (была выбрана опция «создать CSR»), то закрытый ключ сохранился автоматически на вашем компьютере с именем файла privatekey.txt. Попробуйте выполнить поиск на компьютере. Без сохранения файла вы не могли бы перейти на следующий шаг при подаче заказа на сертификат. Если же запрос на сертификат CSR был сгенерирован на вашем сервере или у стороннего хостинг-провайдера, то закрытый ключ находится на сервере или у провайдера соответственно. Если закрытый ключ утерян, то необходимо выполнить перевыпуск сертификата — это бесплатно.

Проверка номера телефона на онлайн-платформе Dun & Bradstreet (DUNS)

Удостоверяющий центр Sectigo (Comodo) производит проверку информации по DUNS номеру на международной онлайн-платформе Dun & Bradstreet. Для проверки отображения номера телефона:

2. В верхней части страницы нажмите на поисковую строку Search Companies, Content, Industries и введите в поле номер DUNS.

3. Нажмите на кнопку Search или клавишу Enter на клавиатуре.

4. На открывшейся карточке компании вы можете проверить наличие номера телефона в поле Telephone number.

Если номер телефона указан некорректно или отсутствует, обратитесь в российское представительство Dun & Bradstreet — компанию Интерфакс, и внесите или откорректируйте номер телефона в карточке компании. После внесения изменений номер телефона по вашему DUNS будет отображаться только через 7-30 календарных дней.

Как изменить список доменов, на которые распространяется SSL сертификат GeoTrust True BusinessID SAN?

Чтобы изменить список доменов, на которые распространяется сертификат, необходимо заново создать CSR и пройти процедуру перевыпуска сертификата:

1. В разделе Для клиентов → SSL-сертификаты и выберите нужный сертификат.

2. Нажмите ссылку Изменить список доменов.

3. Если вы хотите создать CSR в процессе заказа — нажмите Продолжить.Если вы будете использовать свой CSR — введите его в появившемся поле. Создание CSR для установки сертификата на Microsoft IIS описано в отдельных инструкциях — они откроются при выборе этого варианта.

4. Внесите изменения в список доменов и нажмите Продолжить.

5. Укажите контактные данные и нажмите Продолжить.

6. Сохраните приватный ключ — он понадобится для установки сертификата на веб-сервер. Нажмите Продолжить.

7. Проверьте корректность и нажмите Отправить заказ.

На какой срок выпускаются SSL-сертификаты?

SSL-сертификаты выпускаются на 1 год.

Можно получить SSL-сертификат для домена, принадлежащего другому лицу?

Если организация заказывает сертификат на домен, который ей не принадлежит, то для этого необходимо предоставить письмо от владельца домена с разрешением на выпуск сертификата. Шаблон письма будет направлен удостоверяющим центром на контактный адрес электронной почты заказчика сертификата.

Что может подтверждать SSL-сертификат (в чем ключевое отличие SSL-сертификатов)?

Сертификат может подтверждать наличие прав управления доменом, то есть удостоверять только домен. Такие сертификаты относятся к категории DV (Domain Validation). Просмотрев сертификат DV, пользователь может убедиться, что он действительно находится на том сайте, адрес которого введен в строке браузера, то есть что при доступе к сайту пользователь не был перенаправлен злоумышленниками на подложный веб-ресурс. Однако сертификат не содержит информации о том, кому принадлежит сайт — в сертификате не будут указаны сведения о его владельце. Это обусловлено тем, что для получения сертификата его заказчику не требуется предоставлять документальное подтверждение своих идентификационных данных. Следовательно, они могут быть вымышленными (например, заказчик сертификата может выдать себя за другое лицо).

Сертификат может подтверждать наличие прав управления доменным именем и существование организации, у которой есть эти права, то есть удостоверять домен и его владельца. Такие сертификаты относятся к категории OV (Organization Validation). Просмотрев сертификат OV, пользователь может убедиться, что он действительно находится на том сайте, адрес которого введен в строке браузера, а также определить, кому принадлежит этот сайт. Для выпуска данного сертификата его заказчик должен документально подтвердить свои идентификационные данные.

Отдельные виды сертификатов, удостоверяющих и домен, и его владельца, выпускаются после расширенной проверки их заказчиков — тем самым исключается возможность предоставления заказчиками подложных данных для получения сертификатов. Такие сертификаты относятся к категории EV (Extended Validation).

Особый вид сертификатов — Сертификаты для разработчиков (Code Signing). Сертификат подтверждает подлинность программ при их загрузке, целостность их содержимого и надежность источника продукта. Технология цифровой подписи подтверждает уникальность программ, которые вы скачиваете в сети и гарантирует, что файлы не были модифицированы.

Что такое промежуточный корневой сертификат и зачем он нужен?

Промежуточный корневой сертификат — это связующее звено в иерархической цепочке сертификатов. С его помощью пользователь сайта, на котором установлен сертификат, может проверить всю цепочку доверия и убедиться в подлинности выпущенного сертификата.

Что делать, если у владельца действующего сертификата изменилось название юридического лица?

Для получения информации о порядке ваших действий при изменении наименования компании, отправьте авторизованную заявку из личного кабинета или письмо по адресу ssl@nic.ru.

Какую информацию содержит SSL-сертификат?

Сертификат содержит следующую информацию:

Что означает финансовая гарантия на SSL-сертификат?

Финансовая гарантия — компенсация, которая будет выплачена удостоверяющим центром пользователю в случае, если он подвергся атаке злоумышленников на сайте с установленным SSL-сертификатом, и эта атака стала возможной из-за уязвимостей, связанных с сертификатом.

Источник