Здравствуйте. У меня есть следующий вопрос.
Можно ли каким либо способом заставить Microsoft CA работать с CSP отличным от стандартных CSPs (т.е. поддерживающим не стандартные новые алгоритмы)?
Мой вопрос продиктован следующим. Пока я не работаю с MS CA все хорошо. Но при работе с CA возникает такая ситуация. Формирую запрос на сертификат при помощи своего CSP и выгружаю его в PKCS10 файл (в нем все хорошо и OIDs мои и ALG_Ids и т.д.). Пытаюсь проверить его подпись при помощи certutil.exe. Эта утилита в свою очередь декодирует файл, вызывает в любом случае CryptVerifyCertificateSignature(0, …). А это влечет за собой вызов I_CryptGetDefaultCryptProv. Которая, в свою очередь, работает только с ограниченным числом алгоритмом, а именно 0x2200, 0x2400, 0xa400. Т.е. фактически не о какой расширяемости CSP для работы с MS CA, а следовательно и для работы со многими другими программами, говорить нельзя. Если я не прав поправти меня, то, может быть, подскажите, как обойти подобную ситуацию цивилизованными задокументированными методами.
На сколько я понимаю MS CA удовлетворяет стандартам rfc3280, rfc3279 и т.д. В которых есть перечень обязательных алгоритмов. Может быть, где-то есть официальная дока в которой сказано, что на перечне обязательных алгоритмов в MS и закончили?
Re: CSP и MS CA
От:
Аноним
Дата:
07.02.04 07:58
Оценка:
Здравствуйте, Аноним, Вы писали:
A>Т.е. фактически не о какой расширяемости CSP для работы с MS CA, а следовательно и для работы со многими другими программами, говорить нельзя
я может скажу не совсем в тему.
Но насколько я понял ты написал свой CSP? И установил его в винде (кстати на какой) ?
Мне просто непонятно как ты со своим CSP работаеш, напрямую ?
Потому как для нормальной работы с CSP через CryptoAPI, CSP должен быть подписан MS ?
И CA будет работать только через подписанные MS CSP. Кстати есть и сторонние CSP для работы и хранения сертификатов, но они обязатедбно подписаны MS.
Анонимом я был т.к. письма о регистрации не мог ни как дождаться
А>Но насколько я понял ты написал свой CSP? И установил его в винде (кстати на какой) ? А>Мне просто непонятно как ты со своим CSP работаеш, напрямую ? А>Потому как для нормальной работы с CSP через CryptoAPI, CSP должен быть подписан MS ? А>И CA будет работать только через подписанные MS CSP.
Ну у меня Windows 2000 Server
Использую я стандартный cspsdk заменяю advapi32.dll все подписываю и т.д. и т.п.
Это вопрос наверное не к вам, а к кому-нибудь из MS. Они то знают о чем я говорю и какие ф-ции имею в виду и поэтому молчат.
И работаю я совсем не на прямую и все там у меня подписано (т.е. так утверждают тулзы MS).
А> Кстати есть и сторонние CSP для работы и хранения сертификатов, но они обязатедбно подписаны MS.
Ну если вы о Крипто-Про, то попытайтесь дизасемблировать и посмотреть, что они делают. Я не считаю hook цивилизованным методом.
Re[3]: CSP и MS CA
От:
Аноним
Дата:
10.02.04 07:46
Оценка:
Здравствуйте, YPM, Вы писали:
Y>Это вопрос наверное не к вам, а к кому-нибудь из MS. Они то знают о чем я говорю и какие ф-ции имею в виду и поэтому молчат.
Не удивительно вряд ли они читают конференцию rsdn
Тогда тебе прямаю дорога на конференцию MS, там иногда хлопцы из MS умудряются нормально ответить, если задеть их профессиональную гордость
Успехов.
Re[3]: CSP и MS CA
От:
Аноним
Дата:
10.02.04 08:00
Оценка:
Здравствуйте, YPM, Вы писали:
Y>Использую я стандартный cspsdk заменяю advapi32.dll все подписываю и т.д. и т.п.
а причем здесь advapi32.dll
Y>И работаю я совсем не на прямую и все там у меня подписано (т.е. так утверждают тулзы MS).
Меня просто смущает фраза из твоего первого поста
Формирую запрос на сертификат при помощи своего CSP
Просто насколько я помню (уже давно разгребался с CSP) для написания крипто сервис провайдера, есть sdk, в котором для того чтобы можно отлаживать этот CSP стоят заглушки.
Но для нормальной работы CSP в системе Windows, CSP должен быть подписан, вот я и не понял как ты умудрился подписать свой CSP, т.к. это очень сложная и дорогостоящая процедура.
А>Но для нормальной работы CSP в системе Windows, CSP должен быть подписан, вот я и не понял как ты умудрился подписать свой CSP, т.к. это очень сложная и дорогостоящая процедура.
Абсолютно бесплатная процедура. Правда, с задержкой ответа 2-3 дня.
вряд ли они читают конференцию rsdn
