안녕하세요!PKI : 인증서 해지 상태 확인 및 설정 절차
내 asp.net 웹 응용 프로그램에서 파일의 들어오는 디지털 서명을 확인해야합니다. 전화 번호 :
SignedCms.CheckSignature (false) 또는 SignerInfo.CheckSignature (false) (C#).
그런 호출 중 서명자의 인증서가 올바르게 해지되었는지 확인하고 시스템 설정이 올바른지 확인하고이 과정을 직접 지우고 싶습니다.
받는 서명자의 인증서가 많은 양의 CA 일 수 있습니다. 따라서 서명자의 인증서에는 CA의 OCSP 서비스 또는 CA의 CRL 서비스에 대한 참조가 포함되거나 포함되지 않을 수 있습니다.
나는 시스템이 같은 방법으로 취소를 확인하려면 :
인증서가 CA의 OCSP 웹 서비스를 참조하여 다음 시스템이 CA에 요청을 한 경우, ELSE 인증서가 CA의 온라인 CRL 서비스에 대한 참조가있는 경우 시스템이 CRL을 다운로드하여 사용합니다. ELSE 시스템에서 로컬 CRL을 사용합니다.
당신은 내 질문에 대답하십시오 수 :
- 어떻게 행동을 필요로 설명하는 시스템 설정을 찾을 수 있습니다 (여기서)는? (이 동작은 변경 가능합니까? 고정 되었습니까?)
- 인증서에 CA의 CRL 웹 서비스에 대한 참조가 있으면 CA의 CRL을 스크립트로 정기적으로 다운로드하고 설치해야합니다. 그렇지 않으면 시스템 다운로드에 의존하여 자동으로 사용합니다. 확인을 위해 CRL이 필요합니까?
감사합니다.
+1 안녕하세요 유진 : 저는 왜 CRL과 OCSP 모두와 함께 폐지 확인을 수행 할 것을 권장하고 있습니까? 그 중 하나가 충분하지 않습니까? – Raj
@Raj OCSP는 실시간으로 CRL을 대체 할 수 있지만 보안에 관해서는 너무 많이 할 수 없습니다. 일반적으로 두 가지 모두를 처리 할 필요가 없으며 바로 가기를 원한다면 OCSP가 우선합니다. –