PKI : 인증서 해지 상태 확인 및 설정 절차

Question

안녕하세요!

내 asp.net 웹 응용 프로그램에서 파일의 들어오는 디지털 서명을 확인해야합니다. 전화 번호 :

SignedCms.CheckSignature (false) 또는 SignerInfo.CheckSignature (false) (C#).

그런 호출 중 서명자의 인증서가 올바르게 해지되었는지 확인하고 시스템 설정이 올바른지 확인하고이 과정을 직접 지우고 싶습니다.

받는 서명자의 인증서가 많은 양의 CA 일 수 있습니다. 따라서 서명자의 인증서에는 CA의 OCSP 서비스 또는 CA의 CRL 서비스에 대한 참조가 포함되거나 포함되지 않을 수 있습니다.

나는 시스템이 같은 방법으로 취소를 확인하려면 :

인증서가 CA의 OCSP 웹 서비스를 참조하여 다음 시스템이 CA에 요청을 한 경우, ELSE 인증서가 CA의 온라인 CRL 서비스에 대한 참조가있는 경우 시스템이 CRL을 다운로드하여 사용합니다. ELSE 시스템에서 로컬 CRL을 사용합니다.

당신은 내 질문에 대답하십시오 수 :

1. 어떻게 행동을 필요로 설명하는 시스템 설정을 찾을 수 있습니다 (여기서)는? (이 동작은 변경 가능합니까? 고정 되었습니까?)
2. 인증서에 CA의 CRL 웹 서비스에 대한 참조가 있으면 CA의 CRL을 스크립트로 정기적으로 다운로드하고 설치해야합니다. 그렇지 않으면 시스템 다운로드에 의존하여 자동으로 사용합니다. 확인을 위해 CRL이 필요합니까?

감사합니다.

Answer 1

절차는 RFC 5280에 설명되어 있으며 매우 복잡합니다. 이

가 CRL에 대해 인증서를 확인 서명, 유효 기간 및 키 사용의 확인, 해당 인증서를 들어

1. : 간단히 말해서, 당신은 다음을 수행합니다.
2. OCSP에 대한 인증서 확인
3. CRL 및/또는 OCSP 검사 중에 발생한 각 인증서에 대해 1-3 단계를 수행합니다 (차례대로 여러 CRL 및 OCSP 검사를 수행 할 수 있음).

정책 검사는 언급하지 않고 있는데, 여기서는 매우 복잡합니다.

SecureBlackbox 라이브러리에 대한 인증서 유효성 검사기를 구현하는 데 약 한 달이 걸렸지 만 (CRL 및 OCSP 클라이언트에서 해당 CRL 관리까지 모든 것을 갖추고 있습니다.) OS 방법을 사용하여 인증서 검사를 수행하려면 작업을 수행하는 기존 기능을 찾아야합니다.

Answer 2

당신은 CRL 캐싱에보다 구체적으로 CRL의 내부를 얻기에 몇 가지 유용한 정보를 찾을 수 있습니다 crl-caching-in-windows-and-little-bit

창 CryptoAPI를에 의해 취소를 다룰 것이다, 내가 여기에 생각하고 두 가지 방법이 있습니다 자체 캐싱을 자동으로 포함합니다.그러나 여기서 문제는 cryptoAPI가 캐시의 현재 CRL이 만료 될 때만 CA 서버를 찾습니다. 따라서 CRL의 신선도를 유지하는 데는 어려움이 있습니다. 그러나 CA의 CRL 게시 빈도가 매일 매일 인 경우 CertVerifyRevocation이라는이 방법을 사용하면 일부 응용 프로그램에 적절한 구성을 사용하여 Windows에서 함수를 호출 할 수 있습니다.

두 번째 방법은 CA 서버에서 CRL을 다운로드하여 설치하고 유효성 검사를 위해 CertFindCertificateInCRL을 사용하는 것입니다. CRL 다운 로더 응용 프로그램은 미리 정의 된 시간 간격으로 CRL을 업데이트하도록 구성 할 수 있습니다. CA가 Base CRL 만 게시하는 경우 매번 CRL을 다운로드 할 때 전체 해지 인증서 목록을 얻으므로이 방법을 사용할 수 있습니다. CA가 델타 CRL과 기본 CRL을 덜 빈번하게 게시하는 경우 어떻게되는지에 대한 답을 모릅니다.