Корневые центры сертификации

центры сертификации, которым доверяют изначально все, либо руководствуясь политикой предприятия, либо из-за предустановленных настроек хранилища сертификатов, и которые могут находиться в начале пути доверия.

Доверенные центры сертификации

список центров сертификации, которым доверяют владельцы сертификатов. Чтобы сделать какой либо центр доверенным, достаточно получить от него сертификат и внести его в список доверенных центров.

 

 

Центр сертификации (удостоверяющий центр).

Центр сертификации – основная структура, формирующая цифровые сертификаты подчиненных центров сертификации и конечных пользователей. Центр сертификации сам формирует собственный секретный ключ, сертификат, содержащий открытый ключ данного центра и подписанный им самим.

В дальнейшем, после создания и подписи собственного сертификата, центр ведет базу данных выданных сертификатов и списков отозванных сертификатов. Для нормальной работы с центром сертификации его собственный сертификат должен быть добавлен в список доверенных на том компьютере, где его планируется использовать.

Удостоверяющий центр:

• изготавливает сертификаты ключей подписей;

• создает ключи электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи;

• приостанавливает и возобновляет действие сертификатов ключей подписей, а также аннулирует их;

• ведет реестр сертификатов ключей подписей, обеспечивает его актуальность и возможность свободного доступа к нему участников информационных систем;

• проверяет уникальность открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра;

• выдает сертификаты ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;

• осуществляет по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей;

• может предоставлять участникам информационных систем иные связанные с использованием электронных цифровых подписей услуги.

 

Процесс работы с сертификатами.

Для того чтобы получить сертификат, нужно найти какой-либо УЦ в интернете (альтерантивным решением является использование ПО PGP или ему подобных), после чего выписать сертификат и установить его себе в систему (примеры УЦ в интернете: http://e-notary.ru/ и http://cryptopro.ru/certsrv/). Обычно этот процесс происходит автоматически. После установки сертификата, его можно будет увидеть у себя в хранилище личных сертификатов. Для того чтобы просмотреть его свойства, достаточно просто открыть его. (Для операционных систем семейства Windows: Пуск -> Выполнить -> certmgr.msc -> OK ). В свойствах можно увидеть время действия сертифката, кем он был выдан, кому был выдан, его универсальный номер и прочие свойства. После получения сертификатов двумя или более пользователями от одного УЦ, происходит организация простейшей по архитектуре PKI. PKI – с одиночным УЦ. Пользователи, сохранив сертификаты в файл обмениваются ими (таким образом происходит обмен открытыми ключами) и начинают защищённую переписку. Проверка подлинности полученного открытого ключа проводится по электронному отпечатку этого ключа. В простейшем случае достаточно позвонить коллеге выславшему открытый ключ и сверить с ним электронный отпечаток ключа. Если он совпал – можно смело начинать защищённую переписку, если нет – обменяться ключами ещё раз.