English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Certificate trong My Store & CRL  XML
  [Question]   Certificate trong My Store & CRL 03/07/2012 20:54:54 (+0700) | #1 | 266036
anhdet1989
Member
[Minus]    0    [Plus]
Joined: 25/11/2011 06:33:05
Messages: 12
Offline
[Profile] [PM]
Hi mn,

Vấn đề 1:
Khi issue 1 Certificate (cert) thì 1 cert sẽ được tạo trong My Store (Personal) và cert này có chứa private key; 1 cert sẽ được tạo trong LDAP (Active Directory User Object), cert này sẽ được synchronize với cert trên server và cert này chỉ chứa public key.
Nhưng khi em tiến hành các bước:
1. Delete cert trong My Store
2. Export cert từ LDAP.
3. Import cert ở step2 vào my store, refresh lại.
Kết quả:
Ở step3, khi import cert vào biểu tượng không có chìa khóa (không có private key). Nhưng sau khi refesh, cert có chứa private key (có biểu tượng khóa). Vậy private key ở đâu được gắn vào cert.

Vấn đề 2:
Khi revoke 1 cert trên server, ta có 2 mode để public CRL (Certificate Revocation List) là "new CRL" và "Delta CRL only". Em có tìm hiểu và được biết Delta CRL sẽ chỉ cập nhật danh sách các cert mới bị revoke, còn mode kia sẽ luôn cập nhật toàn bộ danh sách các cert bị revoke. Vậy em có tìm hiểu đúng không? Ai hiểu rõ có thể comment thêm kiến thức phần này giúp.

Vì tiếng anh lẫn kiến thức có còn yếu nên khi đọc tài liệu không hiểu được cặn kẽ. Mong mọi người giải đáp thắc mắc. Cảm ơn.
[Up] [Print Copy]
  [Question]   Certificate trong My Store & CRL 04/07/2012 08:36:40 (+0700) | #2 | 266078
anhdet1989
Member
[Minus]    0    [Plus]
Joined: 25/11/2011 06:33:05
Messages: 12
Offline
[Profile] [PM]
Mong mọi người giúp đỡ.
[Up] [Print Copy]
  [Question]   Certificate trong My Store & CRL 04/07/2012 09:03:21 (+0700) | #3 | 266080
anhdet1989
Member
[Minus]    0    [Plus]
Joined: 25/11/2011 06:33:05
Messages: 12
Offline
[Profile] [PM]
Hi anh TQN,

Thấy anh có vào topic này của em. Mong anh giúp đỡ.
[Up] [Print Copy]
  [Question]   Certificate trong My Store & CRL 04/07/2012 09:09:45 (+0700) | #4 | 266082
lovezee
Member
[Minus]    0    [Plus]
Joined: 21/04/2010 22:41:40
Messages: 20
Offline
[Profile] [PM]
Mình không rành về vấn đề này, vốn dĩ chỉ định đọc để học hỏi thôi nhưng cũng tò mò mún hỏi smilie.

Sau khi bạn refresh thì cert trong My Store có khoá, vậy khi đó cert bên LDAP có còn sychonize với nó không ?
[Up] [Print Copy]
  [Question]   Certificate trong My Store & CRL 04/07/2012 09:17:32 (+0700) | #5 | 266083
anhdet1989
Member
[Minus]    0    [Plus]
Joined: 25/11/2011 06:33:05
Messages: 12
Offline
[Profile] [PM]
Hi lovezee,

Cert trong LDAP chỉ synchronize với cert trên server. Nếu bạn có 1 server và đã cài đặt Certification Authority Service trên server này, bạn có thể issue 1 cert thì ở client sẽ có 2 cert được tạo ở My Store và LDAP như mình đã nói ở trên (Cụ thể bạn gõ run>certmgr.msc, bạn xem trong Personal và Active Directory User Object). Và bạn có thể thử các step của mình.
[Up] [Print Copy]
  [Question]   Certificate trong My Store & CRL 04/07/2012 12:40:18 (+0700) | #6 | 266114
Cuc.Sat
Member
[Minus]    0    [Plus]
Joined: 29/08/2011 04:32:50
Messages: 52
Offline
[Profile] [PM]
Theo em biết thì cert không chứa private key.
[Up] [Print Copy]
  [Question]   Certificate trong My Store & CRL 04/07/2012 12:59:06 (+0700) | #7 | 266117
anhdet1989
Member
[Minus]    0    [Plus]
Joined: 25/11/2011 06:33:05
Messages: 12
Offline
[Profile] [PM]
Hi Cuc.Sat,

Sau những step như mình nói thì cert đó chắc chắn chứa private key nhưng không hiểu key này ở đâu và được gắn vào cert như thế nào.
Mọi người có ghé vào topic này nếu biết được mong hãy comment giải thích giúp. Cảm ơn.
[Up] [Print Copy]
  [Question]   Certificate trong My Store & CRL 04/07/2012 14:13:28 (+0700) | #8 | 266119
Cuc.Sat
Member
[Minus]    0    [Plus]
Joined: 29/08/2011 04:32:50
Messages: 52
Offline
[Profile] [PM]
Certificate không chứa private key. Bác xem lại cấu trúc 1 certificate có những gì.
Certificate có cái chìa khoá trong Certificate Manager không thể hiện rằng cert đó chứa private key mà là trên local computer có cái private key ứng với cái public key chứa trong cert.
Bác chỉ delete cert mà không remove private key thì trên máy vẫn chứa private key.
Cái private key nằm trong User profile. Đường dẫn chính xác thế nào thì em không nhớ.
[Up] [Print Copy]
  [Question]   Certificate trong My Store & CRL 04/07/2012 21:24:57 (+0700) | #9 | 266152
anhdet1989
Member
[Minus]    0    [Plus]
Joined: 25/11/2011 06:33:05
Messages: 12
Offline
[Profile] [PM]
@Cuc.Sat:
- Thứ nhất: bạn nói certificate không chứa private key thì hoàn toàn không chính xác, bạn có thể search lại, bởi vì khi export cert trong My Store thì có 2 option có export kèm private key hay không.
- Thứ hai: cái icon chìa khoá bạn nói không thể hiện cert chứa private key lại không đúng vì mình dùng cert trong LDAP (cert này có chứa public key) để encrypt folder và cert trong My Store (cert này có chứa private key) để decrypt folder. Do có thể add user vào folder được encrypt nên mỗi người có 1 cert chứa private key sẽ có thể decrypt và access vào folder.

Hy vọng có người hiểu và giải thích cặn kẽ.
[Up] [Print Copy]
  [Question]   Certificate trong My Store & CRL 05/07/2012 13:57:13 (+0700) | #10 | 266215
Cuc.Sat
Member
[Minus]    0    [Plus]
Joined: 29/08/2011 04:32:50
Messages: 52
Offline
[Profile] [PM]
- Thứ nhất:
Em search lại và thấy cái này

Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1 (0x1)
Signature Algorithm: md5WithRSAEncryption
Issuer: C=FJ, ST=Fiji, L=Suva, O=SOPAC, OU=ICT, CN=SOPAC Root CA/Email=administrator@sopac.org
Validity
Not Before: Nov 20 05:47:44 2001 GMT
Not After : Nov 20 05:47:44 2002 GMT
Subject: C=FJ, ST=Fiji, L=Suva, O=SOPAC, OU=ICT, CN=www.sopac.org/Email=administrator@sopac.org
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:ba:54:2c:ab:88:74:aa:6b:35:a5:a9:c1:d0:5a:
9b:fb:6b:b5:71:bc:ef:d3:ab:15:cc:5b:75:73:36:
b8:01:d1:59:3f:c1:88:c0:33:91:04:f1:bf:1a:b4:
7a:c8:39:c2:89:1f:87:0f:91:19:81:09:46:0c:86:
08:d8:75:c4:6f:5a:98:4a:f9:f8:f7:38:24:fc:bd:
94:24:37:ab:f1:1c:d8:91:ee:fb:1b:9f:88:ba:25:
da:f6:21:7f:04:32:35:17:3d:36:1c:fb:b7:32:9e:
42:af:77:b6:25:1c:59:69:af:be:00:a1:f8:b0:1a:
6c:14:e2:ae:62:e7:6b:30:e9
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
FE:04:46:ED:A0:15:BE:C1:4B:59:03:F8:2D:0D:ED:2A:E0:ED:F9:2F
X509v3 Authority Key Identifier:
keyid:E6:12:7C:3D:A1:02:E5:BA:1FsmilieA:9E:37:BE:E3:45:3E:9B:AE:E5:A6
DirName:/C=FJ/ST=Fiji/L=Suva/O=SOPAC/OU=ICT/CN=SOPAC Root CA/Email=administrator@sopac.org
serial:00
Signature Algorithm: md5WithRSAEncryption
34:8d:fb:65:0b:85:5b:e2:44:09:f0:55:31:3b:29:2b:f4:fd:
aa:5f:db:b8:11:1a:c6:ab:33:67:59:c1:04:de:34:df:08:57:
2e:c6:60:dc:f7:d4:e2:f1:73:97:57:23:50:02:63:fc:78:96:
34:b3:ca:c4:1b:c5:4c:c8:16:69:bb:9c:4a:7e:00:19:48:62:
e2:51:ab:3a:fa:fd:88:cd:e0:9d:ef:67:50:da:fe:4b:13:c5:
0c:8c:fc:ad:6e:b5:ee:40:e3:fd:34:10:9f:ad:34:bd:db:06:
ed:09:3d:f2:a6:81:22:63:16:dc:ae:33:0c:70:fd:0a:6c:af:
bc:5a
-----BEGIN CERTIFICATE-----
MIIDoTCCAwqgAwIBAgIBATANBgkqhkiG9w0BAQQFADCBiTELMAkGA1UEBhMCRkox
DTALBgNVBAgTBEZpamkxDTALBgNVBAcTBFN1dmExDjAMBgNVBAoTBVNPUEFDMQww
CgYDVQQLEwNJQ1QxFjAUBgNVBAMTDVNPUEFDIFJvb3QgQ0ExJjAkBgkqhkiG9w0B
CQEWF2FkbWluaXN0cmF0b3JAc29wYWMub3JnMB4XDTAxMTEyMDA1NDc0NFoXDTAy
MTEyMDA1NDc0NFowgYkxCzAJBgNVBAYTAkZKMQ0wCwYDVQQIEwRGaWppMQ0wCwYD
VQQHEwRTdXZhMQ4wDAYDVQQKEwVTT1BBQzEMMAoGA1UECxMDSUNUMRYwFAYDVQQD
Ew13d3cuc29wYWMub3JnMSYwJAYJKoZIhvcNAQkBFhdhZG1pbmlzdHJhdG9yQHNv
cGFjLm9yZzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAulQsq4h0qms1panB
0Fqb+2u1cbzv06sVzFt1cza4AdFZP8GIwDORBPG/GrR6yDnCiR+HD5EZgQlGDIYI
2HXEb1qYSvn49zgk/L2UJDer8RzYke77G5+IuiXa9iF/BDI1Fz02HPu3Mp5Cr3e2
JRxZaa++AKH4sBpsFOKuYudrMOkCAwEAAaOCARUwggERMAkGA1UdEwQCMAAwLAYJ
YIZIAYb4QgENBB8WHU9wZW5TU0wgR2VuZXJhdGVkIENlcnRpZmljYXRlMB0GA1Ud
DgQWBBT+BEbtoBW+wUtZA/gtDe0q4O35LzCBtgYDVR0jBIGuMIGrgBTmEnw9oQLl
uh/anje+40U+m67lpqGBj6SBjDCBiTELMAkGA1UEBhMCRkoxDTALBgNVBAgTBEZp
amkxDTALBgNVBAcTBFN1dmExDjAMBgNVBAoTBVNPUEFDMQwwCgYDVQQLEwNJQ1Qx
FjAUBgNVBAMTDVNPUEFDIFJvb3QgQ0ExJjAkBgkqhkiG9w0BCQEWF2FkbWluaXN0
cmF0b3JAc29wYWMub3JnggEAMA0GCSqGSIb3DQEBBAUAA4GBADSN+2ULhVviRAnw
VTE7KSv0/apf27gRGsarM2dZwQTeNN8IVy7GYNz31OLxc5dXI1ACY/x4ljSzysQb
xUzIFmm7nEp+ABlIYuJRqzr6/YjN4J3vZ1Da/ksTxQyM/K1ute5A4/00EJ+tNL3b
Bu0JPfKmgSJjFtyuMwxw/Qpsr7xa
-----END CERTIFICATE-----
 

Em không thấy có cái private key ở đâu cả.
Cái Certificate làm gì cũng phải chìa cho người ta xem mà có chứa private key thì toi mất.


bạn nói certificate không chứa private key thì hoàn toàn không chính xác, bạn có thể search lại, bởi vì khi export cert trong My Store thì có 2 option có export kèm private key hay không.
 

Có lựa chọn đó thì cũng không mâu thuẫn gì với phát biểu cert không chứa private key cả vì private key được store ở chỗ khác.

Có lẽ bác đang tìm hiểu ứng dụng Certificate trong EFS của Windows, nhưng có vẻ bị misunderstand chỗ này.
Cert chứa trên AD và trong Personal\Certificates là một. Và Windows sử dụng public key để encrypt file chứ không phải dùng cert.
Private key mới là cái được dùng để giải mã và được store trên local computer. Đối với EFS sẽ lưu tại user profile, tại %appdata%\Microsoft\RSA

Bây giờ quay trở lại cái "thí nghiệm" của bác.
Ở bước 2, bác có chọn export private key và delete private key if the export is successful không ?

PS: Windows đã làm hết cho user nên có nhiều cái không thấy được. Bác tìm hiểu certificate với openssl xem.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|