Как скопировать серийный номер сертификата электронной подписи
Обновлено: 21.11.2024
Цифровой сертификат — это электронный документ, соответствующий спецификации X.509 Международного союза электросвязи. Это документ, который обычно содержит имя владельца и открытый ключ, дату истечения срока действия открытого ключа, серийный номер сертификата, а также название и цифровую подпись организации, выдавшей сертификат. Цифровой сертификат связывает имя владельца и пару электронных ключей (открытый ключ и закрытый ключ), которые можно использовать для подписи документов.
Цифровая подпись документов с использованием сертификатов обеспечивает следующие гарантии передачи документов:
- Сообщение нельзя подделать. То есть данные не могут быть изменены, добавлены или удалены без ведома отправителя. Эту гарантию обеспечивает цифровая подпись документа.
- Стороны, отправляющие документы, действительно являются теми, за кого себя выдают. Аналогичным образом, когда эти стороны получают документы, подписанные отправителем, они могут быть уверены в источнике документов. Эту гарантию обеспечивает цифровая подпись документа.
- Стороны, отправляющие документы, не могут сразу заявить, что они их не отправляли. Это называется сохранением происхождения. Эту гарантию обеспечивает цифровая подпись документа.
- Стороны, которым отправлены документы, не могут сразу заявить, что они их не получали. Это называется отказом от получения. Подтверждение подписанного документа обеспечивает эту гарантию.
- Сертификат должен быть выдан владельцу учетной записи ESG. Сертификат должен содержать полное имя или правильный адрес электронной почты, использованный при регистрации учетной записи ESG. Чтобы просмотреть учетные данные своего сертификата, дважды щелкните файл сертификата и подтвердите значение поля Issues to:
Использование сертификации
Открытый ключ в сертификате FDA используется для шифрования документа для передачи. FDA ESG использует открытый ключ для проверки цифровой подписи документа, полученного из указанного источника.
Перед обменом зашифрованными и подписанными документами (отправленными материалами) с ESG FDA необходимо произвести обмен сертификатами для получения другого сертификата и открытого ключа. Каждая сторона получает сертификат с парой открытого и закрытого ключей либо путем создания самозаверяющего сертификата, либо путем получения сертификата от центра сертификации. Приватная половина пары ключей всегда остается на компьютере стороны. Открытая половина предоставляется FDA ESG в процессе регистрации и включает в себя сертификат и открытый ключ или только сертификат.
Сертификаты не принимаются модулем регистрации
Бывают ситуации, когда действующий сертификат не принимается модулем регистрации и определяется как недействительный. В этом случае заархивируйте файл сертификата и отправьте его по электронной почте администратору FDA ESG по адресу ESGHelpDesk@fda.hhs.gov. После получения FDA оценит сертификат и отправит ответ.
Сертификаты, не принятые FDA ESG
ESG FDA не может принимать сертификаты с пустыми элементами данных в полях "Эмитент" или "Тема". Эти сертификаты приведут к сбою FDA ESG из-за дефекта в программном обеспечении шлюза. Предоставленные сертификаты должны быть действительны в течение как минимум одного года с даты их представления FDA ESG. Обратите внимание, что это требование распространяется как на предварительную (тестовую), так и на производственную систему ESG.
ПРИМЕЧАНИЕ: НЕ ПРЕДОСТАВЛЯЙТЕ СЕРТИФИКАТЫ С ПУСТЫМИ ПОЛЯМИ ДАННЫХ В ПОЛЯХ ИЗДАТЕЛЯ И ТЕМЕ
Где получить сертификат
FDA ESG поддерживает инфраструктуру открытых ключей (PKI) для безопасного обмена данными через Интернет. PKI – это система компонентов, использующая цифровые сертификаты и криптографию с открытым ключом для защиты транзакций и обмена данными.
Параметры PKI
Существует три варианта PKI: самоподписанный, внутренний и внешний. Выбранный вариант может зависеть от ряда факторов, таких как стоимость, человеческие и системные ресурсы, а также желаемая степень или сложность защиты. PKI устанавливает цифровые идентификаторы, которым можно доверять. ЦС — это сторона в PKI, которая отвечает за сертификацию удостоверений. Помимо создания сертификата, это влечет за собой проверку личности подписчика в соответствии с установленными политиками и процедурами. Это касается внутренних и внешних PKI.
В организации, которая создает и использует собственные самозаверяющие сертификаты, торговые стороны должны проверять сертификаты и устанавливать прямое доверие. После установления того, что удостоверению или эмитенту удостоверения можно доверять, сертификат якоря доверия сохраняется в локальном списке доверия. FDA ESG имеет локальный список доверия для хранения и управления установленными доверительными отношениями. Приложение поддерживает список общих общедоступных сертификатов CA, аналогичных тем, которые хранятся в веб-браузерах.Несмотря на удобство, такое предварительное определение доверия может не дополнять политику безопасности каждой организации. Решение о том, кому доверять, зависит от конкретной организации.
Внутренний
Внутренняя PKI позволяет полностью контролировать политики и процедуры безопасности. Это также связано с бременем управления и затратами на настройку и обслуживание системы.
Самоподписанный
Аутсорсинг
Сторонние центры сертификации могут приобретать сертификаты X.509 для общего использования. ЦС управляет политиками безопасности и такими деталями, как отзыв сертификата.
Если вы планируете использовать внешний сертификат, ниже приведены лишь некоторые из многих компаний, которые продают сертификаты X.509 (отображаются в алфавитном порядке).
Примечание. Ссылки на коммерческие продукты приведены только в иллюстративных целях и не являются официальным одобрением FDA. Если вы являетесь центром сертификации и хотели бы указать здесь свой URL-адрес, отправьте URL-адрес со ссылкой на страницу вашего сертификата личной идентификации класса 1 на адрес .
Excel для Microsoft 365 Word для Microsoft 365 PowerPoint для Microsoft 365 Excel 2021 Word 2021 PowerPoint 2021 Excel 2019 Word 2019 PowerPoint 2019 Excel 2016 Word 2016 PowerPoint 2016 Excel 2013 Word 2013 PowerPoint 2013 Excel 2010 Word 2010 PowerPoint 2010 Office 2010 InfoPath 2 2013 Подробнее. Меньше
Вы можете просмотреть информацию о цифровой подписи или сертификате, который используется для создания цифровой подписи, в Word, PowerPoint и Excel.
Дополнительную информацию о добавлении и удалении цифровых подписей см. в разделе Добавление или удаление цифровой подписи.
Общую информацию о добавлении или удалении защиты файлов, например паролей, ограниченном редактировании и цифровых подписях, см. в разделе Добавление или удаление защиты в документе, книге или презентации.
Примечание. Цифровые подписи нельзя создавать или удалять в Microsoft Excel Starter 2010 или Microsoft Word Starter 2010.
Просмотр сведений о цифровой подписи
Откройте файл, содержащий цифровую подпись, которую вы хотите просмотреть.
Нажмите «Файл» > «Информация» > «Просмотреть подписи».
В списке рядом с названием подписи нажмите стрелку вниз и выберите Сведения о подписи.
В диалоговом окне "Сведения о подписи" можно определить, является ли подпись:
Действительна Подпись актуальна. Сертификат является доверенным, срок его действия не истек и он не отозван.
Неверный Сертификат отозван или подписанное содержимое было изменено.
Исправимая ошибка. Подпись сейчас недействительна, но вы можете сделать ее действительной. Проблема может заключаться в том, что вы находитесь в автономном режиме, срок действия сертификата истек или эмитент сертификата не является доверенным.
Частичная подпись Часть файла подписана.
Просмотреть сведения о сертификате
В диалоговом окне "Сведения о подписи" отображается информация о сертификате, например имя подписавшего в поле "Подписание как" и имя выдавшего сертификат.
Откройте файл, содержащий сертификат, который вы хотите просмотреть.
Нажмите «Файл» > «Информация» > «Просмотреть подписи».
В списке рядом с названием подписи нажмите стрелку вниз и выберите Сведения о подписи.
цифровое удостоверение личности похоже на электронные водительские права или паспорт, подтверждающие вашу личность. Цифровой идентификатор обычно содержит ваше имя и адрес электронной почты, название организации, выдавшей его, серийный номер и дату истечения срока действия. Цифровые идентификаторы используются для защиты сертификатов и цифровых подписей.
Цифровые идентификаторы содержат два ключа: открытый ключ блокирует или шифрует данные; закрытый ключ разблокирует или расшифрует эти данные. Когда вы подписываете PDF-файлы, вы используете закрытый ключ для применения своей цифровой подписи. Открытый ключ находится в сертификате, который вы распространяете среди других. Например, вы можете отправить сертификат тем, кто хочет подтвердить вашу подпись или личность. Храните свое цифровое удостоверение в надежном месте, поскольку оно содержит ваш закрытый ключ, который другие могут использовать для расшифровки вашей информации.
Цифровые идентификаторы включают закрытый ключ, который вы защищаете, и открытый ключ (сертификат), которым вы делитесь.
Для большей части работы с PDF-файлами цифровой идентификатор не требуется. Например, вам не нужен цифровой идентификатор, чтобы создавать PDF-файлы, комментировать их и редактировать. Вам потребуется цифровое удостоверение, чтобы подписать документ или зашифровать PDF-файлы с помощью сертификата.
Самоподписанные цифровые удостоверения подходят для личного использования или малого и среднего бизнеса. Их использование должно быть ограничено сторонами, установившими взаимное доверие.
Для большинства бизнес-транзакций требуется цифровое удостоверение от доверенного стороннего поставщика, который называется центром сертификации. Поскольку центр сертификации отвечает за подтверждение вашей личности для других, выберите тот, которому доверяют крупные компании, ведущие бизнес в Интернете. На веб-сайте Adobe указаны имена партнеров Adobe по обеспечению безопасности, которые предлагают цифровые идентификаторы и другие решения для обеспечения безопасности. См. список участников, одобренных Adobe.
К сожалению, вы не сможете восстановить или сбросить пароль, если вы его забыли. Если вы создали идентификатор самостоятельно, вы можете создать новый с той же информацией, которую вы использовали для идентификатора. Если вы получили идентификатор от центра сертификации, обратитесь за помощью в этот центр.
Для конфиденциальных транзакций между предприятиями обычно требуется идентификатор от центра сертификации, а не самоподписанный идентификатор.
В Acrobat откройте меню «Правка» и выберите «Настройки» > «Подписи».
Справа нажмите "Дополнительно" для удостоверений и доверенных сертификатов.
Выберите цифровые идентификаторы слева и нажмите кнопку "Добавить идентификатор" .
Выберите вариант «Новый цифровой идентификатор, который я хочу создать сейчас» и нажмите «Далее» .
Укажите, где хранить цифровое удостоверение, и нажмите "Далее" .
Сохраняет информацию о цифровом удостоверении в файле с расширением .pfx в Windows и .p12 в Mac OS. Вы можете использовать файлы взаимозаменяемо между операционными системами. Если вы переместите файл из одной операционной системы в другую, Acrobat все равно распознает его.
Магазин сертификатов Windows (только для Windows)
Сохраняет цифровое удостоверение в обычном месте, откуда другие приложения Windows также могут его получить.
Выполните следующие действия:
Выполните следующие действия:
- Введите пароль для файла цифрового удостоверения. Для каждого нажатия клавиши измеритель надежности пароля оценивает ваш пароль и указывает надежность пароля с помощью цветовых шаблонов. Подтвердите свой пароль еще раз.
- Файл цифрового удостоверения хранится в папке по умолчанию, указанной в поле "Имя файла". Если вы хотите сохранить его в другом месте, нажмите «Обзор» и выберите место.
- Нажмите "Готово".
Если файл цифрового удостоверения с таким именем уже существует, вам будет предложено заменить его. Нажмите OK, чтобы заменить файл, или найдите и выберите другое место для сохранения файла.
Идентификатор создан. Вы можете экспортировать и отправить файл сертификата контактам, которые смогут использовать его для проверки вашей подписи.
Сделайте резервную копию файла цифрового удостоверения. Если ваш файл цифрового удостоверения утерян или поврежден, или если вы забыли свой пароль, вы не сможете использовать этот профиль для добавления подписей.
Чтобы использовать цифровое удостоверение личности, зарегистрируйте его в Acrobat или Reader.
В Acrobat откройте меню «Правка» и выберите «Установки» > «Подписи». В разделе "Удостоверения и доверенные сертификаты" нажмите "Еще".
Нажмите кнопку "Добавить идентификатор" .
Выберите этот вариант, если вы получили цифровое удостоверение личности в виде электронного файла. Следуйте инструкциям, чтобы выбрать файл цифрового удостоверения, введите пароль и добавьте цифровое удостоверение в список.
Перемещаемый цифровой идентификатор, хранящийся на сервере
Выберите этот вариант, чтобы использовать цифровой идентификатор, хранящийся на подписывающем сервере. При появлении запроса введите имя сервера и URL-адрес, на котором находится перемещаемый идентификатор.
Устройство, подключенное к этому компьютеру
Выберите этот вариант, если к вашему компьютеру подключен токен безопасности или аппаратный токен.
Чтобы избежать запроса на выбор цифрового удостоверения каждый раз, когда вы подписываете или сертифицируете PDF-файл, вы можете выбрать цифровое удостоверение по умолчанию.
В Acrobat откройте меню «Правка» и выберите «Установки» > «Подписи». В разделе "Удостоверения и доверенные сертификаты" нажмите "Еще".
Нажмите кнопку «Параметры использования» и выберите задачу, для которой вы хотите использовать цифровое удостоверение по умолчанию. Чтобы указать цифровой идентификатор по умолчанию для двух задач, снова нажмите кнопку «Параметры использования» и выберите второй вариант.
Перед выбранными опциями появляется галочка. Если вы выберете только вариант подписи, рядом с цифровым удостоверением появится значок «Подписать». Если вы выберете только вариант шифрования, появится значок блокировки. Если вы выберете только вариант сертификации или если вы выберете параметры подписи и сертификации, появится значок "Голубая лента" .
Чтобы очистить цифровое удостоверение по умолчанию, повторите эти шаги и отмените выбор выбранных параметров использования.
Срок действия самоподписанных цифровых удостоверений истекает через пять лет. По истечении срока действия вы можете использовать идентификатор для открытия документа, но не для подписи или шифрования.
В Acrobat откройте меню «Правка» и выберите «Установки» > «Подписи». В разделе "Удостоверения и доверенные сертификаты" нажмите "Еще".
Нажмите «Изменить пароль» . Введите старый пароль и новый пароль. Для каждого нажатия клавиши измеритель надежности пароля оценивает ваш пароль и указывает надежность пароля с помощью цветовых шаблонов. Подтвердите новый пароль и нажмите OK.
Выбрав идентификатор, нажмите кнопку Время ожидания пароля.
Появляется запрос каждый раз, когда вы используете цифровое удостоверение.
Позволяет указать интервал.
Один раз за сеанс
Появляется один раз при каждом открытии Acrobat.
Вам никогда не будет предложено ввести пароль.
Введите пароль и нажмите OK.
Обязательно сохраните свой пароль в надежном месте. Если вы потеряете свой пароль, либо создайте новый цифровой идентификатор с собственной подписью и удалите старый, либо приобретите его у стороннего поставщика.
Вы можете удалить только самозаверяющие цифровые удостоверения, созданные в Acrobat. Цифровой идентификатор, полученный от другого поставщика, нельзя удалить.
В Acrobat откройте меню «Правка» и выберите «Установки» > «Подписи». В разделе "Удостоверения и доверенные сертификаты" нажмите "Еще".
Нажмите Удалить идентификатор .
Введите пароль и нажмите OK.
Если вы забыли пароль, вы не можете удалить идентификатор отсюда. При нажатии кнопки «Удалить ИД» в диалоговом окне «Безопасность Acrobat» отображается полное расположение файла цифрового удостоверения. Перейдите в это место, удалите файл и перезапустите Acrobat. Идентификатор удаляется из списка.
Защищая свои цифровые идентификаторы, вы можете предотвратить несанкционированное использование ваших закрытых ключей для подписания или расшифровки конфиденциальных документов. Убедитесь, что у вас есть процедура на случай потери или кражи вашего цифрового удостоверения.
Как защитить свои цифровые идентификаторы
Если закрытые ключи хранятся на аппаратных токенах, смарт-картах и других аппаратных устройствах, защищенных паролем или PIN-кодом, используйте надежный пароль или PIN-код. Никогда не разглашайте свой пароль другим. Если вам необходимо записать свой пароль, сохраните его в безопасном месте. Обратитесь к системному администратору за инструкциями по выбору надежного пароля. Держите пароль надежным, следуя этим правилам:
Используйте восемь или более символов.
Смешайте прописные и строчные буквы с цифрами и специальными символами.
Выберите пароль, который трудно угадать или взломать, но который можно запомнить, не записывая.
Не используйте правильно написанное слово на каком-либо языке, так как они подвержены «словарным атакам», которые могут взломать эти пароли за считанные минуты.
Регулярно меняйте пароль.
Обратитесь к системному администратору за инструкциями по выбору надежного пароля.
Чтобы защитить закрытые ключи, хранящиеся в файлах P12/PFX, используйте надежный пароль и установите соответствующие параметры времени ожидания пароля. Если вы используете файл P12 для хранения закрытых ключей, которые вы используете для подписи, используйте настройку по умолчанию для параметра времени ожидания пароля. Этот параметр гарантирует, что ваш пароль всегда требуется. Если вы используете файл P12 для хранения закрытых ключей, используемых для расшифровки документов, сделайте резервную копию своего закрытого ключа или файла P12. Вы можете использовать резервную копию закрытого ключа файла P12 для открытия зашифрованных документов, если вы потеряете свои ключи.
Механизмы, используемые для защиты закрытых ключей, хранящихся в хранилище сертификатов Windows, различаются в зависимости от компании, предоставившей хранилище. Свяжитесь с поставщиком, чтобы определить, как сделать резервную копию и защитить эти ключи от несанкционированного доступа. Как правило, используйте самый надежный из доступных механизмов аутентификации и по возможности создавайте надежный пароль или PIN-код.
Что делать, если цифровое удостоверение утеряно или украдено
Если ваше цифровое удостоверение было выдано центром сертификации, немедленно уведомите центр сертификации и запросите отзыв вашего сертификата. Кроме того, вы не должны использовать свой закрытый ключ.
Если ваше цифровое удостоверение было выпущено самостоятельно, уничтожьте закрытый ключ и уведомите всех, кому вы отправили соответствующий открытый ключ (сертификат).
Смарт-карта выглядит как кредитная карта и хранит ваш цифровой идентификатор на встроенном микропроцессорном чипе. Используйте цифровой идентификатор на смарт-карте для подписи и расшифровки документов на компьютерах, которые можно подключить к устройству чтения смарт-карт. Некоторые считыватели смарт-карт оснащены клавиатурой для ввода личного идентификационного номера (ПИН-кода).
Аналогично аппаратный токен безопасности – это небольшое устройство размером с цепочку для ключей, которое можно использовать для хранения цифровых идентификаторов и данных аутентификации. Вы можете получить доступ к своему цифровому удостоверению, подключив токен к USB-порту на компьютере или мобильном устройстве.
Если вы храните свой цифровой идентификатор на смарт-карте или аппаратном токене, подключите его к своему устройству, чтобы использовать его для подписания документов.
Открытый ключ — ключ, известный всем. Экс-открытый ключ A равен 7, эта информация известна всем.
Закрытый ключ — ключ, который известен только тому человеку, чьим закрытым ключом он является.
Аутентификация-Аутентификация — это любой процесс, с помощью которого система проверяет личность пользователя, желающего получить к ней доступ.
Неотказуемость — неотказуемость означает, что переданное сообщение было отправлено и получено сторонами, утверждающими, что они отправили и получили сообщение. Неотказуемость — это способ гарантировать, что отправитель сообщения не сможет позже отрицать отправку сообщения и что получатель не сможет отрицать получение сообщения.
Целостность — чтобы гарантировать, что сообщение не было изменено во время передачи.
Дайджест сообщения — представление текста в виде одной строки цифр, созданное с использованием формулы, называемой однонаправленной хеш-функцией. Шифрование дайджеста сообщения с помощью закрытого ключа создает цифровую подпись, которая является электронным средством аутентификации.
Цифровая подпись
- Алгоритмы генерации ключей. Цифровая подпись — это электронные подписи, которые гарантируют, что сообщение было отправлено конкретным отправителем. При выполнении цифровых транзакций должна быть обеспечена подлинность и целостность, в противном случае данные могут быть изменены или кто-то также может действовать так, как если бы он был отправителем, и ожидать ответа.
- Алгоритмы подписи. Для создания цифровой подписи алгоритмы подписи, такие как программы электронной почты, создают односторонний хэш электронных данных, которые должны быть подписаны. Затем алгоритм подписи шифрует хеш-значение с помощью закрытого ключа (ключа подписи). Этот зашифрованный хэш вместе с другой информацией, такой как алгоритм хеширования, является цифровой подписью. Эта цифровая подпись дополняется данными и отправляется верификатору. Причина шифрования хеша вместо всего сообщения или документа заключается в том, что хэш-функция преобразует любой произвольный ввод в гораздо более короткое значение фиксированной длины. Это экономит время, так как теперь вместо того, чтобы подписывать длинное сообщение, нужно подписывать более короткое хеш-значение, и, кроме того, хеширование происходит намного быстрее, чем подписание.
- Алгоритмы проверки подписи. Верификатор получает цифровую подпись вместе с данными. Затем он использует алгоритм проверки для обработки цифровой подписи и открытого ключа (ключ проверки) и генерирует некоторое значение. Он также применяет ту же хеш-функцию к полученным данным и генерирует хэш-значение. Затем сравнивается хеш-значение и результат алгоритма проверки. Если они оба равны, цифровая подпись действительна, в противном случае она недействительна.
- Дайджест сообщения вычисляется путем применения хэш-функции к сообщению, а затем дайджест сообщения шифруется с использованием закрытого ключа отправителя для формирования цифровой подписи. (цифровая подпись = шифрование (закрытый ключ отправителя, дайджест сообщения) и дайджест сообщения = алгоритм дайджеста сообщения (сообщение)).
- Затем вместе с сообщением передается цифровая подпись (передается сообщение + цифровая подпись)
- Получатель расшифровывает цифровую подпись, используя открытый ключ отправителя. (Это гарантирует подлинность, поскольку только отправитель имеет свой закрытый ключ, поэтому только отправитель может зашифровать его, используя свой закрытый ключ, который, таким образом, может быть расшифрован открытым ключом отправителя).
- Получатель теперь имеет дайджест сообщения.
- Получатель может вычислить дайджест сообщения из сообщения (фактическое сообщение отправляется с цифровой подписью).
- Дайджест сообщения, вычисленный получателем, и дайджест сообщения (полученный путем расшифровки цифровой подписи) должны совпадать для обеспечения целостности.
Дайджест сообщения вычисляется с использованием однонаправленной хеш-функции, т. е. хэш-функции, в которой вычисление хэш-значения сообщения является простым, но вычисление сообщения из хеш-значения сообщения очень сложно.
Цифровой сертификат
- Имя владельца сертификата.
- Серийный номер, который используется для уникальной идентификации сертификата, физического или юридического лица, идентифицируемого сертификатом.
- Срок действия.
- Копия открытого ключа владельца сертификата (используется для расшифровки сообщений и цифровых подписей)
- Цифровая подпись центра, выдавшего сертификат.
Цифровой сертификат также отправляется вместе с цифровой подписью и сообщением.
Когда пользователи заходят на ваш веб-сайт, они могут определить, безопасно ли подключение к вашему сайту. Он приходит в виде так называемого цифрового сертификата. Сегодня мы поможем вам понять, что такое цифровой сертификат, его ключевые компоненты, роль, которую он играет в веб-безопасности, и другие связанные с ним концепции.
Кратко о цифровом сертификате
Кроме того, сертификат также содержит копию открытого ключа вашего сайта, который используется для шифрования данных, передаваемых между вашим сайтом и веб-клиентом пользователя (в большинстве случаев веб-браузером).
Не все веб-сайты предлагают цифровые сертификаты. В прошлом использование цифровых сертификатов в основном ограничивалось сайтами, с которыми пользователям приходилось участвовать в безопасных транзакциях или делиться конфиденциальной информацией. Например, вы обычно сталкивались с сертификатами на веб-сайтах онлайн-банкинга, защищенных серверах передачи файлов, крупных сайтах электронной коммерции или серверах EDI. Но поскольку пользователи стали больше задумываться о веб-безопасности, все больше и больше сайтов используют цифровые сертификаты, чтобы завоевать доверие пользователей.
При подключении к сайту вы не увидите весь цифровой сертификат. Тем не менее, вы легко узнаете, что он там. Веб-сайты, защищенные сертификатами, обычно отображают значок замка, за которым следует «https» в крайней левой части URL-адреса этого сайта при просмотре в строке URL-адреса вашего браузера. Чтобы просмотреть содержимое сертификата, просто нажмите на значок замка.
Содержимое сертификата X.509
Содержимое цифрового сертификата обычно включает следующее:
- Информация о субъекте, также известная как Имя субъекта. "Тема" относится к сайту, представленному сертификатом.
- Информация об издателе сертификата/центре сертификации (ЦС). ЦС – это орган, выдавший и подписавший сертификат. Подробнее об этом чуть позже
- Серийный номер — это серийный номер, присвоенный эмитентом данному сертификату. Каждый эмитент должен убедиться, что каждый выдаваемый им сертификат имеет уникальный серийный номер.
- Версия — версия X.509, используемая данным сертификатом. В наши дни вы обычно найдете версию 3.
- Срок действия. Срок действия сертификатов не вечен. Срок действия определяет период, в течение которого сертификат может считаться заслуживающим доверия.
- Подпись. Это цифровая подпись всего цифрового сертификата, созданная с использованием закрытого ключа издателя сертификата.
- Алгоритм подписи. Алгоритм криптографической подписи, используемый для создания цифровой подписи (например, SHA-1 с шифрованием RSA).
- Информация об открытом ключе — информация об открытом ключе субъекта. Сюда входят:
- алгоритм (например, открытый ключ эллиптической кривой),
- размер ключа (например, 256 бит),
- использование ключа (например, может шифровать, проверять, извлекать) и
- сам открытый ключ
Ключ сертификата
Хотя большая часть содержимого цифрового сертификата предназначена для предоставления информации о субъекте, эмитенте или самом сертификате, ключ сертификата или открытый ключ имеет особое назначение. Это жизненно важный компонент шифрования данных, которыми обмениваются сервер и клиент. Если вы не знакомы с открытыми ключами и их ролью в шифровании, я предлагаю вам прочитать о симметричном и асимметричном шифровании .
Центры сертификации
Еще одним элементом цифрового сертификата, который не только предоставляет информацию, является цифровая подпись сертификата. Как упоминалось ранее, цифровая подпись сертификата создается с использованием закрытого ключа издателя сертификата. Если вы читали статью о цифровых подписях, то знаете, что цифровая подпись сертификата может использоваться для аутентификации. Но чтобы веб-клиент мог проверить/аутентифицировать цифровую подпись, ему потребуется копия открытого ключа издателя.
Если эмитент является широко известным центром сертификации (ЦС), это не будет проблемой.Копия открытого ключа ЦС, скорее всего, будет предварительно установлена в веб-браузере пользователя. Популярные веб-браузеры, такие как Chrome, Firefox, Safari и Internet Explorer, поставляются с сертификатами признанных центров сертификации. Это означает, что они уже содержат копии открытых ключей этих центров сертификации и поэтому могут использоваться для проверки выданных/подписанных ими сертификатов.
Сертификаты, подписанные широко известными центрами сертификации, называются подписанными сертификатами. Существуют также сертификаты, которые просто подписаны издателями, не являющимися широко признанными центрами сертификации. Например, когда вы создаете свой собственный цифровой сертификат с помощью сервера JAPE MFT, но не удосужились обработать запрос на подпись сертификата (CSR), вы получите так называемый самозаверяющий сертификат.
Подписанные и самозаверяющие сертификаты
Теоретически центры сертификации должны проявлять должную осмотрительность, прежде чем подписывать цифровые сертификаты, переданные им через CSR. Сначала им необходимо проверить, действительно ли информация, размещенная в цифровых сертификатах, соответствует действительности. Это важно, потому что их аттестация впоследствии послужит единственным основанием для того, чтобы доверять некоторым веб-сайтам, которые могут предоставить сертификаты, подписанные ими.
Таким образом, при условии, что комплексная проверка действительно проводится, можно с уверенностью предположить, что подписанные сертификаты более надежны и заслуживают доверия, чем самозаверяющие сертификаты. На самом деле, когда пользователь пытается подключиться к вашему сайту, а ваш сайт имеет только самоподписанный сертификат, браузер пользователя отобразит что-то вроде этого:
Самоподписанные сертификаты относительно безопасны для внутреннего использования, т. е. внутри вашей организации, где у вас больше контроля над серверами, работающими в сети. Так, например, вы можете использовать его для повышения безопасности передачи файлов через Интернет, которая происходит за корпоративным брандмауэром.
Давайте на этом пока закончим.
Статьи/документы по теме
Начать
JSCAPE MFT Server — это управляемый сервер передачи файлов, который позволяет создавать цифровые сертификаты и настраивать передачу файлов через Интернет. Загрузите бесплатную полнофункциональную ознакомительную версию прямо сейчас.
Если вы хотите читать больше подобных сообщений, подпишитесь на этот блог или свяжитесь с нами.
Читайте также: