en:esya:sertifika:dogrulama-politikası
Farklar
Bu sayfanın seçili sürümü ile mevcut sürümü arasındaki farkları gösterir.
|
en:esya:sertifika:dogrulama-politikası [2013/07/29 12:16] Dindar Öz created |
en:esya:sertifika:dogrulama-politikası [2013/08/28 11:02] (mevcut) Dindar Öz |
||
|---|---|---|---|
| Satır 1: | Satır 1: | ||
| - | ===== Sertifika Doğrulama Politika Dosyası ===== | + | ===== Certificate Validation Policy ===== |
| - | İndirdiğiniz kütüphane ile birlikte gelen politika dosyası, bir sertifika doğrulamanın başarılı sayılabilmesi için gerekli yeterliliği sağlamaktadır. Değiştirilme ihtiyacının duyulabileceği iki ayar olabilir. | + | The certificate validation policy file coming the downloaded api, provides standard controls for a certificate |
| - | Örnek olarak verilen politika dosyası sadece sertifika deposu ile çalışmaktadır. Sertifika deposunda ise sadece kanuni geçerliliği olan kök sertifikalar bulunmaktadır. Dolayısıyla test sistemi ile çalışmak için test sisteminin köklerinin de kütüphaneye güvenilir kök olarak gösterilmesi gerekmektedir. Bunun için Politikanın Çalışma Zamanında Düzenlenmesi bölümüne bakabilirsiniz. | + | to be considered as valid. It uses only the certificates store as the source of trusted certificates. The certificate store contains legally valid root certificates. Therefore, in order to work with test certificates |
| + | you have to define the root of the test certificates as trusted in the certificate validation policy file. You can see section Configuring The Policy at Run-time. | ||
| - | Politika dosyasında yapılacak bir diğer düzenleme, sertifika iptal kontrollerinde ÇİSDUP veya SİL kullanılmasının ayarlanmasıdır. Bir sertifikanın doğrulanması sırasında sertifika zincirinin tamamının doğrulanması gerekmektedir. Zincirdeki bütün sertifikalar için ÇİSDUP desteği verilmeyebilir. Örneğin KamuSM sisteminde alt kökler için ÇİSDUP hizmeti verilmemektedir. Dolayısıyla sadece ÇİSDUP kullanarak bir sertifikayı doğrulamak mümkün değildir. Bu durumda ÇİSDUP öncelikli SİL ve ÇİSDUP'un bulunduğu konfigürasyon veya sadece SİL ile çalışan konfigürasyon yaratılabilir. | + | You can also specify the method of revocation control, via either OCSP or CRL. Validation of a certificate requires validation of the all certificates on the certificate chain. Not all of the certificates on the chain |
| + | is available for OCSP query. So it is not possible to validate a certificate using only OCSP queries. By configuring the validation policy properly, validation operation first tries OCSP and if it is not available then tries CRL control for the certificate revocation check. In this case, the method that must be performed first must be placed before the other in the policy file. | ||
| - | Politika dosyasında ÇİSDUP veya SİL'den hangisine öncelik verilmesi isteniyorsa, o sınıf üste yazılmalıdır. | + | ==== Configuring The Policy at Run-time ==== |
| - | ==== Politikanın Çalışma Zamanında Düzenlenmesi ==== | + | The policy file can be edited after read from the file system. For example, the code below, demonstrates how to add TrustedCertificateFinderFromFileSystem to the validation policy at run-time. |
| - | Politika dosyası, dosyadan okunduktan sonra çalışma zamanında düzenlenebilir. Aşağıdaki kod parçası klasörden güvenilir sertifikaları gösteren TrustedCertificateFinderFromFileSystem sınıfını çalışma zamanında eklemektedir. | ||
| <sxh java; title: Java> | <sxh java; title: Java> | ||
| Satır 30: | Satır 31: | ||
| </sxh> | </sxh> | ||
| - | ==== Poltika Dosyası Elemanları ==== | + | ==== Policy File Elements ==== |
| - | Politika dosyasında tanımlanan sınıflar aşağıdaki tablolarda listelenmiştir. | + | The classes that can be included in the policy file are listed in the table below. In this table, the character "*" in the section where possible values for a paramater are listed denotes the default value. The symbol [O] denotes that the parameter is optional. The XML tags next to each header shows the place where the classes under that header should be in the policy file. |
| - | Bu tablolardaki gösterimde; | + | ==== Tablo 1 ESYA API Checker List ==== |
| - | Parametrenin alabileceği değerlerin listelendiği yerde * ile belirtilen değer parametrenin varsayılan değeridir | + | ^ TRUSTED CERTIFICATE CHECKERS ''<policy><validate><certificate><trustedcertificate>'' |||| |
| + | | ''CertificateDateChecker'' || Validates that the validity period in the certificate covers the validation time. || | ||
| + | | ''SelfSignatureChecker'' || Validates that the signature in the certificate is created by the public key in the certificate. || | ||
| + | ^ CERTIFICATE SELF CHECKERS ''<policy><validate><certificate><self>'' |||| | ||
| + | | ''CertificateDateChecker'' || Validates that the validity period in the certificate covers the validation time. || | ||
| + | | ''CertificateExtensionChecker'' || Validates that the extension information in the certificate is compatible with RFC 5280. || | ||
| + | | ''PositiveSerialNumberChecker'' || Validates that the certificate serial number is positive integer. || | ||
| + | | ''SignatureAlgConsistencyChecker'' || Validates thet the signature algorithms in the certificate are matching. || | ||
| + | | ''VersionChecker'' || Validates that the version information in the certificate is compatible with RFC 5280. || | ||
| + | | ''QualifiedCertificateChecker'' || Validates that the certificate has qualified certificate properties. || | ||
| + | | | Parameters| statementoids | Given oids is required in the certificate. In some cases multiple oids are required. You can combine multiple oids with AND or OR relation. Different oids are used in differnet countries. In such cases, oids are combined with OR relation. ( i.e. "(0.4.0.1862.1.1 AND 2.16.792.1.61.0.1.5070.1.1) OR (4.3.2.1 AND 1.2.3.4)") | | ||
| + | ^ CERTIFICATE CHAIN CHECKERS ''<policy><validate><certificate><issuer>'' |||| | ||
| + | | ''BasicConstraintCAChecker'' || Validates that the basic constraints extension in the issuer certificate is compatible with RFC 5280. || | ||
| + | | ''CertificateKeyUsageChecker'' ||Validates that the key usage extension in the issuer certificate is compatible with RFC 5280. || | ||
| + | | ''CertificateNameChecker'' || Validates that the issuer information in the certificate is matching with the subject information in the issuer certificate. || | ||
| + | | ''CertificateSignatureChecker'' || Validates that the signature in the certificate is created by the issuer certificate by cryptographic verification. || | ||
| + | | ''KeyIdentifierChecker'' || Validates that the authority key identifier extension in the certificate is matching with the subject key identifier extension in the issuer certificate. || | ||
| + | | ''NameConstraintsChecker'' || Validates that the relation between subject information in the certificate and the name constraints extension in the issuer certificate is compatible with RFC 5280. || | ||
| + | | ''PathLenConstraintChecker'' || Validates that the path length constraints extension in the issuer certificate is compatible with RFC 5280. || | ||
| + | | ''PolicyConstraintsChecker'' ||Validates that the policy constraints extension in the issuer certificate is compatible with RFC 5280. || | ||
| + | ^ CERTIFICATE REVOCATION CHECKERS ''<policy><validate><certificate><revocation>'' |||| | ||
| + | | ''RevocationFromCRLChecker'' || Performs revocation control of a certificate by looking at the corresponding CRL.|| | ||
| + | | | Parameters| cevrimdisicalis | [true,false*] \\ Indicates that the validation is performed offline. When specified as True, revocation checker return successful result iven if it can not find any crl. This parameter is defined in order to validate certificates in offline environments where online crls are not available. Must be used with care! | | ||
| + | | ::: | ::: | checkAllCRLs | [true,false*] \\ Normally, it is enough to check one valid CRL for the revocation control of a certificate from a crl. In some cases, user may want to check all crls that can be found by the finders. If so, this parameter must be set to true. | | ||
| + | | ::: | ::: | devam | [true,false*] \\ If it is true, then the validation process continues to the next crl even if the control for the current crl completed successfully. | | ||
| + | | ''RevocationFromOCSPChecker'' || || | ||
| + | | | Parameters| devam | [true,false*] \\ If it is true, then the validation process continues to the next ocsp response even if the control for the current ocsp response completed successfully. | | ||
| + | ^ CRL SELF CHECKERS ''<policy><validate><crl><crlself>'' |||| | ||
| + | | ''CRLDateChecker'' || Validates that the validity period in the crl covers the validation time. || | ||
| + | | ''CRLExtensionChecker'' || Validates that the extension information in the crl is compatible with RFC 5280. || | ||
| + | ^ CRL CHAIN CHECKERS ''<policy><validate><crl><crlissuer>'' |||| | ||
| + | | ''CRLKeyUsageChecker'' || Validates that the key usage extension in the issuer crl certificate is compatible with RFC 5280. || | ||
| + | | ''CRLSignatureChecker'' || Validates that the signature in the crl is created by the crl issuer certificate by cryptographic verification. || | ||
| + | ^ DELTA CRL CHECKERS ''<policy><validate><deltacrl>'' |||| | ||
| + | | ''FreshestCRLChecker'' || Validates that the freshest crl extension in the delta crl is compatible with RFC 5280. || | ||
| + | | ''DeltaCRLIndicatorChecker'' || Validates that the delta crl indicator extension in the delta crl is compatible with RFC 5280. || | ||
| + | ^ OCSP RESPONSE CHECKERS ''<policy><validate><ocsp>'' |||| | ||
| + | | ''SigningCertificateChecker'' || Validates the ocsp response signing certificate. || | ||
| + | | ''OCSPSignatureChecker'' || Validates that the signature in the ocsp response is created by the oscp issuer certificate by cryptographic verification. || | ||
| + | | ''ResponseStatusChecker'' || Validates that the response status information in the ocsp response is valid. || | ||
| + | | ''OCSPResponseDateChecker'' ||Validates that the validity period in the ocsp response covers the validation time. || | ||
| - | [O] değeri ile belirtilen parametre opsiyonel parametre anlamına gelir. | + | ==== Tablo 2 ESYA API Matcher List ==== |
| - | + | ||
| - | Başlığın yanındaki XML tagları, o başlık altında yer alan sınıfların, politika dosyasında hangi XML tag değerinin altında listelenmesi gerektiğini (yani politika dosyasındaki yerini) belirtir. | + | |
| - | + | ||
| - | ==== Tablo 1 ESYA API Kontrolcü ( Checker) Listesi ==== | + | |
| - | + | ||
| - | ^ GÜVENİLİR SERTİFİKA YAPISAL KONTROLCÜLER ''<policy><validate><certificate><trustedcertificate>'' |||| | + | |
| - | | ''CertificateDateChecker'' || Sertifika üzerinde yer alan geçerlilik zaman aralığının, doğrulama zamanını kapsaması kuralını doğrular. || | + | |
| - | | ''SelfSignatureChecker'' || Sertifika üzerindeki imzayı, sertifikanın açık anahtarı ile kriptografik olarak doğrular. || | + | |
| - | ^ SERTİFİKA YAPISAL KONTROLCÜLER ''<policy><validate><certificate><self>'' |||| | + | |
| - | | ''CertificateDateChecker'' || Sertifika üzerinde yer alan geçerlilik zaman aralığının, doğrulama zamanını kapsaması kuralını doğrular. || | + | |
| - | | ''CertificateExtensionChecker'' || Sertifika üzerinde yer alan eklenti bilgilerinin RFC 5280 uyumluluğunu kontrol eder. || | + | |
| - | | ''PositiveSerialNumberChecker'' || Sertifika seri numarasının pozitif bir tamsayı olması kuralını doğrular. || | + | |
| - | | ''SignatureAlgConsistencyChecker'' || Sertifika üzerinde yer alan İmza Algoritması bilgilerinin uyuşması kuralını doğrular. || | + | |
| - | | ''VersionChecker'' || Sertifika versiyon bilgisinin RFC 5280 uyumluluğunu kontrol eder. || | + | |
| - | | ''QualifiedCertificateChecker'' || Sertifikanın nitelik kontrolü yapılır. || | + | |
| - | | | Parametreler | statementoids | Verilen OID'lere göre sertifikanın nitelik kontrolleri yapılır. Bazı nitelikli sertifika kontrollerinde iki tane OID kontrol edilmek istenebilir. Bu gibi durumlarda AND ile OID'ler birleştirilebilir. Değişik ülkeler değişik OID'ler kullanabilmektedir. Bu tür durumlar için de OID'ler OR ile ayrılabilir.\\ Örn: "(0.4.0.1862.1.1 AND 2.16.792.1.61.0.1.5070.1.1) OR (4.3.2.1 AND 1.2.3.4)" | | + | |
| - | ^ SERTİFİKA ZİNCİR KONTROLCÜLERİ ''<policy><validate><certificate><issuer>'' |||| | + | |
| - | | ''BasicConstraintCAChecker'' || Yayıncı Sertifikası üzerindeki Temel Kısıtlamalar (BasicConstraints) eklentisinin RFC 5280 uyumluluğunu kontol eder. || | + | |
| - | | ''CertificateKeyUsageChecker'' ||Yayıncı Sertifikası üzerindeki Anahtar Kullanımı (KeyUsage) eklentisinin RFC 5280 uyumluluğunu kontol eder. || | + | |
| - | | ''CertificateNameChecker'' || Sertifika üzerindeki yayıncı özne adı (issuer) alanı ile yayıncı sertifikası üzerindeki özne adı (subject ) alanlarının eşleşmesi kuralını doğrular. || | + | |
| - | | ''CertificateSignatureChecker'' || Sertifika üzerindeki imzayı yayıncı sertifikasının açık anahtarı ile kriptografik olarak doğrular. || | + | |
| - | | ''KeyIdentifierChecker'' || Sertifika üzerindeki Yetkili Anahtar Tanımlayıcısı (AuthorityKeyIdentifier) eklentisi ile yayıncı sertifikası üzerinde yer alan Özne Anahtar Tanımlayıcısı (SubjectKeyIdentifier) eklentilerin uyumluluğunu kontrol eder. || | + | |
| - | | ''NameConstraintsChecker'' || Sertifikanın özne adının yayıncı sertifikasında (varsa) yer alan İsim Kısıtlamaları (NameConstraints) arasındaki ilişkinin RFC 5280 uyumluluğunu kontrol eder. || | + | |
| - | | ''PathLenConstraintChecker'' || Yayıncı Sertifikası üzerindeki Yol Uzunluğu Kısıtlamaları (PathLengthConstraints) eklentisinin RFC 5280 uyumluluğunu kontrol eder. || | + | |
| - | | ''PolicyConstraintsChecker'' || Yayıncı Sertifikası üzerindeki Politika Kısıtlamaları (PolicyConstraints) eklentisinin RFC 5280 uyumluluğunu kontrol eder. || | + | |
| - | ^ SERTİFİKA İPTAL KONTROLCÜLERİ ''<policy><validate><certificate><revocation>'' |||| | + | |
| - | | ''RevocationFromCRLChecker'' || SİL'e bakarak sertifikanın iptal durumunu kontrol eder.|| | + | |
| - | | | Parametreler | cevrimdisicalis | [true,false*] \\ Bu parametre doğrulamanın çevrimdışı olarak yürütüleceğini belirtir. True olarak tanımlanmışsa iptal kontrolcü hiçbir SİL bulamasa bile iptal kontrolünü başarılı olarak sonlandırır. Çevrimdışı ortamlarda SİL'e ulaşılamadığında bile sertifika doğrulamanın gerçekleşebilmesi için tanımlanmıştır. Dikkatli kullanılmalıdır! | | + | |
| - | | ::: | ::: | checkAllCRLs | [true,false*] \\ Doğrulama sırasında normal olarak bir adet geçerli SİL kontrolü iptal kontrolünün tamamlanması için yeterlidir. Ancak bazı durumlarda kullanıcılar politika tanımlı bütün SİL bulucuların getirdikleri SİL'lere bakılmasını isteyebilirler. Bu durumda bu değer true yapılmalıdır. | | + | |
| - | | ::: | ::: | devam | [true,false*] \\ Doğrulama sırasında normal olarak bir adet iptal kontrolcünün başarılı sonuçlanması iptal kontrolünün tamamlanması için yeterlidir. Ancak kullanıcılar daha güvenli olması amacıyla bir iptal kontrolü başarılı sonuçlansa bile diğer iptal kontrolcülerin kontrolüne devam etmesini isteyebilirler. Bu durumda bu parametre true yapılmalıdır. | | + | |
| - | | ''RevocationFromOCSPChecker'' || || | + | |
| - | | | Parametreler | devam | [true,false*] \\ Doğrulama sırasında normal olarak bir adet iptal kontrolcünün başarılı sonuçlanması iptal kontrolünün tamamlanması için yeterlidir. Ancak kullanıcılar daha güvenli olması amacıyla bir iptal kontrolü başarılı sonuçlansa bile diğer iptal kontrolcülerin kontrolüne devam etmesini isteyebilirler. Bu durumda bu parametre true yapılmalıdır. | | + | |
| - | ^ SİL YAPISAL KONTROLCÜLER ''<policy><validate><crl><crlself>'' |||| | + | |
| - | | ''CRLDateChecker'' || SİL üzerinde yer alan geçerlilik zaman aralığının, doğrulama zamanını kapsaması kuralını doğrular. || | + | |
| - | | ''CRLExtensionChecker'' || SİL üzerinde yer alan eklenti bilgilerinin RFC 5280 uyumluluğunu kontrol eder. || | + | |
| - | ^ SİL ZİNCİR KONTROLCÜLERİ ''<policy><validate><crl><crlissuer>'' |||| | + | |
| - | | ''CRLKeyUsageChecker'' || Yayıncı Sertifikası üzerindeki Anahtar Kullanımı (KeyUsage) eklentisinin RFC 5280 uyumluluğunu kontol eder. || | + | |
| - | | ''CRLSignatureChecker'' || SİL üzerindeki imzayı yayıncı sertifikasının açık anahtarı ile kriptografik olarak doğrular. || | + | |
| - | ^ DELTA SİL KONTROLCÜLERİ ''<policy><validate><deltacrl>'' |||| | + | |
| - | | ''FreshestCRLChecker'' || Delta SİL üzerindeki En Güncel SİL (FreshestCRL) eklentisinin RFC 5280 uyumluluğunu kontol eder. || | + | |
| - | | ''DeltaCRLIndicatorChecker'' || Delta SİL üzerindeki Delta SİL Belirteci (DeltaCRLIndicator) eklentisinin RFC 5280 uyumluluğunu kontol eder. || | + | |
| - | ^ OCSP CEVABI KONTROLCÜLERİ ''<policy><validate><ocsp>'' |||| | + | |
| - | | ''SigningCertificateChecker'' || OCSP cevabını imzalayan yayıncı sertifikasını doğrular. || | + | |
| - | | ''OCSPSignatureChecker'' || OCSP cevabı üzerindeki imzayı yayıncı sertifikasının açık anahtarı ile kriptografik olarak doğrular. || | + | |
| - | | ''ResponseStatusChecker'' || OCSP cevabı üzerindeki cevap durumu alanının geçerliliğini doğrular. || | + | |
| - | | ''OCSPResponseDateChecker'' || OCSP üzerinde yer alan geçerlilik zaman aralığının doğrulama zamanını kapsaması kuralını doğrular. || | + | |
| - | ==== Tablo 2 Esya API Eşleştirici (Matcher) Listesi ==== | + | ^ CERTIFICATE MATCHERS ''<policy><match><certificate>'' || |
| + | | ''IssuerSubjectMatcher'' | Matches the issuer info in the certificate with the subject info in the issuer certificate. | | ||
| + | ^ CRL MATCHERS ''<policy><match><certificate>'' || | ||
| + | | ''CRLDistributionPointMatcher'' | Matches the CRL Distribution Points (CDP) extension in the certificate and the Issuing Distribution Point (IDP) extension in the CRL. | | ||
| + | | ''CRLDistributionPointOnlyContainsMatcher'' | Matches "onlyContains" feautres in the Issuing Distribution Point (IDP) extension in the CRL and Basic Constraints extension in the certificate. | | ||
| + | | ''CRLIssuerMatcher'' | Matches the issuer info in the CRL and the issuer info in the certificate. | | ||
| + | | ''CRLKeyIDMatcher'' | Matches the authority key identifier extension in the crl and the authority key identifier extension in the certificate. | | ||
| + | ^ Delta CRL MATCHERS''<policy><match><certificate>'' || | ||
| + | | ''BaseCRLNumberMatcher'' | Matches the Base CRL Number extension in the delta crl with the CRL Number extension in the crl. | | ||
| + | | ''CRLNumberMatcher'' | Matches the CRL Number extension in the delta crl with the CRL Number extension in the crl, by checking the former is greater than the latter. | | ||
| + | | ''DeltaCRLIssuerMatcher'' | Matches the issuer information in the delta crl with the issuer information in the base crl. | | ||
| + | | ''ScopeMatcher'' | Matches the Issuing Distribution Point extension in the delta crl with the Issuing Distribution Point extension in the vase crl. | | ||
| + | ^ OCSP RESPONSE MATCHERS ''<policy><match><ocsp>'' || | ||
| + | | ''CertIDOCSPResponseMatcher'' | Matches the certificate with the ocsp response by looking at the Cert ID field in the ocsp response. | | ||
| + | ^ CROSS CERTIFICATE MATCHERS ''<policy><match><crosscertificate>'' || | ||
| + | | ''PublicKeyMatcher'' | Matches the public key in the issuer certificate with the public key in the cross certificate. | | ||
| + | | ''SKIMatcher'' | Matches the Subject Key Identifier extension in the issuer certificate with the Subject Key Identifier extension in the cross certificate. | | ||
| + | | ''SubjectMatcher'' | Matches the subject information in the issuer certificate with the subject information in the cross certificate. | | ||
| + | ==== Table 3 Esya API Finder List ==== | ||
| - | ^ SERTİFİKA EŞLEŞTİRİCİLER ''<policy><match><certificate>'' || | + | ^ TRUSTED CERTFICATE FINDERS<policy> ''<find><trustedcertificate>'' |||| |
| - | | ''IssuerSubjectMatcher'' | Sertifika üzerindeki yayıncı özne adı (issuer) alanı ile yayıncı sertifikası üzerindeki özne adı (subject ) alanlarını eşleştirir. | | + | | ''TrustedCertificateFinderFromECertStore'' || Finds the issuer certificates stored in the local certificate store.|| |
| - | ^ SİL EŞLEŞTİRİCİLER ''<policy><match><certificate>'' || | + | | | Parameters| securitylevel| [PERSONAL*, ORGANIZATIONAL, LEGAL]\\ Specifies the trust level of the found certificates. For personally defined certificates PERSONAL is used. ORGANIZATIONAL is used for trusting the certificates defined by the organization. LEGAL is used when only legally trusted certificates are trusted. | |
| - | | ''CRLDistributionPointMatcher'' | Sertifika üzerindeki SİL Dağıtım Noktaları (CRLDistributionPoints) eklentisinin üzerindeki bilgi ile SİL üzerindeki (varsa) Yayıncı Dağıtım Noktası (IssuingDistributionPoint) eklentisine bakarak SİL ile sertifikayı eşleştirir. | | + | | ::: | ::: | storepath [O] | Specifies the location of the certificate store in the file system. | |
| - | | ''CRLDistributionPointOnlyContainsMatcher'' | SİL üzerindeki Yayıncı Dağıtım Noktası (Issuing Distribution Point) eklentisindeki onlyContains özellikleri ile Sertifika üzerindeki Temel Kısıtlamalar (BasicConstraint) eklentisine bakarak SİL ile sertifikayı eşleştirir | | + | | ''TrustedCertificateFinderFromFileSystem'' || Finds the issuer certificates in a folder in the file system. |
| - | | ''CRLIssuerMatcher'' | SİL üzerindeki yayıncı adı (issuer) alanı ile Sertifika üzerindeki yayıncı adı (issuer) alanına bakarak SİL ile sertifikayı eşleştirir. | | + | || |
| - | | ''CRLKeyIDMatcher'' | SİL üzerindeki Yetkili Anahtar Tanımlayıcısı (AuthorityKeyIdentifier) eklentisi ile Sertifika üzerindeki Yetkili Anahtar Tanımlayıcısı (AuthorityKeyIdentifier) eklentisine bakarak SİL ile sertifikayı eşleştirir. | | + | | | Parameters| dizin | Folder address | |
| - | ^ Delta SİL EŞLEŞTİRİCİLER ''<policy><match><certificate>'' || | + | | ''TrustedCertificateFinderFromXml'' || Finds issuer certificates in an XML file at the given URL. || |
| - | | ''BaseCRLNumberMatcher'' | Delta SİL üzerindeki Temel SİL Numarası (BaseCRLNumber) eklentisi ile temel SİL üzerindeki SİL Numarası (CRLNumber) eklentisine bakarak temel SİL ile delta SİL'i eşleştirir. | | + | | | Parameters| storepath [O] | URL address | |
| - | | ''CRLNumberMatcher'' | Delta SİL üzerindeki SİL Numarası (CRLNumber) eklentisi üzerindeki SİL numarasının temel SİL üzerindeki SİL Numarası (CRLNumber) eklentisi üzerindeki SİL Numarasından büyük olduğunu doğrulayarak temel SİL ile delta SİL'i eşleştirir. | | + | ^ CERTIFICATE FINDERS ''<policy><find><certificate>'' |||| |
| - | | ''DeltaCRLIssuerMatcher'' | Delta SİL üzerindeki yayıncı adı (issuer) alanı ile temel SİL üzerindeki yayıncı adı (issuer) alanına bakarak temel SİL ile delta SİL'i eşleştirir. | | + | | ''CertificateFinderFromECertStore'' || Finds the certificates stored in the local certificate store || |
| - | | ''ScopeMatcher'' | Delta SİL üzerindeki Yayıncı Dağıtım Noktası (IssuingDistributionPoint) eklentisi ile temel SİL üzerindeki Yayıncı Dağıtım Noktası (IssuingDistributionPoint) eklentisine bakarak temel SİL ile delta SİL'i eşleştirir. | | + | | | Parameters| storepath [0] | Specifies the location of the certificate store in the file system. | |
| - | ^ OCSP CEVABI EŞLEŞTİRİCİLER ''<policy><match><ocsp>'' || | + | | ''CertificateFinderFromFile'' || Finds the certificate in the file system. || |
| - | | ''CertIDOCSPResponseMatcher'' | OCSP cevabı üzerindeki Sertifika Tanımlayıcısı (CertID) alanına bakarak sertifika ile OCSP cevabını eşleştirir. | | + | | | Parameters| dosyayolu | File address | |
| - | ^ ÇAPRAZ SERTİFİKA EŞLEŞTİRİCİLER ''<policy><match><crosscertificate>'' || | + | | ''CertificateFinderFromXml'' || Finds the certificate in an XML file at the given URL. || |
| - | | ''PublicKeyMatcher'' | Yayıncı sertifikasındaki açık anahtar ile Çapraz sertifika üzerindeki açık anahtarı eşleştirir. | | + | | | Parameters| storepath [O] | URL address | |
| - | | ''SKIMatcher'' | Yayıncı sertifikasındaki Özne Anahtar Tanımlayıcısı(SubjectKeyIdentifier) ile Çapraz sertifika üzerindeki Özne Anahtar Tanımlayıcısını(SubjectKeyIdentifier) eşleştirir. | | + | | ''CertificateFinderFromHTTP'' || Finds the issuer certificate by looking at the HTTP address in the Authority Info Access extension in the certificate. || |
| - | | ''SubjectMatcher'' | Yayıncı sertifikasındaki özne adı (subject) alanı ile Çapraz sertifika üzerindeki özne adı (subject) alanını eşleştirir. | | + | | ''CertificateFinderFromLDAP'' || Finds the issuer certificate by looking at the LDAP address in the Authority Info Access extension in the certificate. || |
| - | ==== Tablo 3 Esya API Bulucu (Finder) listesi ==== | + | ^ CRL FINDERS ''<policy><validate><certificate><revocation><find>'' |||| |
| + | | ''CRLFinderFromECertStore'' || Finds the crls stored in the local certificate store. || | ||
| + | | | Parameters| storepath [0] | Specifies the location of the certificate store in the file system. | | ||
| + | | ::: | ::: | getactivecrl | [true,false*] \\ For the certificate validation bo be more certain, the crls that are published after the validation time must be used. But in some cases, the new crl to be published may not be waited. In such cases, this parameter must be set to true. | | ||
| + | | ''CRLFinderFromFile'' || Finds the crl in the file system. || | ||
| + | | | Parameters| dosyayolu | File address | | ||
| + | | ''CRLFinderFromHTTP'' || Finds the crl by looking at the HTTP address in the CRL Distribution Points extension in the certificate. || | ||
| + | | ''CRLFinderFromLDAP'' || Finds the crl by looking at the LDAP address in the CRL Distribution Points extension in the certificate. || | ||
| + | ^ OCSP RESPONSE FINDERS ''<policy><validate><certificate><revocation><find>'' |||| | ||
| + | | ''OCSPResponseFinderFromECertStore'' || Finds the ocsp reponses stored in the local certificate store. || | ||
| + | | | Parameters| storepath [0] | Specifies the location of the certificate store in the file system. | | ||
| + | | ''OCSPResponseFinderFromAIA'' || Finds the crl by looking at the OCSP server address in the Authority Information Access extension in the certificate. || | ||
| + | ^ DELTA CRL FINDERS ''<find><deltacrl>'' |||| | ||
| + | | ''DeltaCRLFinderFromECertStore'' || Finds the delta crls stored in the local certificate store. || | ||
| + | | | Parameters| storepath [0] | Specifies the location of the certificate store in the file system. | | ||
| + | | ''DeltaCRLFinderFromFile'' || Finds the delta crl in the file system. || | ||
| + | | | Parameters| dosyayolu | File address | | ||
| + | ^ CROSS CERTIFICATE FINDERS ''<find><crosscertificate>'' |||| | ||
| + | | ''CrossCertificateFinderFromECertStore'' || Finds the delta crls stored in the local certificate store. || | ||
| + | | | Parameters| storepath [0] | Specifies the location of the certificate store in the file system. | | ||
| + | | ''CrossCertificateFinderFromFile'' || Finds the cross certificates in the file system. || | ||
| + | | | Parameters | dosyayolu | File address | | ||
| - | ^ GÜVENİLİR SERTİFİKA BULUCULAR<policy> ''<find><trustedcertificate>'' |||| | + | ==== Tablo 4 Esya API Saver List ==== |
| - | | ''TrustedCertificateFinderFromECertStore'' || Yerel sertifika deposundaki yayıncı sertifikalarını getirir ve bu sertifikaları güvenilir kabul eder. || | + | |
| - | | | Parametreler | securitylevel| [PERSONAL*, ORGANIZATIONAL, LEGAL]\\ Depodan getirilecek sertifikaların güven seviyesini belirler. Kişisel sertifikalar için PERSONAL, kurumsal sertifikalar için ORGANIZATIONAL, kanuni sertifikalar için LEGAL olarak belirtilmelidir. | | + | |
| - | | ::: | ::: | storepath [O] | Yerel sertifika deposunun dosya sistemindeki yerini belirler. | | + | |
| - | | ''TrustedCertificateFinderFromFileSystem'' || Dosya sisteminde verilen dizin adresindeki yayıncı sertifikalarını getirir. Bu sertifikaları güvenilir kabul eder. || | + | |
| - | | | Parametreler | dizin | Dizin adresi | | + | |
| - | | ''TrustedCertificateFinderFromXml'' || Verilen URL adresindeki yayıncı sertifikalarını getirir. Bu sertifikaları güvenilir kabul eder. || | + | |
| - | | | Parametreler | storepath [O] | URL adresi | | + | |
| - | ^ SERTİFİKA BULUCULAR ''<policy><find><certificate>'' |||| | + | |
| - | | ''CertificateFinderFromECertStore'' || Yerel sertifika deposundaki sertifikaları getirir. || | + | |
| - | | | Parametreler | storepath [0] | Yerel sertifika deposunun dosya sistemindeki yerini belirler. | | + | |
| - | | ''CertificateFinderFromFile'' || Dosya sisteminde verilen dosya adresindeki sertifikaları getirir. || | + | |
| - | | | Parametreler | dosyayolu | Dosya adresi | | + | |
| - | | ''CertificateFinderFromXml'' || Verilen URL adresindeki sertifikalarını getirir. || | + | |
| - | | | Parametreler | storepath [O] | URL adresi | | + | |
| - | | ''CertificateFinderFromHTTP'' || Sertifika üzerinde yer alan Yetkili Erişim Bilgileri (AuthorityInfoAccess) eklentisindeki HTTP adresinden yayıncı sertifikasını getirir. || | + | |
| - | | ''CertificateFinderFromLDAP'' || Sertifika üzerinde yer alan Yetkili Erişim Bilgileri (AuthorityInfoAccess) eklentisindeki LDAP adresinden yayıncı sertifikasını getirir. || | + | |
| - | ^ SİL BULUCULAR ''<policy><validate><certificate><revocation><find>'' |||| | + | |
| - | | ''CRLFinderFromECertStore'' || Yerel sertifika deposundaki SİL'leri getirir. || | + | |
| - | | | Parametreler | storepath [0] | Yerel sertifika deposunun dosya sistemindeki yerini belirler. | | + | |
| - | | ::: | ::: | getactivecrl | [true,false*] \\ Sertifika doğrulamanın kesin bir şekilde yapılması için sertifika doğrulamanın yapıldığı tarihten sonra yayınlanan SİL kullanılmaktadır. Yalnız yeni yayınlanacak SİL beklenmek istenmeyebilir ve yayında olan SİL kullanılmak istenebilir. Bu durumda getactivecrl parametresi için true verilmelidir. | | + | |
| - | | ''CRLFinderFromFile'' || Dosya sisteminde verilen dosya adresindeki SİL'leri getirir. || | + | |
| - | | | Parametreler | dosyayolu | Dosya adresi | | + | |
| - | | ''CRLFinderFromHTTP'' || Sertifika üzerinde yeralan SİL Dağıtım Noktaları(CRLDistributionPoints) eklentisindeki HTTP adresinden SİL'i getirir. || | + | |
| - | | ''CRLFinderFromLDAP'' || Sertifika üzerinde yeralan SİL Dağıtım Noktaları(CRLDistributionPoints) eklentisindeki LDAP adresinden yayıncı sertifikasını getirir. || | + | |
| - | ^ OCSP CEVABI BULUCULAR ''<policy><validate><certificate><revocation><find>'' |||| | + | |
| - | | ''OCSPResponseFinderFromECertStore'' || Yerel sertifika deposundaki kayıtlı OCSP Cevaplarını getirir. || | + | |
| - | | | Parametreler | storepath [0] | Yerel sertifika deposunun dosya sistemindeki yerini belirler. | | + | |
| - | | ''OCSPResponseFinderFromAIA'' || Sertifika üzerinde yeralan Yetkili Erişim Bilgileri (AuthorityInfoAccess) eklentisindeki OCSP adresine OCSP sorgusu yaparak OCSP cevabı getirir. || | + | |
| - | ^ DELTA SİL BULUCULAR ''<find><deltacrl>'' |||| | + | |
| - | | ''DeltaCRLFinderFromECertStore'' || Yerel sertifika deposundaki Delta SİL'leri getirir. || | + | |
| - | | | Parametreler | storepath [0] | Yerel sertifika deposunun dosya sistemindeki yerini belirler. | | + | |
| - | | ''DeltaCRLFinderFromFile'' || Dosya sisteminde verilen dosya adresindeki Delta SİL'leri getirir. || | + | |
| - | | | Parametreler | dosyayolu | Dosya adresi | | + | |
| - | ^ ÇAPRAZ SERTİFİKA BULUCULAR ''<find><crosscertificate>'' |||| | + | |
| - | | ''CrossCertificateFinderFromECertStore'' || Yerel sertifika deposundaki çapraz sertifikaları getirir. || | + | |
| - | | | Parametreler | storepath [0] | Yerel sertifika deposunun dosya sistemindeki yerini belirler. | | + | |
| - | | ''CrossCertificateFinderFromFile'' || Dosya sisteminde verilen dosya adresindeki çapraz sertifikaları getirir. || | + | |
| - | | | Parametreler | dosyayolu | Dosya adresi | | + | |
| - | ==== Tablo 4 Esya API Kaydedici (Saver) Listesi ==== | + | |
| - | ^ KAYDEDİCİLER ''<policy><save>'' |||| | + | ^ SAVERS''<policy><save>'' |||| |
| - | | ''CertStoreCertificateSaver'' || Sertifika doğrulama sırasında bulunan ve doğrulanan sertifikaları yerel sertifika deposuna kaydeder. || | + | | ''CertStoreCertificateSaver'' || Saves the certificates found during the validation into the local certificate store. || |
| - | | | Parametreler | storepath [O] | Yerel sertifika deposunun dosya sistemindeki yerini belirler. | | + | | | Parameters| storepath [O] | Specifies the location of the certificate store in the file system. | |
| - | | ''CertStoreCRLSaver'' || Sertifika doğrulama sırasında uzaktan(LDAP, http vb.) bulunan SİL'leri yerel sertifika deposuna kaydeder. || | + | | ''CertStoreCRLSaver'' || Saves the crls found during the validation into the local certificate store. || |
| - | | | Parametreler | storepath [O] | Yerel sertifika deposunun dosya sistemindeki yerini belirler. | | + | | | Parameters| storepath [O] | Specifies the location of the certificate store in the file system. | |
| - | | ''CertStoreOCSPResponseSaver'' || Sertifika doğrulama sırasında uzaktan(LDAP, http vb.) bulunan OCSP'leri yerel sertifika deposuna kaydeder. || | + | | ''CertStoreOCSPResponseSaver'' || Saves the ocsp responses found during the validation into the local certificate store. || |
| - | | | Parametreler |storepath [O] | Yerel sertifika deposunun dosya sistemindeki yerini belirler. | | + | | | Parameters|storepath [O] | Specifies the location of the certificate store in the file system. | |
en/esya/sertifika/dogrulama-politikası.1375100210.txt.gz · Son değiştirilme: 2013/07/29 12:16 Değiştiren: Dindar Öz
Aksi belirtilmediği halde, bu wikinin içeriğinin telif hakları şu lisans ile korunmaktadır: CC Attribution-Share Alike 3.0 Unported
