В рамках процесса проверки подлинности сертификата получатель сертификата удостоверения проверяет несколько полей сертификата.
Проверка сертификатаСертификат удостоверения является действительным, если он соответствует ряду условий:
Сертификат действителен по времени.
Сертификат не был отозван или изменен.
Сертификат выдан для той цели, для которой он используется.
Поле Subject Alternative Name сертификата соответствует значению Full Qualified Domain Name входящего подключения.
Сертификат является доверенным, то есть он был проверен с помощью доверенных сертификатов CA.
|
У принтера PRISMAsync есть один сертификат удостоверения для проверки подлинности PRISMAsync Print Server. Этот сертификат удостоверения был создан, подписан и выдан центром CA. Администратор системы создает в Settings Editor запрос сертификата для центра CA, называемый также Certificate Signing Request (CSR). При создании CSR также создаются закрытый и открытый ключи, относящиеся к сертификату удостоверения. Открытый ключ отправляется вместе с запросом, а закрытый ключ надежно хранится в PRISMAsync Print Server. Администратор системы передает сертификат удостоверения PRISMAsync Print Server в Settings Editor.  ПРИМЕЧАНИЕ
Для нужд организации можно настроить корневой CA или промежуточный CA. |
|
В процессе работы PRISMAsync Print Server проверка подлинности с помощью сертификата выполняется в двух местах.
|
По запросу другой стороны PRISMAsync Print Server отправляет свой сертификат удостоверения. Сертификат удостоверения PRISMAsync Print Server действителен для проверки подлинности клиента, сервера или того и другого.
Проверка подлинности сервера имеет место, когда выполняется проверка подлинности сертификата удостоверения PRISMAsync Print Server и PRISMAsync Print Server выступает в роли сервера. Например, когда браузер пытается подключиться к Settings Editor или службе PRISMAsync Remote Manager через HTTPS.
Проверка сертификатаПроверка подлинности клиента имеет место, когда выполняется проверка подлинности сертификата удостоверения PRISMAsync Print Server и PRISMAsync Print Server выступает в роли клиента. Например, когда PRISMAsync Print Server пытается подключиться к почтовому серверу через TLS.
Проверка сертификатаPRISMAsync Print Server отправляет другой стороне запрос о проверке подлинности. Затем PRISMAsync Print Server проверяет подлинность полученного сертификата удостоверения. Для этого PRISMAsync Print Server использует сертификат CA, сохраненный в списке доверенных сертификатов PRISMAsync Print Server.
Проверка сертификатаВзаимная проверка подлинности имеет место, когда PRISMAsync Print Server и другая сторона обмениваются своими сертификатами удостоверения и проверяют их подлинность.
|
PRISMAsync Print Server применяет взаимную проверку подлинности для подключения IPsec на основе сертификата. |
Проверка сертификатаДля проверки подлинности сертификата удостоверения необходимы все сертификаты CA, входящие в цепочку сертификатов.
Пример.
На следующей схеме показано, как проверяется цепочка сертификатов.
Проверка сертификатаPRISMAsync Print Server считывает поле органа, выдавшего документ сертификата удостоверения сервера, и проверяет, находится ли орган, выдавший документ, в списке доверенных сертификатов PRISMAsync Print Server. Если орган, выдавший документ, находится в списке, PRISMAsync Print Server проверяет подпись сертификата удостоверения сервера с помощью открытого ключа CA.
Сертификат CA выдается корневым центром CA. Таким образом, этот сертификат CA является промежуточным сертификатом. Затем PRISMAsync Print Server проверяет, находится ли корневой центр CA в списке. Если корневой центр CA находится в списке, PRISMAsync Print Server проверяет подпись сертификата CA с помощью открытого ключа корневого центра CA.
Корневой сертификат CA выдается самим корневым центром CA. Подпись корневого сертификата CA можно проверить с помощью открытого ключа корневого центра CA.
Если доказано, что все центры CA являются доверенными, сертификат удостоверения сервера будет считаться доверенным.
|
Такие браузеры, как Chrome, Firefox, Safari и Internet Explorer, включают в себя набор предварительно установленных сертификатов CA для проверки сертификатов удостоверения веб-серверов, таких как PRISMAsync Print Server. PRISMAsync Print Server хранит сертификаты CA другой стороны в списке доверенных сертификатов. |