ការធ្វើផែនការហេដ្ឋារចនាសម្ព័ន្ធ PKI ។ តើកន្លែងណា និងរបៀបបោះផ្សាយឯកសារ CRL និង CRT? ហេតុផលកំពូលសម្រាប់ការដកហូត SSL

• CryptoARM

  អ្នកអភិវឌ្ឍន៍៖ "បច្ចេកវិទ្យាឌីជីថល" LLC

  • CryptoARM Start សុំអាជ្ញាប័ណ្ណ

    គ្រប់ទីកន្លែងដែលវាត្រូវបានសរសេរថា CryptoARM Start គឺជាកំណែឥតគិតថ្លៃនៃកម្មវិធីហើយវាមិនគួរសុំអាជ្ញាប័ណ្ណទេ!

    នោះជាការត្រឹមត្រូវប៉ុន្តែមានមនុស្សតិចណាស់ដែលយកចិត្តទុកដាក់លើការពិតដែលថាមុខងារនៅក្នុងកំណែឥតគិតថ្លៃត្រូវបានកាត់បន្ថយយ៉ាងខ្លាំងហើយ "ចាប់ផ្តើម" នឹងមិនដំណើរការជាមួយ GOSTs រុស្ស៊ីទេ។ ដូច្នេះហើយ នៅពេលដែលអ្នកប្រើប្រាស់ព្យាយាមចុះហត្ថលេខាលើឯកសារដោយប្រើអ្នកផ្តល់សេវាគ្រីប GOST ជាមួយនឹងវិញ្ញាបនបត្រមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់របស់ពួកគេ បញ្ហានឹងកើតឡើងដោយជៀសមិនរួច។ ត្រូវតែទិញ

  • លេខកូដអាជ្ញាប័ណ្ណ "CryptoArm" រកមិនឃើញទេ។

    អ្នកគ្រាន់តែត្រូវដំឡើងកូនសោអាជ្ញាប័ណ្ណសម្រាប់កម្មវិធី CryptoArm ព្រោះវាមិនត្រូវបានដំឡើងពីមុន ឬផុតកំណត់។

    ប្រសិនបើអ្នកមានវារួចហើយ គ្រាន់តែដំណើរការកម្មវិធី CryptoARM ស្វែងរកធាតុជំនួយនៅក្នុងម៉ឺនុយកំពូល ហើយជ្រើសរើស "ដំឡើងអាជ្ញាប័ណ្ណ" នៅក្នុងបញ្ជីទម្លាក់ចុះ។ នៅក្នុងបង្អួចដែលបើកនៅក្នុងវាល "កូនសោអាជ្ញាប័ណ្ណ" អ្នកអាច បន្ថែមអាជ្ញាប័ណ្ណ។

    ប្រសិនបើអ្នកមិនទាន់មានអាជ្ញាប័ណ្ណទេនោះអ្នកអាចងាយស្រួល

  • វិធីដើម្បីទទួលបានអាជ្ញាប័ណ្ណបណ្តោះអាសន្នសម្រាប់ CryptoARM

    នៅការដំឡើងដំបូងរយៈពេលសាកល្បង 14 ថ្ងៃត្រូវបានផ្តល់ជូន។ មុខងារពេញលេញត្រូវបានគាំទ្រ បន្ទាប់មកកម្មវិធីនឹងប្តូរទៅកំណែចាប់ផ្តើមដែលមានកំណត់ ដើម្បីដំណើរការមុខងារពេញលេញ អ្នកនឹងត្រូវទិញអាជ្ញាប័ណ្ណ។

  • ការកើតឡើងនៃកំហុសនេះបង្ហាញពីការបញ្ចូលអាជ្ញាប័ណ្ណមិនត្រឹមត្រូវ វាអាចមានហេតុផលជាច្រើន៖

    ជាដំបូងអាជ្ញាប័ណ្ណរវាងកំណែនៃកម្មវិធីមិនឆបគ្នាទេ ដូច្នេះអ្នកគួរតែប្រាកដថាកំណែនៃការចែកចាយដែលបានដំឡើងត្រូវនឹងកំណែនៃអាជ្ញាប័ណ្ណដែលអ្នកបានទិញ។ អ្នក​អាច​កំណត់​កំណែ​ដោយ​គ្រាន់​តែ​មើល​ទៅ​លេខ​កូដ​អាជ្ញាប័ណ្ណ​ផលិតផល។ សម្រាប់ CryptoARM - កំណែត្រូវគ្នាទៅនឹងនិមិត្តសញ្ញាទីបីនៃអាជ្ញាប័ណ្ណ។

    ទីពីរ

    ទី៣.

  • កម្មវិធីមិនដំណើរការទេ បង្អួច "សូមរង់ចាំ" ព្យួរ

    វាចាំបាច់ក្នុងការបិទរបៀប CEP (ត្រូវការពិនិត្យមើលវិញ្ញាបនបត្រសម្រាប់គុណវុឌ្ឍិវាមិនចាំបាច់ប្រើវាដើម្បីចុះហត្ថលេខាលើឯកសារទេ) ។

    • - ចុចកណ្ដុរស្ដាំលើឯកសារណាមួយ។
    • - នៅក្នុងម៉ឺនុយដែលបើកសូមជ្រើសរើសធាតុ "CryptoARM"
    • - ដោះធីក "ហត្ថលេខាមានសិទ្ធិ"។

    អ្នកអាចធ្វើបច្ចុប្បន្នភាពកម្មវិធីទៅកំណែចុងក្រោយបំផុត ទាញយក។

  • CryptoARM សួររកលេខកូដ PIN នៅពេលបង្កើតរបាយការណ៍ របៀបផ្លាស់ប្តូរវា។

    នៅពេលបង្កើតហត្ថលេខា កម្មវិធី CryptoARM ចូលប្រើកុងតឺន័រដែលវិញ្ញាបនបត្រ ES ត្រូវបានរក្សាទុក។ ប្រសិនបើវិញ្ញាបនបត្រត្រូវបានរក្សាទុកនៅលើសញ្ញាសម្ងាត់ នោះអ្នកត្រូវតែបញ្ចូលកូដ PIN នៃសញ្ញាសម្ងាត់។ ពាក្យសម្ងាត់លំនាំដើមរបស់អ្នកផលិតត្រូវបានប្រមូលនៅក្នុង .

    ទោះជាយ៉ាងណាក៏ដោយ នៅពេលបង្កើតហត្ថលេខានៅក្នុងមជ្ឈមណ្ឌលវិញ្ញាបនប័ត្រ ពាក្យសម្ងាត់អាចត្រូវបានផ្លាស់ប្តូរទៅជា CA ស្តង់ដារសម្រាប់ការនេះ ឬតាមតម្រូវការផ្ទាល់ខ្លួន (នោះគឺអ្នកដែលទទួលបាន ES សម្រាប់អង្គការបានបញ្ចូលកូដ PIN ដោយខ្លួនឯង)។

  • មិនអាចស្វែងរកវិញ្ញាបនបត្រ និងសោឯកជនសម្រាប់ការឌិគ្រីបបានទេ
    វិញ្ញាបនបត្រដែលបានជ្រើសរើសមិនអាចប្រើបានទេ។
  • ស្ថានភាពវិញ្ញាបនបត្រមិនស្គាល់ រកមិនឃើញ COS ក្នុងស្រុកទេ។

    កំហុសនេះមានន័យថាបញ្ជីបច្ចុប្បន្ននៃវិញ្ញាបនបត្រដែលត្រូវបានដកហូតនៃអាជ្ញាធរវិញ្ញាបនប័ត្រមិនត្រូវបានដំឡើងនៅក្នុងហាងក្នុងស្រុកទេ។ អ្នកត្រូវពិនិត្យមើលស្ថានភាពនៃវិញ្ញាបនបត្ររបស់អ្នកនៅក្នុងហាងផ្ទាល់ខ្លួនរបស់អ្នកដោយប្រើ CRL ដែលទទួលបានពី CA ។

    ដើម្បីដំឡើងបញ្ជី សូមពិនិត្យមើលស្ថានភាពនៃវិញ្ញាបនបត្រប្រឆាំងនឹង CRL ដែលទទួលបានពី CA៖

    • - នៅក្នុងកម្មវិធី "CryptoARM" ជ្រើសរើសថត "ឃ្លាំងវិញ្ញាបនបត្រផ្ទាល់ខ្លួន";
    • - នៅក្នុងបង្អួចនៅខាងស្តាំសូមជ្រើសរើស វិញ្ញាបនបត្រដែលចង់បាន;
    • - ចុចកណ្ដុរស្ដាំដើម្បីហៅម៉ឺនុយបរិបទហើយជ្រើសរើស "ពិនិត្យស្ថានភាព" - "ដោយ SOS (CRL) បានទទួលពី CA" ។

    ស្ថានភាពនៃវិញ្ញាបនបត្រគួរតែត្រូវបានធ្វើបច្ចុប្បន្នភាព COS បច្ចុប្បន្ននឹងត្រូវបានដំឡើងនៅក្នុងហាងក្នុងស្រុក។

    ប្រសិនបើស្ថានភាពមិនទាន់ត្រូវបានធ្វើបច្ចុប្បន្នភាព៖

    • - បើកម៉ឺនុយ "ឧបករណ៍" -> ធាតុ "ជម្រើសអ៊ីនធឺណិត" -> ផ្ទាំង "ការតភ្ជាប់" -> ប៊ូតុង "ការកំណត់បណ្តាញ";
    • - ត្រូវប្រាកដថានៅក្នុង "ការកំណត់បណ្តាញ" ប្រអប់ធីក "ការកំណត់ការរកឃើញដោយស្វ័យប្រវត្តិ" និង "ប្រើស្គ្រីបកំណត់រចនាសម្ព័ន្ធដោយស្វ័យប្រវត្តិ" ត្រូវបានដោះធីក។
    • - ធ្វើបែបបទម្តងទៀតសម្រាប់ការធ្វើបច្ចុប្បន្នភាពស្ថានភាពនៃវិញ្ញាបនបត្រ។

    ប្រសិនបើអ្នកចង់ឱ្យស្ថានភាពអាប់ដេតដោយស្វ័យប្រវត្តិ៖

    • - នៅក្នុងបង្អួចការកំណត់ សូមជ្រើសរើសផ្ទាំងផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ។
    • - បន្ថែម CA ដែលចង់បានដោយជ្រើសរើសពីដែលមាន ឬ CAs ទាំងអស់។
  • កំហុសនៅពេលទទួលបានកំណែចុងក្រោយនៃ SOS ពី CA

    ដើម្បីប្រើប្រាស់លទ្ធភាពនៃការទទួលបានបញ្ជីវិញ្ញាបនបត្រដែលត្រូវបានដកហូតពី CA លក្ខខណ្ឌខាងក្រោមត្រូវតែបំពេញ៖

    • - វិញ្ញាបនបត្រដែលបានពិនិត្យត្រូវតែមានផ្នែកបន្ថែម "ចំណុចចែកចាយបញ្ជីដកហូត/ចំណុចចែកចាយ CRL (CDP)" ដែលមានអាសយដ្ឋានត្រឹមត្រូវនៃបញ្ជីវិញ្ញាបនបត្រដែលត្រូវបានដកហូត។
    • - ម្តងមួយៗ (ល្អបំផុតប្រសិនបើទីមួយ) ពីចំណុចចែកចាយ SOS អ្នកអាចទាញយកកម្មវិធីរុករក SOS Internet Explorerដោយមិនចាំបាច់បញ្ចូលព័ត៌មានបន្ថែម (ឈ្មោះអ្នកប្រើប្រាស់ ពាក្យសម្ងាត់ តំណខាងក្រោម);
    • - នៅក្នុងការកំណត់របស់ Internet Explorer មិនគួរត្រូវបានបើកទេ។ ការលៃតម្រូវដោយស្វ័យប្រវត្តិម៉ាស៊ីនមេប្រូកស៊ី។ ដើម្បីពិនិត្យមើលវា បើកដំណើរការ "Internet Explorer" -> "Tools" menu -> "Internet Options" item -> "Connections" tab -> "Network Settings" button ->
  • SOS និង root មិនត្រូវបានផ្ទុកដោយស្វ័យប្រវត្តិទេ។
    • - នៅក្នុងម៉ឺនុយកំពូល ជ្រើសរើស "ការកំណត់"-> "គ្រប់គ្រងការកំណត់"។ នៅផ្នែកខាងឆ្វេងនៃបង្អួចដែលបើកសូមជ្រើសរើស "ទម្រង់" ។ នៅក្នុងបង្អួចខាងស្តាំ បង្កើតថ្មី ឬកែសម្រួលទម្រង់ការកំណត់ចាស់។ នៅក្នុងបង្អួចការកំណត់ប្រវត្តិរូប សូមជ្រើសរើសផ្ទាំងការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ។ បន្ថែម CA ដែលចង់បានដោយជ្រើសរើសពីដែលមាន ឬ CAs ទាំងអស់។
    • - ការកំណត់ Internet Explorer មិនគួរត្រូវបានកំណត់ដើម្បីកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេប្រូកស៊ីដោយស្វ័យប្រវត្តិទេ។ ដើម្បីពិនិត្យមើលវា សូមបើកដំណើរការ "Internet Explorer" -> "Tools" menu -> "Internet Options" item -> "Connections" tab -> "Network settings" button -> checkboxes "Auto-detect settings" និង "Use auto-configuration" ស្គ្រីប "គួរតែត្រូវបានដោះធីកការកំណត់" ។
  • ស្ថានភាពវិញ្ញាបនបត្រ៖ មិនត្រឹមត្រូវ កំហុសក្នុងការកសាងផ្លូវវិញ្ញាបនប័ត្រ

    អ្នកត្រូវដំឡើងវិញ្ញាបនបត្រឫសគល់នៃអាជ្ញាធរវិញ្ញាបនប័ត្រ និងបញ្ជីនៃវិញ្ញាបនបត្រ CA ដែលបានដកហូតនៅកន្លែងធ្វើការ។

    ប្រសិនបើអ្នកមិនមានពួកវាទេ សូមទាញយកពីគេហទំព័រផ្លូវការរបស់អាជ្ញាធរវិញ្ញាបនប័ត្រ ឬពីតំណនៅក្នុងវិញ្ញាបនបត្រ៖

    • - នៅក្នុង CryptoArm បើកវិញ្ញាបនបត្រដែលត្រូវការនៅក្នុងកន្លែងផ្ទុកផ្ទាល់ខ្លួនដោយចុចពីរដងលើ mouse -> View -> Composition tab;
    • - ដើម្បីមើលតំណទៅកាន់វិញ្ញាបនបត្រ Root សូមជ្រើសរើស "ចូលប្រើព័ត៌មានអំពីអាជ្ញាធរបញ្ជាក់" ។
    • - ដើម្បីមើលតំណទៅកាន់ CRLs សូមជ្រើសរើស List Distribution Points។
  • បញ្ហាផ្ទៀងផ្ទាត់ CTL

    ការផ្ទៀងផ្ទាត់ CTL គឺជាមុខងារបន្ថែមនៃកម្មវិធី CryptoARM និងអនុញ្ញាតឱ្យអ្នកពិនិត្យមើលវិញ្ញាបនបត្រប្រឆាំងនឹងបញ្ជីទំនុកចិត្តផ្ទាល់ខ្លួនរបស់អ្នកប្រើប្រាស់។ វាគួរតែត្រូវបានបិទតាមលំនាំដើម។

    • - បើកកម្មវិធី CryptoARM;
    • - នៅក្នុងម៉ឺនុយកំពូលនៃបង្អួចមេជ្រើសផ្នែក "ការកំណត់" ផ្នែក "ប្រវត្តិរូប" ។
    • - នៅក្នុងបង្អួចខាងស្តាំ បង្កើតថ្មី ឬផ្លាស់ប្តូរទម្រង់ចាស់។
    • - នៅក្នុងបង្អួច "ការកំណត់ទម្រង់" ជ្រើសរើសផ្ទាំង "ការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ" ។
    • - នៅផ្នែកខាងក្រោមនៃផ្ទាំង ដោះធីក "ប្រើ CTL ដើម្បីធ្វើសុពលភាពផ្លូវវិញ្ញាបនប័ត្រ"។
  • ប្រអប់ធីក "រក្សាទុកហត្ថលេខាក្នុងឯកសារដាច់ដោយឡែក" មិនសកម្មទេ។

    ធាតុ "រក្សាទុកហត្ថលេខាក្នុងឯកសារដាច់ដោយឡែក" មិនមានទេ ប្រសិនបើថតរក្សាទុកដោយដៃត្រូវបានជ្រើសរើសនៅក្នុងការកំណត់ការចុះហត្ថលេខាបច្ចុប្បន្ន។ ដើម្បីឱ្យហត្ថលេខាត្រូវបានរក្សាទុកក្នុងឯកសារដាច់ដោយឡែក អ្នកត្រូវតែកំណត់តម្លៃ - "ថតបច្ចុប្បន្ន"៖

    • - បើកកម្មវិធី "CryptoARM";
    • - នៅក្នុងម៉ឺនុយកំពូល, ស្វែងរកសាខា "ការកំណត់";
    • - នៅផ្នែកខាងឆ្វេងនៃបង្អួចជ្រើស "ទម្រង់";
    • - នៅខាងស្តាំ ជ្រើសរើសទម្រង់លំនាំដើម (សម្គាល់ដោយសញ្ញាធីកពណ៌បៃតង);
    • - បើកប្រវត្តិរូបរបស់អ្នក;
    • - ចូលទៅកាន់ផ្ទាំង "កាតាឡុក";
    • - ជ្រើសរើសជម្រើសរក្សាទុក "ថតបច្ចុប្បន្ន";
    • - រក្សាទុកនិងបិទទម្រង់ (អនុវត្ត);
    • - ចាប់ផ្តើមចុះហត្ថលេខា។ នៅក្នុងអ្នកជំនួយការហត្ថលេខា ប្រអប់ធីក "រក្សាទុកហត្ថលេខាក្នុងឯកសារដាច់ដោយឡែក" នឹងសកម្ម។
  • កំហុសក្នុងការដំឡើង៖ ឯកសារមិនមែនជាបណ្ណសារ 7z ទេ។

    ឯកសារដំឡើងមិនបានទាញយកទាំងស្រុងទេ។ ហេតុផលមួយក្នុងចំណោមហេតុផលសម្រាប់ការទាញយកឯកសារមិនពេញលេញអាចជាកំចាត់មេរោគ សូមព្យាយាមបិទវា។ អ្នកក៏អាចសាកល្បងទាញយកឯកសារដោយប្រើកម្មវិធីរុករកផ្សេង។

  • កំហុសក្នុងការដំឡើង 2738

    MCafee ឬកំចាត់មេរោគផ្សេងទៀតកំពុងរារាំងស្គ្រីប VB មិនឱ្យដំណើរការ។ ដើម្បីជួសជុលកំហុស អ្នកត្រូវដំឡើង VB Script ឡើងវិញ។

  • នៅពេលហៅប្រតិបត្តិការណាមួយ បង្អួចកម្មវិធីដំឡើងនឹងលេចឡើង។
    ដែលកំណត់រចនាសម្ព័ន្ធកម្មវិធី

    កម្មវិធីត្រូវបានដំឡើងមិនត្រឹមត្រូវ ឬឯកសារប្រព័ន្ធត្រូវបានខូច។ ចាំបាច់ត្រូវដំឡើងឡើងវិញ៖

    • - លុប CryptoARM តាមរយៈផ្ទាំងបញ្ជា / បន្ថែមឬយកកម្មវិធីចេញ;
    • - ចាប់ផ្ដើមឡើងវិញ;
    • - ដំឡើងកម្មវិធីម្តងទៀត។ អ្នកអាចទាញយកកំណែចុងក្រោយបំផុត។
  • Rosreestr មិនទទួលយកឯកសារទេ។ ឯកសារប្រភព និងឯកសារហត្ថលេខាមិនត្រូវគ្នាទេ។

    ប្រសិនបើវិបផតថល Rosreestr ត្រឡប់ឯកសារដែលបានចុះហត្ថលេខាដោយប្រើ CryptoARM ជាមួយនឹងការបង្ហាញថាឯកសារប្រភព និងឯកសារហត្ថលេខាមិនត្រូវគ្នា អ្នកត្រូវតែ៖

    • - នៅពេលបង្កើតហត្ថលេខា ត្រូវប្រាកដថាប្រភេទការអ៊ិនកូដ DER ត្រូវបានជ្រើសរើស ហើយជម្រើស "រក្សាទុកហត្ថលេខាក្នុងឯកសារដាច់ដោយឡែក" ត្រូវបានជ្រើសរើស។ ទាំងនោះ។ អ្នកត្រូវបង្កើតហត្ថលេខាដាច់ដោយឡែក ហើយដាក់ឯកសារទាំងពីរនៅលើវិបផតថល (ឯកសារប្រភព និងឯកសារហត្ថលេខាប្រហែល 2Kb)។
    • - ប្រសិនបើអ្នកបានចុះហត្ថលេខាលើអ្វីគ្រប់យ៉ាងត្រឹមត្រូវ ហើយបានពិនិត្យហត្ថលេខានៅលើផ្នែករបស់អ្នក (វាមានសុពលភាព) នោះបញ្ហាគឺនៅផ្នែកម្ខាងនៃវិបផតថល ពួកគេបរាជ័យជាទៀងទាត់ សូមព្យាយាមផ្ញើឯកសារម្តងទៀត។
  • បាត់ វិញ្ញាបនបត្រផ្ទាល់ខ្លួនតម្រូវឱ្យឌិគ្រីបឯកសារ

    ប្រសិនបើអ្នកជួបប្រទះបញ្ហានៅពេលឌិគ្រីបឯកសារ កំហុសដែលបានផ្តល់ឱ្យ:

    • - ដំឡើងវិញ្ញាបនបត្ររបស់អ្នកឡើងវិញនៅក្នុង CryptoPro CSP ដោយ ;
    • - ប្រសិនបើវិញ្ញាបនបត្រត្រូវបានធ្វើបច្ចុប្បន្នភាពដោយជោគជ័យ សូមពិនិត្យមើលថាតើវាស្ថិតនៅក្នុងបញ្ជីវិញ្ញាបនបត្រនៃអ្នកទទួលទិន្នន័យដែលបានអ៊ិនគ្រីបដែរឬទេ។ អ្នកអាចមើលវាបានដោយចុចពីរដងលើឯកសារដែលបានអ៊ិនគ្រីប ហើយចូលទៅចុងបញ្ចប់នៃអ្នកជំនួយការ។ លេខស៊េរីនៃវិញ្ញាបនបត្រត្រូវតែផ្គូផ្គងលេខដែលបានបញ្ជាក់នៅក្នុងវិញ្ញាបនបត្រផ្ទាល់ខ្លួនរបស់អ្នក។
    • - សូមពិនិត្យមើលផងដែរថាតើអាជ្ញាប័ណ្ណត្រូវបានដំឡើងនៅក្នុងកម្មវិធី CryptoPro CSP និង CryptoARM ដែរឬទេ។
• CryptoPRO CSP

  អ្នកអភិវឌ្ឍន៍៖ LLC "CRYPTO-PRO"

  • កំហុស៖ បញ្ជាក់មិនត្រឹមត្រូវ លេខ​សម្គាល់

    ជាដំបូងអាជ្ញាប័ណ្ណរវាងកំណែនៃកម្មវិធីមិនឆបគ្នាទេ ដូច្នេះអ្នកគួរតែប្រាកដថាកំណែនៃការចែកចាយដែលបានដំឡើងត្រូវនឹងកំណែនៃអាជ្ញាប័ណ្ណដែលអ្នកបានទិញ។ អ្នក​អាច​កំណត់​កំណែ​ដោយ​គ្រាន់​តែ​មើល​ទៅ​លេខ​កូដ​អាជ្ញាប័ណ្ណ​ផលិតផល។ សម្រាប់ CryptoPRO CSP តួអក្សរ 2 ដំបូងនៃអាជ្ញាប័ណ្ណត្រូវគ្នាទៅនឹងកំណែផលិតផល។

    ទីពីរមានតែអាជ្ញាប័ណ្ណម៉ាស៊ីនមេសម្រាប់កម្មវិធីប៉ុណ្ណោះដែលអាចដំឡើងនៅលើម៉ាស៊ីនមេ OS ដោយមិនគិតពីគោលបំណងនៃការប្រើប្រាស់។

    ទី៣.កំហុសនេះអាចកើតឡើងដោយសារតែអ្នកប្រើប្រាស់មិនមានសិទ្ធិជាអ្នកគ្រប់គ្រងមូលដ្ឋាន។ ដើម្បីឱ្យសោអាជ្ញាប័ណ្ណដំណើរការ អ្នកត្រូវដំណើរការកម្មវិធីជាអ្នកគ្រប់គ្រង ហើយដំឡើងអាជ្ញាប័ណ្ណតែប៉ុណ្ណោះ។

  • បានធ្វើបច្ចុប្បន្នភាព Windows និង CryptoPRO បានឈប់ដំណើរការ នៅពេលដែលប្រព័ន្ធប្រតិបត្តិការត្រូវបានធ្វើបច្ចុប្បន្នភាព ឯកសារចុះបញ្ជីប្រព័ន្ធក៏ត្រូវបានធ្វើបច្ចុប្បន្នភាពផងដែរ ដែលក្នុងនោះអ្នកផ្តល់គ្រីបតូត្រូវបានចុះឈ្មោះកំឡុងពេលដំឡើង ដូច្នេះបន្ទាប់ពីធ្វើបច្ចុប្បន្នភាព CryptoPRO OS អ្នកក៏ត្រូវការផងដែរ។
  • វីនដូ 7 មិនធ្វើបច្ចុប្បន្នភាពកំហុស 800b0001

    កំហុសនេះគឺជារឿងធម្មតាសម្រាប់ CryptoPRO កំណែ 3.6
    ប្រសិនបើអ្នកបានដំឡើង CryptoPRO កំណែ 3.6 រួចហើយ សូមព្យាយាមដំឡើងកំណែទៅ CSP 3.6.7777 R4 ។ គ្រាន់តែដំឡើងការចែកចាយថ្មីនៅលើកន្លែងចាស់ អ្នកមិនចាំបាច់បញ្ចូលអាជ្ញាប័ណ្ណឡើងវិញទេ វាត្រូវបានរក្សាទុកក្នុងបញ្ជីឈ្មោះ។

  • របៀបដំឡើងអាជ្ញាប័ណ្ណសម្រាប់កម្មវិធី CryptoPRO
    • - ដំណើរការកម្មវិធី CryptoPRO CSP៖ ចាប់ផ្តើម (ឬស្វែងរក) / កម្មវិធីទាំងអស់ / CryptoPRO / CryptoPRO CSP;
    • - នៅលើផ្ទាំងទូទៅ យើងរកឃើញប៊ូតុង "ENTER LICENSE" ចុច;
    • - នៅក្នុងបង្អួចដែលបើក យើងឃើញវាល "លេខស៊េរី" អ្នកត្រូវបញ្ចូលលេខកូដអាជ្ញាប័ណ្ណជាអក្សរក្រមលេខទៅក្នុងវា។ ប៊ូតុងកណ្ដុរខាងស្ដាំមិនដំណើរការទេអ្នកត្រូវប្រើផ្លូវកាត់ក្តារចុច "Ctrl + V" នៅលើក្តារចុច។
  • កំណែ CryptoPRO CSP នេះបានផុតកំណត់ហើយ។

    អាជ្ញាប័ណ្ណបានផុតកំណត់ ឬមិនត្រូវបានដំឡើងនៅក្នុងកម្មវិធី។ ជម្រើសជាច្រើនអាចធ្វើទៅបាន៖

    កម្មវិធីត្រូវបានដំឡើងនៅក្នុងរបៀបសាកល្បង ហើយរយៈពេលសាកល្បងបានបញ្ចប់។

    អាជ្ញាប័ណ្ណប្រចាំឆ្នាំ CryptoPRO CSP បានផុតកំណត់ហើយ។

    បន្ទាប់ពីដំឡើង/ធ្វើបច្ចុប្បន្នភាពកម្មវិធីឡើងវិញ លេខកូដអាជ្ញាប័ណ្ណមិនត្រូវបានបញ្ចូលទេ។

    ប្រសិនបើអ្នកមានអាជ្ញាប័ណ្ណរួចហើយ អ្នកអាចប្រើការណែនាំខាងលើ។ ទិញ អាជ្ញាប័ណ្ណថ្មី។អាចនៅលើ

  • មិនអាចស្វែងរកវិញ្ញាបនបត្រ និងសោឯកជនសម្រាប់ការឌិគ្រីបបានទេ។

    អ្នកត្រូវដំឡើងវិញ្ញាបនបត្រផ្ទាល់ខ្លួនរបស់អ្នកឡើងវិញ។ អ្នកអាចប្រើរបស់យើង។

    ប្រសិនបើកំហុសនេះកើតឡើងនៅពេលចុះហត្ថលេខាលើឯកសារនៅលើធនធានគេហទំព័រ នោះពួកវាត្រូវបន្ថែមទៅគេហទំព័រដែលទុកចិត្តនៅក្នុងកម្មវិធីរុករក។

    • - ចាប់ផ្តើម "Internet Explorer";
    • - បើកម៉ឺនុយ "ឧបករណ៍" -> ធាតុ "ជម្រើសអ៊ីនធឺណិត" -> ផ្ទាំង "សុវត្ថិភាព" -> ផ្ទាំង "គេហទំព័រដែលទុកចិត្ត" -> ប៊ូតុង "បន្ថែម";
    • - បន្ថែមទៅក្នុងបញ្ជីអាសយដ្ឋាននៃគេហទំព័រដែលអ្នកនឹងចុះហត្ថលេខាលើឯកសារ។
• គ្រីបតូប្រូ ហត្ថលេខាការិយាល័យ

  អ្នកអភិវឌ្ឍន៍៖ LLC "CRYPTO-PRO"

  • របៀបដំឡើងអាជ្ញាប័ណ្ណហត្ថលេខាការិយាល័យ

    ដោយច្រើនបំផុត នៅក្នុងវិធីសាមញ្ញមួយ។នឹងដំឡើងអាជ្ញាប័ណ្ណនៅពេលដំឡើងកម្មវិធី ប៉ុន្តែប្រសិនបើកម្មវិធីត្រូវបានដំឡើងរួចហើយ និងទាមទារអាជ្ញាប័ណ្ណដើម្បីបញ្ចូល អ្នកអាចទៅវិធីពិបាក៖

    • - បើកដំណើរការកម្មវិធី CryptoPRO PKI៖ ចាប់ផ្តើម (ឬស្វែងរក) / កម្មវិធីទាំងអស់ / CryptoPRO / CryptoPRO PKI;
    • - នៅផ្នែកខាងឆ្វេងនៃបង្អួចពង្រីកបញ្ជី "ការគ្រប់គ្រងអាជ្ញាប័ណ្ណ" (អ្នកគ្រាន់តែចុចលើសញ្ញាបូក) ។
    • - ជ្រើសរើសធាតុមួយ។ ការិយាល័យ CryptoPROហត្ថលេខា;
    • - នៅក្នុងម៉ឺនុយកំពូលនៃកម្មវិធី សូមជ្រើសរើសសកម្មភាព / កិច្ចការទាំងអស់ / បញ្ចូលលេខស៊េរី។
    • - បញ្ចូលលេខកូដអាជ្ញាប័ណ្ណទៅក្នុងបង្អួចដែលបើកហើយចុចយល់ព្រម។

    ព័ត៌មានលម្អិតអំពីការដំឡើងកម្មវិធី និងអាជ្ញាប័ណ្ណត្រូវបានសរសេរនៅក្នុងរបស់យើង។

  • កំហុស៖ លេខសៀរៀលមិនត្រឹមត្រូវបានបញ្ជាក់

    កំហុសនេះបង្ហាញថាអាជ្ញាប័ណ្ណត្រូវបានបញ្ចូលមិនត្រឹមត្រូវ។ វាអាចមានហេតុផលជាច្រើន៖

    ជាដំបូងអាជ្ញាប័ណ្ណរវាងកំណែនៃកម្មវិធីមិនឆបគ្នាទេ ដូច្នេះអ្នកគួរតែប្រាកដថាកំណែនៃការចែកចាយដែលបានដំឡើងត្រូវនឹងកំណែនៃអាជ្ញាប័ណ្ណដែលអ្នកបានទិញ។ អ្នក​អាច​កំណត់​កំណែ​ដោយ​គ្រាន់​តែ​មើល​ទៅ​លេខ​កូដ​អាជ្ញាប័ណ្ណ​ផលិតផល។ សម្រាប់កំណែហត្ថលេខាការិយាល័យ និមិត្តសញ្ញាអាជ្ញាប័ណ្ណទីបីត្រូវគ្នា។

    ទីពីរកំហុសនេះអាចកើតឡើងដោយសារតែអ្នកប្រើប្រាស់មិនមានសិទ្ធិជាអ្នកគ្រប់គ្រងមូលដ្ឋាន។ ដើម្បីឱ្យសោអាជ្ញាប័ណ្ណដំណើរការ អ្នកត្រូវដំណើរការកម្មវិធីជាអ្នកគ្រប់គ្រង ហើយដំឡើងអាជ្ញាប័ណ្ណតែប៉ុណ្ណោះ។

• CryptoPRO PDF

  អ្នកអភិវឌ្ឍន៍៖ LLC "CRYPTO-PRO"

  • សេចក្តីណែនាំសម្រាប់ការដំឡើង និងប្រើប្រាស់ CryptoPRO PDF
  • បានបញ្ចូលលេខកូដអាជ្ញាប័ណ្ណមិនត្រឹមត្រូវ

    នៅពេលបង្កើតអាជ្ញាប័ណ្ណសម្រាប់កម្មវិធី CryptoPRO PDF ឈ្មោះស្ថាប័នរបស់អតិថិជនត្រូវតែបញ្ជាក់ នៅពេលដំឡើងវា អ្នកត្រូវតែបញ្ជាក់ឈ្មោះស្ថាប័នដូចគ្នា (ករណី និងសញ្ញាសម្រង់ជាបញ្ហា)។

    ប្រសិនបើអាជ្ញាប័ណ្ណត្រូវបានទិញសម្រាប់រូបវន្ត មនុស្សបន្ទាប់មកនៅក្នុងវាល "អង្គការ" អ្នកត្រូវបញ្ចូលឈ្មោះរបស់អតិថិជន។

ចំណាំ៖សម្ភារៈនេះត្រូវបានបោះពុម្ពជាចំណេះដឹងចាំបាច់សម្រាប់អ្នកជំនាញ IT ដែលចូលរួម ឬគ្រាន់តែនឹងដោះស្រាយប្រធានបទ PKI (រចនាសម្ព័ន្ធសោសាធារណៈ).

អ្នកគ្រប់គ្រងប្រព័ន្ធភាគច្រើនជឿថាការធ្វើផែនការ CRLs (CRLs) បញ្ជីដកហូតវិញ្ញាបនបត្រ - CRL) និងឯកសារវិញ្ញាបនបត្រនៃម៉ាស៊ីនមេ CA ខ្លួនឯង - នេះគឺជារឿងបឋម។ ប៉ុន្តែការអនុវត្តបង្ហាញថាពួកគេភាគច្រើនខុសខ្លាំងណាស់។ ដូច្នេះហើយ ខ្ញុំស្នើឱ្យរង់ចាំបន្តិចជាមួយ CryptoAPI ហើយនិយាយអំពីអ្វីដែលសំខាន់ជាងនេះទៀត - អនុសាសន៍សម្រាប់រៀបចំផែនការបោះពុម្ព CRLs និង CA វិញ្ញាបនបត្រ ( អាជ្ញាធរបញ្ជាក់) ដែលត្រូវបានប្រើដោយម៉ាស៊ីនច្រវ៉ាក់វិញ្ញាបនបត្រ ដើម្បីបង្កើត និងផ្ទៀងផ្ទាត់ខ្សែសង្វាក់វិញ្ញាបនបត្រ។ អ្នកអាចអានប្រកាសអំពីរបៀបដែលម៉ាស៊ីននេះដំណើរការ៖ ម៉ាស៊ីនច្រវ៉ាក់វិញ្ញាបនប័ត្រ - របៀបដែលវាដំណើរការ .

តើកន្លែងណា និងរបៀបបោះផ្សាយឯកសារ CRL និង CRT?

ដូចដែលអ្នកបានដឹងហើយថា វិញ្ញាបនបត្រនីមួយៗដែលចេញដោយ CA (លើកលែងតែវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯង។ វិញ្ញាបនបត្រឫសគល់ក៏ជាវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯង) មានផ្នែកបន្ថែមចំនួន 2៖

1. នៅក្នុងផ្នែកបន្ថែម " ចំណុចចែកចាយ CRL (CDP)" តំណភ្ជាប់ទៅ CRL នៃ CA ដែលចេញវិញ្ញាបនបត្រជាក់លាក់ត្រូវបានរក្សាទុក។
2. នៅក្នុងផ្នែកបន្ថែម " ការចូលប្រើព័ត៌មានរបស់អាជ្ញាធរ (អេអាយអេ)" រក្សាទុកឯកសារយោងទៅវិញ្ញាបនបត្ររបស់ CA ដែលបានចេញវិញ្ញាបនបត្រជាក់លាក់។ ហើយសម្រាប់វិញ្ញាបនបត្រដែលចេញដោយ CA ដែលដំណើរការ Windows Server 2008 និងក្រោយ ពួកវាអាចមានតំណភ្ជាប់ទៅកាន់ OCSP Responder (សូមមើលខាងក្រោម)។ OCSP (ផ្នែកទី 1)និង OCSP (ផ្នែកទី 2))

ជាគោលការណ៍ការកំណត់ទាំងនេះគឺសមរម្យសម្រាប់ ប្រតិបត្តិការធម្មតា។ម៉ាស៊ីនច្រវាក់វិញ្ញាបនបត្រនៅក្នុងបណ្តាញតូចៗដែលមានព្រៃឈើតែមួយ និងដែនដោយគ្មានគេហទំព័រ (ឬជាមួយគេហទំព័រដែលភ្ជាប់ដោយបណ្តាញលឿន)។ ប្រសិនបើបណ្តាញមានដែនជាច្រើន (ឬព្រៃឈើដែលមានការកំណត់រចនាសម្ព័ន្ធការចុះឈ្មោះឆ្លងព្រៃ) និងគេហទំព័រដែលភ្ជាប់ដោយបណ្តាញដែលមិនលឿនពេក នោះការកំណត់ទាំងនេះអាចនាំទៅរកការបរាជ័យក្នុងការសាងសង់ និងការផ្ទៀងផ្ទាត់ខ្សែសង្វាក់វិញ្ញាបនបត្រ។ ខ្ញុំនឹងមិនប្រាប់អ្នកពីអ្វីដែលសញ្ញាធីកមានន័យនោះទេព្រោះ។ អ្នកអាចរកឃើញពួកវានៅក្នុងអត្ថបទ លក្ខណៈសម្បត្តិនៃការបោះពុម្ព CRLនិង AIA Publishing Propertiesហើយខ្ញុំនឹងបន្តទៅការវិភាគផ្លូវភ្លាមៗ។

ផ្លូវទីមួយបញ្ជាក់ផ្លូវប្រព័ន្ធឯកសារដែលឯកសារ CRL និង CRT ត្រូវបានបោះពុម្ពជារូបវ័ន្ត។ តំណខាងក្រោម (LDAP://(ផ្លូវ LDAP)) បញ្ជាក់ចំណុចបោះពុម្ព CRL និង CRT នៅក្នុង Active Directory។ ដូចគ្នានេះផងដែរ ផ្លូវទាំងនេះនឹងត្រូវបានចុះឈ្មោះនៅក្នុងវិញ្ញាបនបត្រដែលបានចេញទាំងអស់។ តំណទីបី (HTTP://(URL)) បញ្ជាក់ URL ដែលអតិថិជនអាចទាញយកឯកសារតាមរយៈ HTTP ហើយ URL នេះនឹងត្រូវបានរួមបញ្ចូលនៅក្នុងផ្នែកបន្ថែម CDP/AIA នៃវិញ្ញាបនបត្រដែលបានចេញទាំងអស់។ តំណភ្ជាប់ចុងក្រោយមិនធ្វើអ្វីសោះ ហើយត្រូវបានបន្ថែមជាចំណុចបន្ថែមនៃការបោះពុម្ពឯកសារ CRL/CRT នៅលើបណ្តាញចែករំលែក។ ហេតុអ្វីបានជាការកំណត់ទាំងនេះមិនសាកសមសម្រាប់បណ្តាញធំ?

នេះជារបៀបដែលផ្នែកបន្ថែម CDP និង AIA នឹងមើលទៅក្នុងវិញ្ញាបនបត្រដែលបានចេញជាមួយនឹងការកំណត់ទាំងនេះ៖

ចំណុចចែកចាយ CRL
ឈ្មោះចំណុចចែកចាយ៖
ឈ្មោះ​ពេញ:
URL=ldap:///CN=Contoso%20CA,CN=DC1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=contoso,DC=com?certificateRevocationList?base?objectClass =cRLDistributionPoint
URL=http://dc1.contoso.com/CertEnroll/Contoso%20CA.crl

ការចូលប្រើព័ត៌មានអាជ្ញាធរ
ឈ្មោះជំនួស៖
URL=ldap:///CN=Contoso%20CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=contoso,DC=com?cACertificate?base?objectClass=certificationAuthority
ការចូលប្រើព័ត៌មានអាជ្ញាធរ
វិធីសាស្រ្តចូលដំណើរការ=អ្នកចេញអាជ្ញាធរបញ្ជាក់ (1.3.6.1.5.5.7.48.2)
ឈ្មោះជំនួស៖
URL=http://dc1.contoso.com/CertEnroll/DC1.contoso.com_Contoso%20CA.crt

នេះជាការសំខាន់ដើម្បីដឹងព្រោះម៉ាស៊ីនច្រវ៉ាក់វិញ្ញាបនបត្រ (សូមហៅវាថា ស៊ី.ស៊ី) នឹង​ធ្វើ​ឱ្យ​សេចក្តី​យោង​មាន​សុពលភាព​តាម​លំដាប់​ដែល​ពួកគេ​បង្ហាញ​ក្នុង​ផ្នែក​បន្ថែម​វិញ្ញាបនបត្រ។ ទាំងនោះ។ ដំបូងនឹងព្យាយាមទាញយកឯកសារពី Active Directory រយៈពេល 10 វិនាទី។ ប្រសិនបើឯកសារមិនត្រូវបានទាញយកក្នុងរយៈពេល 10 វិនាទី CCE នឹងព្យាយាមទាញយកឯកសារដែលបានបញ្ជាក់ពីតំណខាងក្រោម (HTTP)។ ក្នុងពេលជាមួយគ្នានេះ ពេលវេលាសម្រាប់នេះនឹងតិចជាង 2 ដង (ឧ. 5 វិនាទី) ជាងការប៉ុនប៉ងមុន។ ហើយវានឹងកើតឡើងជាមួយនឹងតំណបន្តបន្ទាប់គ្នា រហូតដល់ឯកសារត្រូវបានទទួល តំណភ្ជាប់នឹងអស់ ឬវារលត់ដោយអស់ពេល។ យ៉ាងពិតប្រាកដ 20 វិនាទីត្រូវបានបម្រុងទុកសម្រាប់ដំណើរការនៃផ្នែកបន្ថែមនីមួយៗសម្រាប់ CCE ។

រួចហើយនៅដំណាក់កាលនេះ វាច្បាស់ណាស់ថាម៉ាស៊ីនភ្ញៀវដែលមិនមែនជាដែនណាមួយ (ជាស្មាតហ្វូន ស្ថានីយការងារដាច់ដោយឡែកនៅលើអ៊ីនធឺណិត។ បរាជ័យ។ ដូច្នេះ តំណភ្ជាប់ដំបូងនៅក្នុង CDP/AIA គួរតែជាតំណភ្ជាប់ដែលប្រើពិធីការជាសកលសម្រាប់ទាំងអស់គ្នា (វាគួរតែជា HTTP) ទោះបីជាការពិតដែលថានៅក្នុងដែនដែល CA ស្ថិតនៅក៏ដោយ ការចូលប្រើតាមរយៈ LDAP នឹងលឿនជាងបន្តិច។

ចំណុចទីពីរគឺការចម្លងវត្ថុ AD ។ នៅពេលដែល CRL/CRT ត្រូវបានបោះពុម្ពផ្សាយទៅកាន់ Active Directory វាត្រូវចំណាយពេលបន្តិចដើម្បីឱ្យអតិថិជនដឹងអំពីវា។ នេះគឺជាកន្លែងដែលកត្តាចម្លង AD ចូលមក។ ចាប់តាំងពីវត្ថុ PKI ទាំងអស់ត្រូវបានបោះពុម្ពនៅក្នុង AD ក្រោម បរិបទនៃការដាក់ឈ្មោះព្រៃឈើបន្ទាប់មកទិន្នន័យនេះត្រូវបានចម្លងមិនត្រឹមតែនៅក្នុងដែនបច្ចុប្បន្នប៉ុណ្ណោះទេ ប៉ុន្តែនៅទូទាំងព្រៃទាំងមូល។ ដូច្នេះ ការពន្យារពេលក្នុងការបង្ហាញឯកសារថ្មីដោយអតិថិជនអាចមានសារៈសំខាន់ខ្លាំងណាស់ ហើយឈានដល់ជាច្រើនម៉ោង។ ការពន្យារពេលអាចមានរហូតដល់ពីរវដ្តនៃការចម្លងពេញលេញនៅក្នុងព្រៃ។ ហើយប្រសិនបើអ្នកប្រើការចុះឈ្មោះឆ្លងព្រៃ នោះស្ថានភាពនឹងកាន់តែអាក្រក់នៅទីនោះ ព្រោះវាក៏នឹងអាស្រ័យលើភាពញឹកញាប់នៃការចម្លងវត្ថុ PKI រវាងព្រៃឈើ (AD មិនគាំទ្រការចម្លងរវាងព្រៃឈើ និងវត្ថុ PKI ត្រូវបានចម្លងដោយដៃ) និងអាច មកដល់ច្រើនថ្ងៃហើយ។ សម្រាប់ហេតុផលនេះ វាត្រូវបានផ្ដល់អនុសាសន៍ឱ្យបដិសេធមិនបោះផ្សាយ CRL / CRT នៅក្នុង AD និងរួមបញ្ចូលតំណភ្ជាប់ទាំងនេះនៅក្នុងវិញ្ញាបនបត្រ ឬដើម្បីអនុវត្តតាមពិធីការដែលអាចចូលដំណើរការបានកាន់តែច្រើន។

ជាមួយ HTTP ផងដែរ មិនមែនអ្វីៗទាំងអស់គឺល្អឥតខ្ចោះដូចដែលវាហាក់ដូចជានៅ glance ដំបូងនោះទេ។ វាមិនចាំបាច់ទាល់តែសោះដែលម៉ាស៊ីនមេ CA ក៏ដើរតួជាម៉ាស៊ីនមេបណ្តាញ (ទោះបីជាវាអាចទទួលយកបានសម្រាប់តែការប្រើប្រាស់ផ្ទៃក្នុងជាមួយនឹងការកក់ជាក់លាក់)។ វានឹងកាន់តែប្រសើរ ទោះបីជាឯកសារ CRL/CRT ត្រូវបានចម្លងទៅទាំងម៉ាស៊ីនមេគេហទំព័រខាងក្នុង និងខាងក្រៅក៏ដោយ។ តាមឧត្ដមគតិ ឯកសារទាំងនេះគួរតែត្រូវបានចម្លងទៅកាន់ម៉ាស៊ីនមេគេហទំព័រខាងក្នុងយ៉ាងតិច 1-2 និងខាងក្រៅ 1-2 សម្រាប់ភាពអាចរកបានខ្ពស់។ ក្នុងករណីបែបនេះ តំណភ្ជាប់ទី 4 នៅក្នុងការកំណត់ CA ត្រូវបានប្រើរួចហើយ ដែលគួរចង្អុលទៅការចែករំលែក DFS ដូច្នេះឯកសារត្រូវបានចែកចាយដោយស្វ័យប្រវត្តិទៅម៉ាស៊ីនមេគេហទំព័រ។ ហើយនៅទីនេះយើងប្រឈមមុខនឹងភាពយឺតយ៉ាវនៃការចម្លង DFS រវាងម៉ាស៊ីនមេម្តងទៀត។ ប្រសិនបើគម្រោងការបោះពុម្ពផ្សាយ CRL/CRT ទាំងអស់ត្រូវទទួលរងនូវភាពយឺតយ៉ាវនៃការចម្លង តើអ្នកដោះស្រាយវាដោយរបៀបណាដើម្បីឱ្យឯកសារទាន់សម័យជានិច្ច?

ចំណាំ៖ទោះបីជា CCE គាំទ្រការទាញយក CRLs និង CRTs ពីតំណ HTTPS ក៏ដោយ វាត្រូវបានហាមឃាត់យ៉ាងតឹងរ៉ឹង បើមិនដូច្នេះទេ CCE នឹងធ្លាក់ចូលទៅក្នុងរង្វិលជុំគ្មានទីបញ្ចប់នៃការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ។

ភាពញឹកញាប់នៃការបោះពុម្ព និងធ្វើបច្ចុប្បន្នភាពឯកសារ CRL និង CRT

តាមលំនាំដើមនៅក្នុង Windows Server, CRLs ស្នូល ( មូលដ្ឋាន CRL) ត្រូវបានបោះពុម្ពម្តងក្នុងមួយសប្តាហ៍ និង CRLs បន្ថែម ( Delta CRL) ត្រូវបានបោះពុម្ពម្តងក្នុងមួយថ្ងៃ។ ឯកសារវិញ្ញាបនបត្រ CA ជាធម្មតាត្រូវបានបន្តជាថ្មីនៅចន្លោះពេលស្មើនឹងអាយុកាលនៃវិញ្ញាបនបត្រផ្ទាល់របស់ CA (ឬញឹកញាប់ជាងនេះ ប្រសិនបើវិញ្ញាបនបត្រ CA ត្រូវបានបន្តឡើងវិញដោយពណ៌ខៀវ)។ ប្រសិនបើវិញ្ញាបនបត្រ CA ចាំបាច់ត្រូវធ្វើបច្ចុប្បន្នភាពកម្រណាស់ (រៀងរាល់ពីរបីឆ្នាំម្តង) ហើយវាគួរតែត្រូវបានរៀបចំដោយឡែកពីគ្នា នោះ CRL ត្រូវបានធ្វើបច្ចុប្បន្នភាពដោយស្វ័យប្រវត្តិដោយគ្មានការជ្រៀតជ្រែកពីអ្នកគ្រប់គ្រង ហើយការកែតម្រូវពិសេសត្រូវបានទាមទារនៅទីនេះ ដែលយើងនឹងនិយាយអំពីឥឡូវនេះ។

បើយើងក្រឡេកមើល CRL យើងនឹងឃើញដូចខាងក្រោម៖

ឥឡូវនេះយើងនឹងចាប់អារម្មណ៍លើតែ 3 វាល:

• កាល​បរិច្ឆេទ​មាន​ប្រសិទ្ធភាព- បង្ហាញពីកាលបរិច្ឆេទ និងពេលវេលាដែល CRL នេះត្រូវបានចាត់ទុកថាមានសុពលភាព និងតាមលំនាំដើម 10 នាទីតិចជាងពេលវេលាជាក់ស្តែងដើម្បីរ៉ាប់រងការចំណាយនៃការធ្វើសមកាលកម្មពេលវេលារវាងម៉ាស៊ីនមេ និងម៉ាស៊ីនភ្ញៀវ។
• បច្ចុប្បន្នភាពបន្ទាប់- បង្ហាញពីកាលបរិច្ឆេទ និងពេលវេលានៅពេលដែល CRL ជាក់លាក់មួយផុតកំណត់ ហើយត្រូវបានចាត់ទុកថាមិនត្រឹមត្រូវ។
• ការបោះពុម្ព CRL បន្ទាប់- បង្ហាញពីកាលបរិច្ឆេទ និងពេលវេលានៃការបោះពុម្ព CRL បន្ទាប់។

ចំណាំ៖ពេលវេលានៅក្នុងវាលទាំងនេះត្រូវបានបញ្ជាក់ជាទម្រង់ UTC ដោយមិនគិតពីតំបន់ពេលវេលា។

ជាធម្មតា ការអាប់ដេតបន្ទាប់ និងពេលបោះពុម្ពបន្ទាប់ CRL គឺដូចគ្នា។ ប៉ុន្តែសម្រាប់ខ្ញុំ ដូចដែលអ្នកបានឃើញក្នុងរូបភាព ការអាប់ដេតបន្ទាប់គឺ 8 ថ្ងៃ (រយៈពេលសុពលភាព CRL លំនាំដើម) ប៉ុន្តែ Next CRL Publish គឺ 7 ថ្ងៃបន្ទាប់ពីការចាប់ផ្តើម CRL ។ ទាំងនោះ។ CRL ត្រូវបានធ្វើបច្ចុប្បន្នភាពរៀងរាល់ 7 ថ្ងៃម្តង ប៉ុន្តែរយៈពេលមានសុពលភាពគឺ 8 ថ្ងៃ (រយៈពេលបោះពុម្ព CRL + ពេលវេលាត្រួតស៊ីគ្នា)។ នេះត្រូវបានធ្វើដើម្បីគ្របដណ្តប់ពេលវេលា (ការចម្លងលើសលប់) នៃការផ្សព្វផ្សាយ CRLs ពីម៉ាស៊ីនមេ CA ទៅកាន់ចំណុចដែលអតិថិជននឹងទាញយក CRL ។ តើវារួចរាល់ដោយរបៀបណា?

ដើម្បីធ្វើដូចនេះនៅក្នុងបញ្ជីឈ្មោះនៅលើម៉ាស៊ីនមេ CA តាមបណ្តោយផ្លូវ HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\CA Nameមាន 4 គ្រាប់ចុច:

• CRLOoverlapUnits- បង្ហាញពីពេលវេលារហូតដល់ការផុតកំណត់នៃ CRL មេបច្ចុប្បន្ន ដែល CRL មេថ្មីនឹងត្រូវបានបោះពុម្ព។
• CRLOoverlapPeriod- បង្ហាញពីឯកតានៃពេលវេលានេះសម្រាប់ CRL មេ
• CRLDeltaOverlapUnits- បង្ហាញពីពេលវេលាមុនពេលផុតកំណត់នៃការកើនឡើងបច្ចុប្បន្ន (ប្រសិនបើប្រើ) CRL ដែល CRL បន្ថែមថ្មីនឹងត្រូវបានបោះពុម្ព
• CRLDeltaPeriodPeriod- បង្ហាញពីឯកតានៃពេលវេលានេះសម្រាប់ CRL បន្ថែម។

ប្រសិនបើអ្នកកំពុងប្រើតំណភ្ជាប់ LDAP នៅក្នុងផ្នែកបន្ថែមវិញ្ញាបនបត្រ CDP/AIA និង/ឬអ្នកមានភាពយឺតយ៉ាវនៃការចម្លងឯកសាររវាងម៉ាស៊ីនមេគេហទំព័រ នោះអ្នកគួរតែកែតម្រូវពេលវេលានេះឱ្យតិចជាងរយៈពេលនៃការចម្លងថតចម្លងឯកសារ AD អតិបរមារបស់ DFS សម្រាប់មូលដ្ឋានទាំងពីរ។ និង CRLs បន្ថែម (ប្រសិនបើអ្នកប្រើពួកវា) ។ ប្រតិបត្តិការនេះអាចត្រូវបានដោយស្វ័យប្រវត្តិជាមួយនឹងឧបករណ៍ប្រើប្រាស់ certutil៖

certutil –setreg ca\CRLOverlapUnits ១
certutil –setreg ca\CRLOverlapPeriod "ថ្ងៃ"
certutil –setreg ca\CRLDeltaOverlapUnits ៨
certutil –setreg ca\CRLDeltaOverlapPeriod "ម៉ោង"
net stop certsvc & net start certsvc

ចំណាំ៖ CRLOverlap មិនអាចធំជាងប្រេកង់បោះពុម្ព BaseCRL ហើយ CRLDeltaOverlap មិនអាចធំជាង 12 ម៉ោង។

ភាពញឹកញាប់នៃការបោះពុម្ពទូទៅនៃឯកសារ CRL ដោយខ្លួនឯងគឺអាស្រ័យលើចំនួនវិញ្ញាបនបត្រដែលត្រូវបានដកហូតក្នុងរយៈពេលមួយ (ជាធម្មតាត្រូវបានវាស់ជាសប្តាហ៍)។ ប្រសិនបើវិញ្ញាបនបត្រត្រូវបានដកហូតរាប់សិបក្នុងមួយសប្តាហ៍ នោះវាសមហេតុផលក្នុងការកាត់បន្ថយភាពញឹកញាប់នៃការបោះពុម្ព CRLs សំខាន់ៗមកត្រឹម 2 ដងក្នុងមួយសប្តាហ៍ និង Delta CRLs មក 2 ដងក្នុងមួយថ្ងៃ។ ប្រសិនបើវិញ្ញាបនបត្រត្រូវបានដកហូតជាញឹកញាប់ (តិចជាងម្តងក្នុងមួយសប្តាហ៍) នោះប្រេកង់នៃការបោះពុម្ពមូលដ្ឋាន CRL អាចត្រូវបានកើនឡើងដល់ 2-4 សប្តាហ៍ ហើយ Delta CRL សូម្បីតែអាចត្រូវបានបោះបង់ចោល ឬបោះពុម្ពម្តងក្នុងមួយសប្តាហ៍។ ប៉ុន្តែនេះអនុវត្តចំពោះតែការចេញ ឬ CA តាមអ៊ីនធឺណិតប៉ុណ្ណោះ។ សម្រាប់ Offline CA ការណែនាំនឹងខុសគ្នាបន្តិច។ ដោយសារ CAs ក្រៅបណ្តាញគ្រាន់តែចេញវិញ្ញាបនបត្រដល់ CAs ផ្សេងទៀត ហើយត្រូវបានបិទភាគច្រើនបំផុត ពួកគេគួរតែបិទការបោះពុម្ព Delta CRL (ដោយកំណត់ CRL ដីសណ្តរឯកតារយៈពេលដល់សូន្យ) ហើយបោះផ្សាយ CRL សំខាន់រៀងរាល់ 3-12 ខែ។ ទោះបីជានេះជា CA ក្រៅបណ្តាញក៏ដោយ វាក៏ជាកម្មវត្ថុនៃតម្រូវការសម្រាប់ការកែតម្រូវពេលវេលានៃការបោះពុម្ពផ្សាយ និងសុពលភាពនៃ CRL ផងដែរ។

CDP និង AIA នៅក្នុងវិញ្ញាបនបត្រ root

ដូចដែលបានកត់សម្គាល់រួចមកហើយ ផ្នែកបន្ថែម CDP និង AIA មានតំណភ្ជាប់ទៅកាន់ CRL/CRT នៃ CA ដែលបានចេញវិញ្ញាបនបត្រជាក់លាក់ បន្ទាប់មកវានឹងខុសគ្នាបន្តិចបន្តួចជាមួយវិញ្ញាបនបត្រឫសគល់។ ដើម្បីអោយកាន់តែច្បាស់លាស់ ផ្នែកបន្ថែមទាំងនេះមិនគួរមាននៅក្នុងវិញ្ញាបនបត្រ root ទាល់តែសោះ។ ហេតុអ្វី? Windows Server 2003 បានបន្ថែមផ្នែកបន្ថែមទាំងនេះទៅវិញ្ញាបនបត្រដែលបានចុះហត្ថលេខាដោយខ្លួនឯងតាមលំនាំដើមនៅពេលដែល CA ត្រូវបានកំណត់រចនាសម្ព័ន្ធជា root CA ។ នៅក្នុងនោះ AIA មានតំណភ្ជាប់ដែលអ្នកអាចទាញយកវិញ្ញាបនបត្រដូចគ្នា។ អស្ចារ្យ :-)។

ហើយ CDP មិនត្រជាក់តិចទេ។ វិញ្ញាបនបត្រឫសគល់គឺតែងតែជាចំណុចបញ្ចប់នៃខ្សែសង្វាក់ខ្លួនវា និងការជឿទុកចិត្តនៃខ្សែសង្វាក់វិញ្ញាបនបត្រនោះ។ វិញ្ញាបនបត្រជា Root តែងតែត្រូវបានជឿទុកចិត្តយ៉ាងច្បាស់លាស់ដោយដាក់វិញ្ញាបនបត្រនៅក្នុងធុងមួយ។ Root CAs ដែលជឿទុកចិត្ត(និង​វិញ្ញាបនបត្រ​ផ្សេងទៀត​ទាំងអស់​ត្រូវ​បាន​ទុក​ចិត្ត​ដោយ​ប្រយោល​តាមរយៈ​ខ្សែសង្វាក់​វិញ្ញាបនបត្រ)។ ដូច្នេះ មធ្យោបាយតែមួយគត់ក្នុងការមិនទុកចិត្តវិញ្ញាបនបត្រ CA ជា root គឺត្រូវដកវិញ្ញាបនបត្រដោយខ្លួនវាផ្ទាល់ពីកុងតឺន័រ Root CAs ដែលគួរឱ្យទុកចិត្ត ហើយគ្មានអ្វីផ្សេងទៀតទេ។ បញ្ហាទីពីរគឺថា CRL ទាំងអស់ត្រូវបានចុះហត្ថលេខា សោឯកជន CA ខ្លួនឯង។ ឥឡូវនេះឧបមាថា CA បានដកហូតវិញ្ញាបនបត្ររបស់វា ហើយដាក់វានៅក្នុង CRL ។ អតិថិជនទាញយក CRL ហើយឃើញថាវិញ្ញាបនបត្រ CA ត្រូវបានដកហូត។ វាអាចត្រូវបានសន្មត់ថានេះគឺទាំងអស់ហើយមិនមានបញ្ហានៅទីនេះទេ។ ទោះយ៉ាងណាក៏ដោយ វាបង្ហាញថា CRL ត្រូវបានចុះហត្ថលេខាដោយវិញ្ញាបនបត្រដែលបានដកហូត ហើយយើងមិនអាចជឿទុកចិត្តលើ CRL នេះបានទេ ហើយយើងក៏មិនអាចចាត់ទុកវិញ្ញាបនបត្រ CA ដែលត្រូវដកហូតបានដែរ។ នេះ​ជា​មូលហេតុ​ដែល​ចាប់ផ្តើម​ជាមួយ Windows Server 2008 នៅពេល​ដំឡើង root CA ផ្នែក​បន្ថែម​ទាំងនេះ​មិន​ត្រូវ​បាន​បញ្ចូល​ក្នុង​វិញ្ញាបនបត្រ root តាម​លំនាំដើម​ទៀតទេ។ ហើយសម្រាប់ Windows Server 2003 ខ្ញុំត្រូវឆ្លាក់ឈើច្រត់នៅក្នុងឯកសារ CApolicy.inf:

ទទេ = ពិត
ទទេ = ពិត

ដូចដែលការអនុវត្តបង្ហាញ អ្នកគ្រប់គ្រងជាច្រើនមិនអើពើនឹងរឿងបែបនេះ ហើយធ្វើឱ្យអ្វីៗទាំងអស់មានលក្ខណៈសាមញ្ញ Next-Next ដែលពួកគេគួរតែឆេះនៅក្នុងនរក។ ប៉ុន្តែមិនត្រឹមតែអ្នកគ្រប់គ្រងប្រព័ន្ធប្រតិបត្តិការ Windows ធម្មតាប៉ុណ្ណោះទេ យានរុករកព្រះច័ន្ទ (អ្នកគាំទ្រលីនុច) ក៏គួរតែដុតនៅទីនោះដែរ។ ជាឧទាហរណ៍ជាក់ស្តែងនៃការរញ៉េរញ៉ៃនៅក្នុងវិញ្ញាបនបត្រ ខ្ញុំនឹងលើកយកក្រុមហ៊ុនមួយ។ startcomដែលនៅក្នុងខែកញ្ញា ឆ្នាំ 2009 បានទទួលសិទ្ធិក្នុងការចេញ EV (សុពលភាពបន្ថែម) វិញ្ញាបនបត្រ ហើយនេះគឺជាវិញ្ញាបនបត្រឫសគល់របស់ពួកគេ៖ http://www.startssl.com/sfsca.crt

ពួកគេមិនត្រឹមតែមានផ្នែកបន្ថែម CDP នៅក្នុងវិញ្ញាបនបត្រ root របស់ពួកគេប៉ុណ្ណោះទេ ប៉ុន្តែពួកគេក៏មានការរញ៉េរញ៉ៃជាមួយនឹងតំណភ្ជាប់ទៅកាន់ CRLs នៅក្នុងសង្វាក់ផងដែរ។ មាន​ការ​សង្ស័យ​ថា​វា​ត្រូវ​បាន​ធ្វើ​ឡើង​ដើម្បី​គាំទ្រ​ប្រភេទ​នៃ​សាខា​លីនុច​មួយ​ចំនួន (សម្រាប់​ភាព​ត្រូវ​គ្នា​ឬ​គ្រាន់​តែ​ជា​ឈើច្រត់) ប៉ុន្តែ​នេះ​ជា​របៀប​ដែល​ប្រភព​បើក​ចំហ។ ដូច្នេះមិនមែនគ្រប់ CA សាធារណៈ និងពាណិជ្ជកម្មអនុវត្តតាមការអនុវត្តល្អបំផុតទាំងអស់នោះទេ។ ហើយ​ខ្ញុំ​ណែនាំ​អ្នក​ឲ្យ​ធ្វើ​តាម​ពួកគេ នោះ​វា​ទំនង​ជា​តិច​ណាស់​ដែល​អ្នក​នឹង​ឆេះ​ក្នុង​នរក។

ការផ្លាស់ប្តូរហេដ្ឋារចនាសម្ព័ន្ធដែលមានស្រាប់

ការផ្លាស់ប្តូរផ្លូវនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធដែលមានស្រាប់គឺជាបញ្ហាធ្ងន់ធ្ងរ ទោះបីជាវាសាមញ្ញក្នុងការអនុវត្តក៏ដោយ។ ប្រសិនបើអ្នកសម្រេចចិត្តធ្វើជំហានបែបនេះ នោះអ្នកគួរតែត្រូវបានណែនាំដោយច្បាប់ខាងក្រោម៖

• ផ្លូវបោះផ្សាយនៃឯកសាររូបវន្តអាចត្រូវបានដាក់ក្នុងលំដាប់ណាមួយ;
• តំណភ្ជាប់ថ្មីទៅកាន់ឯកសារដែលអតិថិជននឹងទាញយកពួកវាគួរតែមានទីតាំងនៅមុនគេ ឧ. ជាមួយនឹងអាទិភាពខ្ពស់ (លើកលែងតែពេលដែលអ្នកបន្ថែមតំណតែប៉ុណ្ណោះ ដើម្បីធានាបាននូវភាពអាចរកបានខ្ពស់នៃឯកសារ។ បន្ទាប់មក តំណភ្ជាប់ថ្មីអាចត្រូវបានបន្ថែមទៅកន្ទុយនៃឯកសារដែលមានស្រាប់);
• ប្រសិនបើអ្នកនឹងចាកចេញពីតំណ CRL/CRT ដែលមានស្រាប់ អ្នកគួរតែបិទជម្រើសដើម្បីបោះផ្សាយតំណនៅក្នុងវិញ្ញាបនបត្រសម្រាប់ពួកគេ។ ទោះយ៉ាងណាក៏ដោយ រហូតដល់ការផុតកំណត់នៃវិញ្ញាបនបត្រ CA អ្នកនឹងត្រូវបានទាមទារឱ្យរក្សាពួកវាឱ្យស្ថិតក្នុងលំដាប់ការងារ ពីព្រោះ។ ពួកវាមាននៅក្នុងវិញ្ញាបនបត្រដែលបានចេញរួចហើយ។ ហើយឯកសារយោងថ្មីនឹងបង្ហាញតែនៅក្នុងវិញ្ញាបនបត្រដែលត្រូវបានចេញបន្ទាប់ពីការផ្លាស់ប្តូរ CDP/AIA ប៉ុណ្ណោះ។
• ប្រសិនបើវិញ្ញាបនបត្រ root របស់អ្នកមានផ្នែកបន្ថែម CDP / AIA រួចហើយនោះ អ្នកមិនអាចយកវាចេញពីទីនោះបានទេ រហូតដល់ការធ្វើបច្ចុប្បន្នភាព វិញ្ញាបនបត្រ root. នៅពេលបន្តវិញ្ញាបនបត្រ root នៅលើ Windows Server 2003 អ្នកនឹងត្រូវបង្កើតឯកសារ CAPolicy.inf កំណត់ការកំណត់ចាំបាច់ (ឧទាហរណ៍ដូចដែលបានបញ្ជាក់ខាងលើជាមួយ CDP និង AIA ទទេ)។ ព័ត៌មានលម្អិតបន្ថែមអំពីឯកសារ CApolicy.infអាចអានបានតាមតំណ៖ http://technet.microsoft.com/en-us/library/cc728279(WS.10).aspx

បច្ចេកវិទ្យាថ្មីៗ

ជាមួយនឹងការចេញផ្សាយ Windows Server 2008 Enterprise Edition អ្នកអាចអនុវត្តការឆ្លើយតបតាមអ៊ីនធឺណិតនៅក្នុងបណ្តាញរបស់អ្នកដើម្បីកាត់បន្ថយការផ្ទុកនៅលើម៉ាស៊ីនមេបោះពុម្ព CRL (ទោះបីជាផ្លូវ OCSP ត្រូវបានបោះពុម្ពផ្សាយនៅក្នុងផ្នែកបន្ថែម AIA ក៏ដោយ វាមិនមានអ្វីដែលត្រូវធ្វើជាមួយឯកសារ CRT) ។ ប៉ុន្តែសូម្បីតែការអនុវត្ត OCSP ក៏មិនដោះស្រាយបញ្ហាទាំងនេះដែរ ដោយសារការអនុវត្ត OCSP នៅក្នុង Windows Server គឺផ្អែកលើការអានទៀងទាត់នៃ CRLs ហើយអាស្រ័យទៅលើភាពយឺតយ៉ាវនៃការចម្លង AD និង/ឬ DFS ហើយមានតែអតិថិជនចាប់តាំងពី Windows Vista អាច ប្រើសេវាកម្មនេះ។ ខ្ញុំចង់កត់សម្គាល់ពេលវេលាដ៏រីករាយមួយ។ ប្រសិនបើការផ្លាស់ប្តូរចំពោះឯកសារយោង CRL/CRT ប៉ះពាល់ដល់តែវិញ្ញាបនបត្រថ្មីប៉ុណ្ណោះ (វិញ្ញាបនបត្រដែលបានចេញរួចហើយនឹងមិនដឹងអ្វីទាំងអស់អំពីផ្លូវថ្មីនៅក្នុង CDP/AIA) នោះវាពិតជាងាយស្រួលក្នុងការរួមបញ្ចូល OCSP នៅក្នុងដែន/ព្រៃឈើជាមួយនឹងហេដ្ឋារចនាសម្ព័ន្ធ PKI ដែលមានស្រាប់។ វិញ្ញាបនបត្រដែលបានចេញរួចហើយទាំងអស់អាចត្រូវបានពិនិត្យសម្រាប់ការដកហូតដោយប្រើ OCSP៖ គ្រប់គ្រងការកំណត់ OCSP ជាមួយនឹងគោលការណ៍ក្រុម .

សេចក្តីសន្និដ្ឋាន

នៅក្នុងការប្រកាសនេះខ្ញុំមាន ចំណុច​សំខាន់នៅក្នុងទម្រង់ដែលមានរចនាសម្ព័ន្ធ (ដូចដែលវាហាក់ដូចជាខ្ញុំ) ដែលអ្នកគួរតែដឹងនៅពេលរៀបចំផែនការបោះពុម្ពឯកសារ CRL/CRT និងតំណភ្ជាប់ទៅពួកគេ។ ដូចដែលអ្នកអាចមើលឃើញ ការណែនាំអំពីបច្ចេកវិទ្យាថ្មីមិនទាន់ធ្វើឱ្យអ្នកដឹង និងធ្វើតាមការណែនាំនៃការបោះពុម្ព CRL/CRT នៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធ PKI របស់អ្នកនៅឡើយទេ។ ខ្ញុំចាត់ទុកថាសម្ភារៈនេះគ្រប់គ្រាន់សម្រាប់កម្រិតចំណេះដឹងដំបូង និងកម្រិតមធ្យមលើប្រធានបទនៃការដកហូត និងការកសាងខ្សែសង្វាក់ ហើយសម្រាប់ការសិក្សាលម្អិតបន្ថែមទៀតអំពីដំណើរការទាំងមូលនេះ អ្នកគួរតែយោងនៅទីនេះរួចហើយ៖

CRL ឬ CAC- បញ្ជីនៃវិញ្ញាបនបត្រ SSL ត្រូវបានដកហូតដោយអាជ្ញាធរចេញប័ណ្ណ (CA) ។ សម្រាប់ឆ្នាំ 2017 មានការបដិសេធក្នុងការប្រើប្រាស់ CRL (САС) ដើម្បីពេញចិត្តនឹង OCSP (ពិធីការស្ថានភាពវិញ្ញាបនបត្រអនឡាញ)។

SSL ផ្តល់នូវការភ្ជាប់ HTTPS សុវត្ថិភាពទៅកាន់គេហទំព័រ ប៉ុន្តែមានហានិភ័យសុវត្ថិភាព ទោះបីជាមានវិញ្ញាបនបត្រត្រឹមត្រូវក៏ដោយ។ រឿងធម្មតាបំផុតគឺថាសោសម្ងាត់ត្រូវបានសម្របសម្រួល។ ការបញ្ជូនទិន្នន័យក្លាយជាអសន្តិសុខ។ ដើម្បីការពារលេខកាតឥណទាន និងពាក្យសម្ងាត់របស់អ្នកប្រើប្រាស់ពីការចូលទៅកាន់អ្នកបោកប្រាស់ វិញ្ញាបនបត្រត្រូវតែដកហូត។

ហេតុផលកំពូលសម្រាប់ការដកហូត SSL៖

• កូនសោរបាត់/លួច ឬខូច
• ឈ្មោះក្រុមហ៊ុនមិនត្រឹមត្រូវ ឬទិន្នន័យផ្សេងទៀត។
• គេហទំព័របានឈប់ដំណើរការ
• ម្ចាស់ធនធានបានផ្លាស់ប្តូរ
• អាជ្ញាធរចេញវិញ្ញាបនប័ត្រត្រូវបានសម្របសម្រួល

តើ CRLs ដំណើរការយ៉ាងដូចម្តេច?

បញ្ជីនៃវិញ្ញាបនបត្រដែលត្រូវបានដកហូតត្រូវបានបោះពុម្ពផ្សាយដោយអាជ្ញាធរវិញ្ញាបនបត្រ (CA) ដែលបានចេញវិញ្ញាបនបត្រ៖

1) ម្ចាស់ដែន ឬអ្នកចូលមើលគេហទំព័រដែលសម្គាល់ឃើញបញ្ហាទាក់ទង CA ហើយស្នើសុំឱ្យលុបចោល SSL បច្ចុប្បន្ន។

2) CA រាយបញ្ជីលេខសៀរៀលវិញ្ញាបនបត្រតែមួយគត់នៅលើបញ្ជី CAC ដែល៖

• ការពារ ហត្ថលេខាឌីជីថលកណ្តាល - មិនអាចផ្លាស់ប្តូរបានទេ។
• ធ្វើបច្ចុប្បន្នភាពយ៉ាងហោចណាស់ម្តងក្នុងមួយថ្ងៃ - ទាន់សម័យជានិច្ច

3) រាល់ពេលដែលកម្មវិធីរុករករបស់អ្នកចូលមើលភ្ជាប់ទៅធនធាន វាពិនិត្យមើលថាតើវិញ្ញាបនបត្រ SSL ត្រូវបានដកហូតឬអត់។ រកមើលនៅក្នុងបញ្ជី CRL ដែលបានទាញយក ឬតាមរយៈពិធីការ OCSP - តាមរយៈសំណើទៅកាន់ CA ។ ប្រសិនបើវារកឃើញវិញ្ញាបនបត្រនៅក្នុង បញ្ជី CRLឬទទួលបានការឆ្លើយតបពី CA ដែលវិញ្ញាបនបត្រត្រូវបានដកហូត - បង្ហាញការព្រមានអំពីកំហុស។

មិនមែនកម្មវិធីរុករកទាំងអស់ទាញយកបញ្ជី CAC ហើយប្រើ OCSP ទេ។

Firefoxពិនិត្យស្ថានភាពសម្រាប់តែវិញ្ញាបនបត្រដែលមានសុពលភាព EV បន្ថែម។ អ្នកប្រើប្រាស់កម្មវិធីរុករកនេះនឹងមិនដឹងពីការដកហូត SSL DV និង OV ទេ។ ដូច​អ្នក​ប្រើ​ទូរសព្ទ​ដែរ។ សាហ្វារីនៅក្នុង iOS ។ Chromeកំណត់ស្ថានភាពនៃវិញ្ញាបនបត្រសម្រាប់ Windows ប៉ុន្តែមិនមែនសម្រាប់ Linux និង Android ទេ។

Internet Explorerនិង ល្ខោនអូប៉េរ៉ា- កម្មវិធីរុករកដែលមានសុវត្ថិភាពបំផុតក្នុងរឿងនេះ។ ពួកគេប្រើ OCSP និង CRL អាស្រ័យលើអ្វីដែល CA ផ្តល់ជូន។

វិញ្ញាបនបត្រ​ដែល​បាន​ដកហូត​មិន​អាច​ត្រូវ​បាន​ស្ដារ​ឡើង​វិញ​ទេ។ទិញថ្មីតែប៉ុណ្ណោះ។ ថែរក្សាសោសម្ងាត់ - ការបាត់បង់ឬការសម្របសម្រួលរបស់វាច្រើនតែនាំទៅដល់ការដកហូតវិញ្ញាបនបត្រ SSL ។