SlideShare a Scribd company logo

LVRTC publiskie servisi: CRL un OCSP, laika zīmogi, LDAP

MINT.LV Ltd.
MINT.LV Ltd.
TechnologyBusiness
1 of 21
Elektroniskā paraksta integrācija informācijas sistēmāsPubliskie servisi izstrādātājiem
Saturs Sertifikāta uzticamības pārbaude Sertifikāta statusa publicēšana ,[object Object]
OCSPLaika zīmogu serviss LDAP direktorijs
Kopskats (parakstīšana, autentificēšana) eDokumenta nosūtīšana Parakstītājs Pārbaudītājs OCSP (over HTTP) TSP (over HTTPS) HTTP LDAP v3 LDAP v3 LDAP v3 HTTP Laika zīmogu serviss On-line statusa serviss CRL novietne AIA novietne Sertifikātu direktorijs LVRTC e-me
Kopskats (šifrēšana) Šifrētās informācijas nosūtīšana Šifrētājs Saņēmējs OCSP (over HTTP) TSP (over HTTPS) HTTP LDAP v3 LDAP v3 LDAP v3 HTTP Laika zīmogu serviss On-line statusa serviss CRL novietne AIA novietne Sertifikātu direktorijs LVRTC e-me
Sertifikāta uzticamības pārbaude Saknes sertifikātam jābūt uzticamam Pārbauda visu sertifikātu parakstus Izmanto info sertifikātā OCSP (over HTTP) TSP (over HTTPS) HTTP LDAP v3 LDAP v3 LDAP v3 HTTP Laika zīmogu serviss On-line statusa serviss CRL novietne AIA novietne Sertifikātu direktorijs LVRTC e-me
Demo Sertifikāta ķēdes un derīguma termiņa pārbaude
Sertifikāta ķēdes un aktivitātes pārbaude Statuss CRL sarakstos netiks pārbaudīts – tiks veidota tikai sertifikātu ķēde     private bool IsTrustedAndActive(X509Certificate2 subjectCertificate)        {            // build chain to validate all signatures in it            // (do not check statuses in this step)            X509Chain chain = new X509Chain();            chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;            bool chainBuilt = chain.Build(subjectCertificate);            if (chainBuilt)            {                // check if at the moment certificate is active (i.e., not                // before its actication date and not after its expiry date)                DateTime validationDateAndTime = DateTime.Now;                if (subjectCertificate.NotBefore <= validationDateAndTime &&                    subjectCertificate.NotAfter >= validationDateAndTime)                {                    return true;                }            }            return false;        } Pārbaudi veicam pēc pašreizējā datuma. Dokumentu pārbaudē, iespējams, jāveic pēc dokumenta parakstīšanas datuma
Sertifikāta statusa publicēšana OCSP (over HTTP) TSP (over HTTPS) HTTP LDAP v3 LDAP v3 LDAP v3 HTTP Laika zīmogu serviss On-line statusa serviss CRL novietne AIA novietne Sertifikātu direktorijs LVRTC e-me
OCSP 3. Pārbauda OCSP atbildes parakstu un OCSP sertifikāta derīgumu (AIA, CRL, paraksta pārbaude) 2. Saņem OCSP atbildi 1. Pieprasa 1 – N sertifikātu statusa informāciju Pārbaudītājs Atbildes statuss Masīvs no: OCSP paraksts Masīvs no: Statuss Izdevēja ID Detaļas Sertifikāta ID Sertifikāta ID OCSP (over HTTP) On-line statusa serviss
Demo Sertifikāta statusa pārbaude (CRL, OCSP)
Sertifikāta statusa pārbaude CRL Statuss CRL sarakstos tiek pārbaudīts, izmantojot kešotos CRL sarakstus klienta datorā (ja tādi ir)             X509Chain chain = new X509Chain();            chain.ChainPolicy.RevocationMode = X509RevocationMode.Offline;            bool chainBuiltAndStatusesOK = chain.Build(subjectCertificate); Ja mainīgā vērtība True, tad pārbaude veiksmīga un statusi visas ķēdes sertifikātiem ir OK
Sertifikāta statusa pārbaude OCSP Cert ir X509Certificate2 klases instance, kas satur pārbaudāmo sertifikātu                     // validate certificate using OCSP                OcspClient ocspClient = new OcspClient(new Uri("https://ocsp.eme.lv/responder.eme"));                ocspClient.Verify = true;                OcspRequest ocspRequest = new OcspRequest();                ocspRequest.Certs.Add(                    MakeCertID(cert)                    );                OcspResponse ocspResponse = ocspClient.QueryOcspServer(ocspRequest);                if (ocspResponse.Status == OcspResponseType.Good &&                     ocspResponse.Certs[0].RevocationStatus.Status == CertificateStatusType.Good)                {                    certificateOk = true;                }                else                {                    certificateOk = false;                } Prasījām statusu tikai par vienu sertifikātu – tāpēc varam pārbaudīt tikai pirmo atbildi         private CertID MakeCertID(X509Certificate2 subjectCertificate) // helpsbuildcertidneededbyfindingissuer        {            X509Chain chain = new X509Chain();            chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;            bool chainBuilt = chain.Build(subjectCertificate);            X509Certificate2 issuerCertificate = null;            foreach (var chainElement in chain.ChainElements)            {                if (chainElement.Certificate.Subject == subjectCertificate.Issuer)                    issuerCertificate = chainElement.Certificate;            }            return new CertID(issuerCertificate, new CertificateSerialNumber(subjectCertificate.SerialNumber.Replace("-", "")),  ObjectId.Sha1);        }
Laika zīmogu serviss 3. Pārbauda TSA atbildes parakstu un TSA sertifikāta derīgumu (AIA, CRL/OCSP, paraksta pārbaude) 2. Saņem TSA atbildi 1. Autentificējas, pieprasa laika zīmogu Parakstītājs Atbildes statuss TSA paraksts {TSA sertifikāts} Dokumenta hash Dokumenta hash Datums un laiks TSP (over HTTPS) Laika zīmogu serviss
Demo Laika zīmoga pieprasīšana
Laika zīmoga pieprasīšana Palīgmetode lūdz lietotājam izvēlēties klienta autentifikācijas sertifikātu                 TsaClient client = new TsaClient(new Uri("https://tsa.eme.lv/responder.eme"));                X509Certificate2 authCertificate = GetCertificate();                if (authCertificate != null)                {                    client.ClientCert = authCertificate;                    TsaRequest request = new TsaRequest();                    request.CertificateRequired = true;                    request.Imprint = new TsaMessageImprint(new SHA1Managed().ComputeHash(signature));                    TsaResponse response = client.QueryTsaServer(request);                    if ((response.ResponseType == TsaResponseType.Granted || response.ResponseType == TsaResponseType.GrantedWithMods))                    {                        timestampTextBox.Text = string.Format("Timestamp issued. Time = {0}", response.SignedData.Time.ToString());                    }                    else                    {                        timestampTextBox.Text = string.Format("TsaResponseType = {0}, TsaFailureType = {1}",  response.ResponseType.ToString(), response.FailureType.ToString());                    }                } Atbildē pieprasām iekļaut TSA sertifikātu     Paraksts, kuru zīmogosim (baitu masīvs, kas izveidots, parakstot)
Sertifikātu meklēšana direktorijā 3. Nolasa nepieciešamos atribūtus (sertifikātu) un šifrē nosūtāmo ziņojumu 2. Saņem LDAP atbildi 1. Nosūta meklēšanas pieprasījumu Šifrētājs Saraksts ar atrastajiem elementiem Base: c=lv Query: (&(givenName=Aldis) (sn=Viļums)) Attributes: Nolasāmo atribūtu saraksts LDAP v3 Sertifikātu direktorijs
Sertifikātu direktorija struktūra C = LV O = E-ME OU = Sertifikācijas pakalpojumu daļa CN = E-ME PSI (PCA) LDAP objektu klase inetOrgPerson CN = E-ME SI (CA1) UID=<sertifkāta seriālais #> UID=<sertifkāta seriālais #> CN = E-ME SSI (RCA)
Personas sertifikāta ieraksta informācija
Demo Informācijas meklēšana LDAP
Informācijas meklēšana LDAP                     LdapDirectoryIdentifier ldapId = new LdapDirectoryIdentifier("eme.lv", false, false);                SearchRequest searchRequest = new SearchRequest(                    "c=lv", // base path to search from                     "(&(givenName=Janis)(sn=Berzins))", // filter string to search for entries having name Janis and surname Berzins                    System.DirectoryServices.Protocols.SearchScope.Subtree, // search in the whole subtree under c=lv                    "cn", "givenName", "sn", "serialNumber", "uid", "mail", "o", "ou", "userCertificate" // get these attributes                    );                                LdapConnection ldapConn = new LdapConnection(ldapId, null, AuthType.Anonymous); // use anonymous connection                ldapConn.SessionOptions.ProtocolVersion = 3;                                SearchResponse response = (SearchResponse)ldapConn.SendRequest(searchRequest);                foreach (SearchResultEntry resultEntry in response.Entries)                {                    Console.WriteLine("  {0}", resultEntry.DistinguishedName);                    // print out basic information                    foreach (string attributeName in resultEntry.Attributes.AttributeNames)                    {                        if (resultEntry.Attributes[attributeName].Count > 0)                        {                            string attributeValue = (string)(resultEntry.Attributes[attributeName].GetValues(typeof(string))[0]);                            if (attributeName.ToLowerInvariant() != "usercertificate")                                Console.WriteLine("    {0}: {1}", attributeName, attributeValue);                        }                    }                    // code below shows how to get a certificate                    byte[] fileContents = (byte[])(resultEntry.Attributes["userCertificate"].GetValues(typeof(byte[]))[0]);                    Console.WriteLine(Convert.ToBase64String(fileContents));                }

Recommended

Рекомендательное письмо / letter of recomendation
Рекомендательное письмо / letter of recomendationРекомендательное письмо / letter of recomendation
Рекомендательное письмо / letter of recomendation
Игорь Немков
 
PPT MULTIKULTURAL.pptx
PPT MULTIKULTURAL.pptxPPT MULTIKULTURAL.pptx
PPT MULTIKULTURAL.pptx
MhdTaajuddin
 
about cryptography
about cryptographyabout cryptography
about cryptography
S N M P Simamora
 
Konsep dasar desain pembelajaran
Konsep dasar desain pembelajaranKonsep dasar desain pembelajaran
Konsep dasar desain pembelajaranrofieamirasyka
 
Aliran Progresivisme
Aliran ProgresivismeAliran Progresivisme
Aliran Progresivisme
karangtalok
 
Diagram kerangka pikir doc3(1)
Diagram kerangka pikir doc3(1)Diagram kerangka pikir doc3(1)
Diagram kerangka pikir doc3(1)Royadi Nusa
 
SOP bidang kerjasama
SOP bidang kerjasamaSOP bidang kerjasama
SOP bidang kerjasama
FKIP UHO
 
Firewall di linux dengan snort
Firewall di linux dengan snortFirewall di linux dengan snort
Firewall di linux dengan snort
edhylarasuli
 

Recommended

Рекомендательное письмо / letter of recomendation
Рекомендательное письмо / letter of recomendationРекомендательное письмо / letter of recomendation
Рекомендательное письмо / letter of recomendation
Игорь Немков
 
PPT MULTIKULTURAL.pptx
PPT MULTIKULTURAL.pptxPPT MULTIKULTURAL.pptx
PPT MULTIKULTURAL.pptx
MhdTaajuddin
 
about cryptography
about cryptographyabout cryptography
about cryptography
S N M P Simamora
 
Konsep dasar desain pembelajaran
Konsep dasar desain pembelajaranKonsep dasar desain pembelajaran
Konsep dasar desain pembelajaranrofieamirasyka
 
Aliran Progresivisme
Aliran ProgresivismeAliran Progresivisme
Aliran Progresivisme
karangtalok
 
Diagram kerangka pikir doc3(1)
Diagram kerangka pikir doc3(1)Diagram kerangka pikir doc3(1)
Diagram kerangka pikir doc3(1)Royadi Nusa
 
SOP bidang kerjasama
SOP bidang kerjasamaSOP bidang kerjasama
SOP bidang kerjasama
FKIP UHO
 
Firewall di linux dengan snort
Firewall di linux dengan snortFirewall di linux dengan snort
Firewall di linux dengan snort
edhylarasuli
 
Landasan teoritis pendidikan (Landasan Pendidikan)
Landasan teoritis pendidikan (Landasan Pendidikan)Landasan teoritis pendidikan (Landasan Pendidikan)
Landasan teoritis pendidikan (Landasan Pendidikan)
Resti Amin
 
Standar isi,standar proses, dan standar kompetensi lulusan pada jenjang smp
Standar isi,standar proses, dan standar kompetensi lulusan pada jenjang smpStandar isi,standar proses, dan standar kompetensi lulusan pada jenjang smp
Standar isi,standar proses, dan standar kompetensi lulusan pada jenjang smp
NYAK MAULANA
 
Pengertian, Peran dan Fungsi Kurikulum (Makalah Pengembangan Kurikulum)
Pengertian, Peran dan Fungsi Kurikulum (Makalah Pengembangan Kurikulum)Pengertian, Peran dan Fungsi Kurikulum (Makalah Pengembangan Kurikulum)
Pengertian, Peran dan Fungsi Kurikulum (Makalah Pengembangan Kurikulum)
Mayawi Karim
 
Konsep dasar pengajaran mikro
Konsep dasar pengajaran mikroKonsep dasar pengajaran mikro
Konsep dasar pengajaran mikro
Bu Ila
 
Makalah konsep pembelajaran
Makalah konsep pembelajaranMakalah konsep pembelajaran
Makalah konsep pembelajaranOperator Warnet Vast Raha
 
MATERI TOPIK 1 (2).pptx
MATERI TOPIK 1 (2).pptxMATERI TOPIK 1 (2).pptx
MATERI TOPIK 1 (2).pptx
patmi41
 
Network time protocol
Network time protocolNetwork time protocol
Network time protocolXyla Ramadhan
 
Ppt konsep dasar strategi pembelajaran dan teori belajar dalam
Ppt konsep dasar strategi pembelajaran dan teori belajar dalamPpt konsep dasar strategi pembelajaran dan teori belajar dalam
Ppt konsep dasar strategi pembelajaran dan teori belajar dalam
Ukhty Nicken
 
4.3 pendekatan, strategi, metode, dan teknik
4.3 pendekatan, strategi, metode, dan teknik4.3 pendekatan, strategi, metode, dan teknik
4.3 pendekatan, strategi, metode, dan teknik
Muhammad Munandar
 
Peraturan akademik-universitas-andalas 2005
Peraturan akademik-universitas-andalas 2005Peraturan akademik-universitas-andalas 2005
Peraturan akademik-universitas-andalas 2005
Iqbhal Wanahara
 
Pengembangan rpp
Pengembangan rppPengembangan rpp
Pengembangan rppAnwar Sanusi
 
1.01 dinul islam
1.01 dinul islam1.01 dinul islam
1.01 dinul islam
Muhammad Love Kian
 
Modul lingkungan sebagai media pembelajaran dikonversi
Modul lingkungan sebagai media pembelajaran dikonversiModul lingkungan sebagai media pembelajaran dikonversi
Modul lingkungan sebagai media pembelajaran dikonversi
NurAini292
 
Pendekatan dan Metode Pengembangan PKn
Pendekatan dan Metode Pengembangan PKnPendekatan dan Metode Pengembangan PKn
Pendekatan dan Metode Pengembangan PKnAndhika Pratama
 
PEDAGOGIK Olahraga.pptx
PEDAGOGIK Olahraga.pptxPEDAGOGIK Olahraga.pptx
PEDAGOGIK Olahraga.pptx
MuhamadIlham117454
 
Ppt pkn
Ppt pknPpt pkn
Ppt pknIzul_fitri
 
PENGANTAR SUPERVISI PENDIDIKAN.ppt
PENGANTAR SUPERVISI PENDIDIKAN.pptPENGANTAR SUPERVISI PENDIDIKAN.ppt
PENGANTAR SUPERVISI PENDIDIKAN.ppt
AnaMariAHeni1
 
Role playing
Role playingRole playing
Role playing
EDUCATIONAL TECHNOLOGY
 
Pendekatan pembelajaran dan model pembelajaran
Pendekatan pembelajaran dan model pembelajaranPendekatan pembelajaran dan model pembelajaran
Pendekatan pembelajaran dan model pembelajaran
Nuruddin Nzankie
 
Pengorganisasian supervisi akademik
Pengorganisasian supervisi akademikPengorganisasian supervisi akademik
Pengorganisasian supervisi akademikYoussii Ajaahh
 
Darbinieku karšu risinājums
Darbinieku karšu risinājumsDarbinieku karšu risinājums
Darbinieku karšu risinājumsMINT.LV Ltd.
 
06 employee cards
06 employee cards06 employee cards
06 employee cardsMINT.LV Ltd.
 

More Related Content

What's hot

Landasan teoritis pendidikan (Landasan Pendidikan)
Landasan teoritis pendidikan (Landasan Pendidikan)Landasan teoritis pendidikan (Landasan Pendidikan)
Landasan teoritis pendidikan (Landasan Pendidikan)
Resti Amin
 
Standar isi,standar proses, dan standar kompetensi lulusan pada jenjang smp
Standar isi,standar proses, dan standar kompetensi lulusan pada jenjang smpStandar isi,standar proses, dan standar kompetensi lulusan pada jenjang smp
Standar isi,standar proses, dan standar kompetensi lulusan pada jenjang smp
NYAK MAULANA
 
Pengertian, Peran dan Fungsi Kurikulum (Makalah Pengembangan Kurikulum)
Pengertian, Peran dan Fungsi Kurikulum (Makalah Pengembangan Kurikulum)Pengertian, Peran dan Fungsi Kurikulum (Makalah Pengembangan Kurikulum)
Pengertian, Peran dan Fungsi Kurikulum (Makalah Pengembangan Kurikulum)
Mayawi Karim
 
Konsep dasar pengajaran mikro
Konsep dasar pengajaran mikroKonsep dasar pengajaran mikro
Konsep dasar pengajaran mikro
Bu Ila
 
MATERI TOPIK 1 (2).pptx
MATERI TOPIK 1 (2).pptxMATERI TOPIK 1 (2).pptx
MATERI TOPIK 1 (2).pptx
patmi41
 
Network time protocol
Network time protocolNetwork time protocol
Network time protocolXyla Ramadhan
 
Ppt konsep dasar strategi pembelajaran dan teori belajar dalam
Ppt konsep dasar strategi pembelajaran dan teori belajar dalamPpt konsep dasar strategi pembelajaran dan teori belajar dalam
Ppt konsep dasar strategi pembelajaran dan teori belajar dalam
Ukhty Nicken
 
4.3 pendekatan, strategi, metode, dan teknik
4.3 pendekatan, strategi, metode, dan teknik4.3 pendekatan, strategi, metode, dan teknik
4.3 pendekatan, strategi, metode, dan teknik
Muhammad Munandar
 
Peraturan akademik-universitas-andalas 2005
Peraturan akademik-universitas-andalas 2005Peraturan akademik-universitas-andalas 2005
Peraturan akademik-universitas-andalas 2005
Iqbhal Wanahara
 
1.01 dinul islam
1.01 dinul islam1.01 dinul islam
1.01 dinul islam
Muhammad Love Kian
 
Modul lingkungan sebagai media pembelajaran dikonversi
Modul lingkungan sebagai media pembelajaran dikonversiModul lingkungan sebagai media pembelajaran dikonversi
Modul lingkungan sebagai media pembelajaran dikonversi
NurAini292
 
Pendekatan dan Metode Pengembangan PKn
Pendekatan dan Metode Pengembangan PKnPendekatan dan Metode Pengembangan PKn
Pendekatan dan Metode Pengembangan PKnAndhika Pratama
 
PEDAGOGIK Olahraga.pptx
PEDAGOGIK Olahraga.pptxPEDAGOGIK Olahraga.pptx
PEDAGOGIK Olahraga.pptx
MuhamadIlham117454
 
PENGANTAR SUPERVISI PENDIDIKAN.ppt
PENGANTAR SUPERVISI PENDIDIKAN.pptPENGANTAR SUPERVISI PENDIDIKAN.ppt
PENGANTAR SUPERVISI PENDIDIKAN.ppt
AnaMariAHeni1
 
Role playing
Role playingRole playing
Role playing
EDUCATIONAL TECHNOLOGY
 
Pendekatan pembelajaran dan model pembelajaran
Pendekatan pembelajaran dan model pembelajaranPendekatan pembelajaran dan model pembelajaran
Pendekatan pembelajaran dan model pembelajaran
Nuruddin Nzankie
 
Pengorganisasian supervisi akademik
Pengorganisasian supervisi akademikPengorganisasian supervisi akademik
Pengorganisasian supervisi akademikYoussii Ajaahh
 

What's hot (20)

Landasan teoritis pendidikan (Landasan Pendidikan)
Landasan teoritis pendidikan (Landasan Pendidikan)Landasan teoritis pendidikan (Landasan Pendidikan)
Landasan teoritis pendidikan (Landasan Pendidikan)
 
Standar isi,standar proses, dan standar kompetensi lulusan pada jenjang smp
Standar isi,standar proses, dan standar kompetensi lulusan pada jenjang smpStandar isi,standar proses, dan standar kompetensi lulusan pada jenjang smp
Standar isi,standar proses, dan standar kompetensi lulusan pada jenjang smp
 
Pengertian, Peran dan Fungsi Kurikulum (Makalah Pengembangan Kurikulum)
Pengertian, Peran dan Fungsi Kurikulum (Makalah Pengembangan Kurikulum)Pengertian, Peran dan Fungsi Kurikulum (Makalah Pengembangan Kurikulum)
Pengertian, Peran dan Fungsi Kurikulum (Makalah Pengembangan Kurikulum)
 
Konsep dasar pengajaran mikro
Konsep dasar pengajaran mikroKonsep dasar pengajaran mikro
Konsep dasar pengajaran mikro
 
Makalah konsep pembelajaran
Makalah konsep pembelajaranMakalah konsep pembelajaran
Makalah konsep pembelajaran
 
MATERI TOPIK 1 (2).pptx
MATERI TOPIK 1 (2).pptxMATERI TOPIK 1 (2).pptx
MATERI TOPIK 1 (2).pptx
 
Network time protocol
Network time protocolNetwork time protocol
Network time protocol
 
Ppt konsep dasar strategi pembelajaran dan teori belajar dalam
Ppt konsep dasar strategi pembelajaran dan teori belajar dalamPpt konsep dasar strategi pembelajaran dan teori belajar dalam
Ppt konsep dasar strategi pembelajaran dan teori belajar dalam
 
4.3 pendekatan, strategi, metode, dan teknik
4.3 pendekatan, strategi, metode, dan teknik4.3 pendekatan, strategi, metode, dan teknik
4.3 pendekatan, strategi, metode, dan teknik
 
Peraturan akademik-universitas-andalas 2005
Peraturan akademik-universitas-andalas 2005Peraturan akademik-universitas-andalas 2005
Peraturan akademik-universitas-andalas 2005
 
Pengembangan rpp
Pengembangan rppPengembangan rpp
Pengembangan rpp
 
1.01 dinul islam
1.01 dinul islam1.01 dinul islam
1.01 dinul islam
 
Modul lingkungan sebagai media pembelajaran dikonversi
Modul lingkungan sebagai media pembelajaran dikonversiModul lingkungan sebagai media pembelajaran dikonversi
Modul lingkungan sebagai media pembelajaran dikonversi
 
Pendekatan dan Metode Pengembangan PKn
Pendekatan dan Metode Pengembangan PKnPendekatan dan Metode Pengembangan PKn
Pendekatan dan Metode Pengembangan PKn
 
PEDAGOGIK Olahraga.pptx
PEDAGOGIK Olahraga.pptxPEDAGOGIK Olahraga.pptx
PEDAGOGIK Olahraga.pptx
 
Ppt pkn
Ppt pknPpt pkn
Ppt pkn
 
PENGANTAR SUPERVISI PENDIDIKAN.ppt
PENGANTAR SUPERVISI PENDIDIKAN.pptPENGANTAR SUPERVISI PENDIDIKAN.ppt
PENGANTAR SUPERVISI PENDIDIKAN.ppt
 
Role playing
Role playingRole playing
Role playing
 
Pendekatan pembelajaran dan model pembelajaran
Pendekatan pembelajaran dan model pembelajaranPendekatan pembelajaran dan model pembelajaran
Pendekatan pembelajaran dan model pembelajaran
 
Pengorganisasian supervisi akademik
Pengorganisasian supervisi akademikPengorganisasian supervisi akademik
Pengorganisasian supervisi akademik
 

More from MINT.LV Ltd.

Darbinieku karšu risinājums
Darbinieku karšu risinājumsDarbinieku karšu risinājums
Darbinieku karšu risinājumsMINT.LV Ltd.
 
Dokumentu masveida parakstīšanas iespējas serveru puses risinājumā
Dokumentu masveida parakstīšanas iespējas serveru puses risinājumāDokumentu masveida parakstīšanas iespējas serveru puses risinājumā
Dokumentu masveida parakstīšanas iespējas serveru puses risinājumāMINT.LV Ltd.
 
Sertifikātu autentifikācija
Sertifikātu autentifikācijaSertifikātu autentifikācija
Sertifikātu autentifikācijaMINT.LV Ltd.
 
E-doc un tā integrācija dokumentu vadības sistēmās
E-doc un tā integrācija dokumentu vadības sistēmāsE-doc un tā integrācija dokumentu vadības sistēmās
E-doc un tā integrācija dokumentu vadības sistēmāsMINT.LV Ltd.
 
PKI pamatjēdzieni: kriptogrāfija, publiskās atslēgas, infrastruktūra, EDL
PKI pamatjēdzieni: kriptogrāfija, publiskās atslēgas, infrastruktūra, EDLPKI pamatjēdzieni: kriptogrāfija, publiskās atslēgas, infrastruktūra, EDL
PKI pamatjēdzieni: kriptogrāfija, publiskās atslēgas, infrastruktūra, EDLMINT.LV Ltd.
 
17.06.10. semināra programma un ievads
17.06.10. semināra programma un ievads17.06.10. semināra programma un ievads
17.06.10. semināra programma un ievadsMINT.LV Ltd.
 

More from MINT.LV Ltd. (7)

Darbinieku karšu risinājums
Darbinieku karšu risinājumsDarbinieku karšu risinājums
Darbinieku karšu risinājums
 
06 employee cards
06 employee cards06 employee cards
06 employee cards
 
Dokumentu masveida parakstīšanas iespējas serveru puses risinājumā
Dokumentu masveida parakstīšanas iespējas serveru puses risinājumāDokumentu masveida parakstīšanas iespējas serveru puses risinājumā
Dokumentu masveida parakstīšanas iespējas serveru puses risinājumā
 
Sertifikātu autentifikācija
Sertifikātu autentifikācijaSertifikātu autentifikācija
Sertifikātu autentifikācija
 
E-doc un tā integrācija dokumentu vadības sistēmās
E-doc un tā integrācija dokumentu vadības sistēmāsE-doc un tā integrācija dokumentu vadības sistēmās
E-doc un tā integrācija dokumentu vadības sistēmās
 
PKI pamatjēdzieni: kriptogrāfija, publiskās atslēgas, infrastruktūra, EDL
PKI pamatjēdzieni: kriptogrāfija, publiskās atslēgas, infrastruktūra, EDLPKI pamatjēdzieni: kriptogrāfija, publiskās atslēgas, infrastruktūra, EDL
PKI pamatjēdzieni: kriptogrāfija, publiskās atslēgas, infrastruktūra, EDL
 
17.06.10. semināra programma un ievads
17.06.10. semināra programma un ievads17.06.10. semināra programma un ievads
17.06.10. semināra programma un ievads
 

LVRTC publiskie servisi: CRL un OCSP, laika zīmogi, LDAP

  • 1. Elektroniskā paraksta integrācija informācijas sistēmāsPubliskie servisi izstrādātājiem
  • 2.
  • 3. OCSPLaika zīmogu serviss LDAP direktorijs
  • 4. Kopskats (parakstīšana, autentificēšana) eDokumenta nosūtīšana Parakstītājs Pārbaudītājs OCSP (over HTTP) TSP (over HTTPS) HTTP LDAP v3 LDAP v3 LDAP v3 HTTP Laika zīmogu serviss On-line statusa serviss CRL novietne AIA novietne Sertifikātu direktorijs LVRTC e-me
  • 5. Kopskats (šifrēšana) Šifrētās informācijas nosūtīšana Šifrētājs Saņēmējs OCSP (over HTTP) TSP (over HTTPS) HTTP LDAP v3 LDAP v3 LDAP v3 HTTP Laika zīmogu serviss On-line statusa serviss CRL novietne AIA novietne Sertifikātu direktorijs LVRTC e-me
  • 6. Sertifikāta uzticamības pārbaude Saknes sertifikātam jābūt uzticamam Pārbauda visu sertifikātu parakstus Izmanto info sertifikātā OCSP (over HTTP) TSP (over HTTPS) HTTP LDAP v3 LDAP v3 LDAP v3 HTTP Laika zīmogu serviss On-line statusa serviss CRL novietne AIA novietne Sertifikātu direktorijs LVRTC e-me
  • 7. Demo Sertifikāta ķēdes un derīguma termiņa pārbaude
  • 8. Sertifikāta ķēdes un aktivitātes pārbaude Statuss CRL sarakstos netiks pārbaudīts – tiks veidota tikai sertifikātu ķēde     private bool IsTrustedAndActive(X509Certificate2 subjectCertificate)        {            // build chain to validate all signatures in it            // (do not check statuses in this step)            X509Chain chain = new X509Chain();            chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;            bool chainBuilt = chain.Build(subjectCertificate);            if (chainBuilt)            {                // check if at the moment certificate is active (i.e., not                // before its actication date and not after its expiry date)                DateTime validationDateAndTime = DateTime.Now;                if (subjectCertificate.NotBefore <= validationDateAndTime &&                    subjectCertificate.NotAfter >= validationDateAndTime)                {                    return true;                }            }            return false;        } Pārbaudi veicam pēc pašreizējā datuma. Dokumentu pārbaudē, iespējams, jāveic pēc dokumenta parakstīšanas datuma
  • 9. Sertifikāta statusa publicēšana OCSP (over HTTP) TSP (over HTTPS) HTTP LDAP v3 LDAP v3 LDAP v3 HTTP Laika zīmogu serviss On-line statusa serviss CRL novietne AIA novietne Sertifikātu direktorijs LVRTC e-me
  • 10. OCSP 3. Pārbauda OCSP atbildes parakstu un OCSP sertifikāta derīgumu (AIA, CRL, paraksta pārbaude) 2. Saņem OCSP atbildi 1. Pieprasa 1 – N sertifikātu statusa informāciju Pārbaudītājs Atbildes statuss Masīvs no: OCSP paraksts Masīvs no: Statuss Izdevēja ID Detaļas Sertifikāta ID Sertifikāta ID OCSP (over HTTP) On-line statusa serviss
  • 11. Demo Sertifikāta statusa pārbaude (CRL, OCSP)
  • 12. Sertifikāta statusa pārbaude CRL Statuss CRL sarakstos tiek pārbaudīts, izmantojot kešotos CRL sarakstus klienta datorā (ja tādi ir)             X509Chain chain = new X509Chain();            chain.ChainPolicy.RevocationMode = X509RevocationMode.Offline;            bool chainBuiltAndStatusesOK = chain.Build(subjectCertificate); Ja mainīgā vērtība True, tad pārbaude veiksmīga un statusi visas ķēdes sertifikātiem ir OK
  • 13. Sertifikāta statusa pārbaude OCSP Cert ir X509Certificate2 klases instance, kas satur pārbaudāmo sertifikātu                     // validate certificate using OCSP                OcspClient ocspClient = new OcspClient(new Uri("https://ocsp.eme.lv/responder.eme"));                ocspClient.Verify = true;                OcspRequest ocspRequest = new OcspRequest();                ocspRequest.Certs.Add(                    MakeCertID(cert)                    );                OcspResponse ocspResponse = ocspClient.QueryOcspServer(ocspRequest);                if (ocspResponse.Status == OcspResponseType.Good &&                     ocspResponse.Certs[0].RevocationStatus.Status == CertificateStatusType.Good)                {                    certificateOk = true;                }                else                {                    certificateOk = false;                } Prasījām statusu tikai par vienu sertifikātu – tāpēc varam pārbaudīt tikai pirmo atbildi         private CertID MakeCertID(X509Certificate2 subjectCertificate) // helpsbuildcertidneededbyfindingissuer        {            X509Chain chain = new X509Chain();            chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;            bool chainBuilt = chain.Build(subjectCertificate);            X509Certificate2 issuerCertificate = null;            foreach (var chainElement in chain.ChainElements)            {                if (chainElement.Certificate.Subject == subjectCertificate.Issuer)                    issuerCertificate = chainElement.Certificate;            }            return new CertID(issuerCertificate, new CertificateSerialNumber(subjectCertificate.SerialNumber.Replace("-", "")),  ObjectId.Sha1);        }
  • 14. Laika zīmogu serviss 3. Pārbauda TSA atbildes parakstu un TSA sertifikāta derīgumu (AIA, CRL/OCSP, paraksta pārbaude) 2. Saņem TSA atbildi 1. Autentificējas, pieprasa laika zīmogu Parakstītājs Atbildes statuss TSA paraksts {TSA sertifikāts} Dokumenta hash Dokumenta hash Datums un laiks TSP (over HTTPS) Laika zīmogu serviss
  • 15. Demo Laika zīmoga pieprasīšana
  • 16. Laika zīmoga pieprasīšana Palīgmetode lūdz lietotājam izvēlēties klienta autentifikācijas sertifikātu                 TsaClient client = new TsaClient(new Uri("https://tsa.eme.lv/responder.eme"));                X509Certificate2 authCertificate = GetCertificate();                if (authCertificate != null)                {                    client.ClientCert = authCertificate;                    TsaRequest request = new TsaRequest();                    request.CertificateRequired = true;                    request.Imprint = new TsaMessageImprint(new SHA1Managed().ComputeHash(signature));                    TsaResponse response = client.QueryTsaServer(request);                    if ((response.ResponseType == TsaResponseType.Granted || response.ResponseType == TsaResponseType.GrantedWithMods))                    {                        timestampTextBox.Text = string.Format("Timestamp issued. Time = {0}", response.SignedData.Time.ToString());                    }                    else                    {                        timestampTextBox.Text = string.Format("TsaResponseType = {0}, TsaFailureType = {1}",  response.ResponseType.ToString(), response.FailureType.ToString());                    }                } Atbildē pieprasām iekļaut TSA sertifikātu     Paraksts, kuru zīmogosim (baitu masīvs, kas izveidots, parakstot)
  • 17. Sertifikātu meklēšana direktorijā 3. Nolasa nepieciešamos atribūtus (sertifikātu) un šifrē nosūtāmo ziņojumu 2. Saņem LDAP atbildi 1. Nosūta meklēšanas pieprasījumu Šifrētājs Saraksts ar atrastajiem elementiem Base: c=lv Query: (&(givenName=Aldis) (sn=Viļums)) Attributes: Nolasāmo atribūtu saraksts LDAP v3 Sertifikātu direktorijs
  • 18. Sertifikātu direktorija struktūra C = LV O = E-ME OU = Sertifikācijas pakalpojumu daļa CN = E-ME PSI (PCA) LDAP objektu klase inetOrgPerson CN = E-ME SI (CA1) UID=<sertifkāta seriālais #> UID=<sertifkāta seriālais #> CN = E-ME SSI (RCA)
  • 21. Informācijas meklēšana LDAP                     LdapDirectoryIdentifier ldapId = new LdapDirectoryIdentifier("eme.lv", false, false);                SearchRequest searchRequest = new SearchRequest(                    "c=lv", // base path to search from                     "(&(givenName=Janis)(sn=Berzins))", // filter string to search for entries having name Janis and surname Berzins                    System.DirectoryServices.Protocols.SearchScope.Subtree, // search in the whole subtree under c=lv                    "cn", "givenName", "sn", "serialNumber", "uid", "mail", "o", "ou", "userCertificate" // get these attributes                    );                                LdapConnection ldapConn = new LdapConnection(ldapId, null, AuthType.Anonymous); // use anonymous connection                ldapConn.SessionOptions.ProtocolVersion = 3;                                SearchResponse response = (SearchResponse)ldapConn.SendRequest(searchRequest);                foreach (SearchResultEntry resultEntry in response.Entries)                {                    Console.WriteLine("  {0}", resultEntry.DistinguishedName);                    // print out basic information                    foreach (string attributeName in resultEntry.Attributes.AttributeNames)                    {                        if (resultEntry.Attributes[attributeName].Count > 0)                        {                            string attributeValue = (string)(resultEntry.Attributes[attributeName].GetValues(typeof(string))[0]);                            if (attributeName.ToLowerInvariant() != "usercertificate")                                Console.WriteLine("    {0}: {1}", attributeName, attributeValue);                        }                    }                    // code below shows how to get a certificate                    byte[] fileContents = (byte[])(resultEntry.Attributes["userCertificate"].GetValues(typeof(byte[]))[0]);                    Console.WriteLine(Convert.ToBase64String(fileContents));                }