Bu sayfanın seçili sürümü ile mevcut sürümü arasındaki farkları gösterir.
esya:sertifika:sertifika-dogrulama-aracları [2013/08/27 11:27] Beytullah Yiğit [Sertifikalar] |
esya:sertifika:sertifika-dogrulama-aracları [2013/08/27 12:20] (mevcut) Beytullah Yiğit [Sertifika Zinciri Doğrulama] |
||
---|---|---|---|
Satır 11: | Satır 11: | ||
===== Çevrimiçi Sertifika Durum Protokolü (ÇİSDUP) ===== | ===== Çevrimiçi Sertifika Durum Protokolü (ÇİSDUP) ===== | ||
- | RFC 2560'da FIXME Link olarak yazılabilir FIXME tanımlı protokole uygun olarak bir veya daha fazla sertifikanın iptal durumunun bir sunucu vasıtasıyla çevrimiçi olarak sorgulanması yöntemidir. İngilizce kısaltmasıyla (OCSP) daha yaygın bilinen bu yöntemde, temel olarak bir OCSP sorgusuna karşın sunucunun cevap olarak gönderdiği bir OCSP cevabı söz konusudur. Bu cevapta sertifikanın geçerlilik durumu yeralmaktadır. Bu sorgu geçerlilik süresi dolmuş sertifikalar için yapılamaz. Protokolün detayları ilgili RFC'de yer almaktadır. | + | [[http://tools.ietf.org/html/rfc2560.html|RFC 2560'da]] tanımlı protokole uygun olarak bir veya daha fazla sertifikanın iptal durumunun bir sunucu vasıtasıyla çevrimiçi olarak sorgulanması yöntemidir. İngilizce kısaltmasıyla (OCSP) daha yaygın bilinen bu yöntemde, temel olarak bir OCSP sorgusuna karşın sunucunun cevap olarak gönderdiği bir OCSP cevabı söz konusudur. Bu cevapta sertifikanın geçerlilik durumu yeralmaktadır. Bu sorgu geçerlilik süresi dolmuş sertifikalar için yapılamaz. Protokolün detayları ilgili RFC'de yer almaktadır. |
===== SİL Dosyaları ===== | ===== SİL Dosyaları ===== | ||
- | Yine X509 FIXME Link olarak yazılabilir FIXME standardında sertifika iptal bilgilerinin listelendiği SİL dosyalarının yapısal özellikleri detaylı olarak tanımlanmıştır. SİL dosyaları temel olarak iptal edilmiş sertifikaların listesi ve bu listenin SM tarafından ya da SM tarafından yetkilendirilmiş başka bir makam tarafından oluşturulmuş imzasından oluşur. Bu listede geçerlilik süresi dolmuş sertifikalar bulunmaz. Bir sertifikanın iptal durumu kontrol edilirken bir SİL'e başvurulduğunda öncelikle bu SİL'in de X509'a FIXME Link olarak yazılabilir FIXME uygunluğu ve geçerliliği kontrol edilmelidir. SİL için yapılması gereken bu kontroller bütününe de **SİL doğrulama** denilir. SİL dosyalarının yapısal detayları RFC 5280'de FIXME Link olarak yazılabilir FIXME yer almaktadır. | + | Yine [[http://en.wikipedia.org/wiki/X.509 | X509]] standardında sertifika iptal bilgilerinin listelendiği SİL dosyalarının yapısal özellikleri detaylı olarak tanımlanmıştır. SİL dosyaları temel olarak iptal edilmiş sertifikaların listesi ve bu listenin SM tarafından ya da SM tarafından yetkilendirilmiş başka bir makam tarafından oluşturulmuş imzasından oluşur. Bu listede geçerlilik süresi dolmuş sertifikalar bulunmaz. Bir sertifikanın iptal durumu kontrol edilirken bir SİL'e başvurulduğunda öncelikle bu SİL'in de [[http://en.wikipedia.org/wiki/X.509 | X509'a]] uygunluğu ve geçerliliği kontrol edilmelidir. SİL için yapılması gereken bu kontroller bütününe de **SİL doğrulama** denilir. SİL dosyalarının yapısal detayları [[http://tools.ietf.org/html/rfc5280.html | RFC 5280'de]] yer almaktadır. |
===== X509 Sertifika ve SİL Doğrulama ===== | ===== X509 Sertifika ve SİL Doğrulama ===== | ||
Satır 21: | Satır 21: | ||
Sertifika ve SİL doğrulama işlemi sertifikanın ya da SİL'in güvenilir bir yetkili makam sertifikasına kadar uzanan sertifika zincirinin oluşturulması (**path building** ) ve bu zincir üzerindeki bütün sertifikaların ve zincir ilişkisinin doğrulanmasından oluşan (**path validation**) iki alt kısımda incelenebilir. | Sertifika ve SİL doğrulama işlemi sertifikanın ya da SİL'in güvenilir bir yetkili makam sertifikasına kadar uzanan sertifika zincirinin oluşturulması (**path building** ) ve bu zincir üzerindeki bütün sertifikaların ve zincir ilişkisinin doğrulanmasından oluşan (**path validation**) iki alt kısımda incelenebilir. | ||
- | Zincir doğrulama işlemi, zincir üzerindeki sertifikaların doğrulanması (**yapısal doğrulama**) ve zincir ilişkisinin doğrulanması (**zincir doğrulama**) şeklinde iki temel bölümden oluşur. Yapısal doğrulamada sertifika veya SİL'in X509'da FIXME Link olarak yazılabilir FIXME belirtilen yapısal özellikler karşılayıp karşılamadığına bakılır. Başka bir ifadeyle Sertifika veya SİL'in üzerinde yer alan bilgilerin standarda uygunluğu ve standarda gore geçerliliği kontrol edilir. Örneğin sertifikada seri numarası alanının olup olmadığına ve bu alanın pozitif bir sayı olup olmadığına bakılır. Ya da bir sertifikanın üzerinde yazan, geçerlilik başlangıç ve bitiş tarihlerinin doğrulama zamanını kapsayıp kapsamadığı yapısal bir doğrulama adımıdır. | + | Zincir doğrulama işlemi, zincir üzerindeki sertifikaların doğrulanması (**yapısal doğrulama**) ve zincir ilişkisinin doğrulanması (**zincir doğrulama**) şeklinde iki temel bölümden oluşur. Yapısal doğrulamada sertifika veya SİL'in [[http://en.wikipedia.org/wiki/X.509 | X509'da]] belirtilen yapısal özellikler karşılayıp karşılamadığına bakılır. Başka bir ifadeyle Sertifika veya SİL'in üzerinde yer alan bilgilerin standarda uygunluğu ve standarda gore geçerliliği kontrol edilir. Örneğin sertifikada seri numarası alanının olup olmadığına ve bu alanın pozitif bir sayı olup olmadığına bakılır. Ya da bir sertifikanın üzerinde yazan, geçerlilik başlangıç ve bitiş tarihlerinin doğrulama zamanını kapsayıp kapsamadığı yapısal bir doğrulama adımıdır. |
- | Esya Sertifika Doğrulama Kütüphanesi yapısal doğrulama kapsamında RFC 5280'de FIXME Link olarak yazılabilir FIXME tanımlı bütün yapısal özellikleri kontrol eder. Zincir oluşturma algoritması olarak RFC 4158'de FIXME Link olarak yazılabilir FIXME tanımlı zincir oluşturma algoritmasını ve zincir doğrulama algoritması olarak yine RFC 5280'de FIXME Link olarak yazılabilir FIXME tanımlanmış zincir doğrulama algoritmasını gerçekler. | + | Esya Sertifika Doğrulama Kütüphanesi yapısal doğrulama kapsamında [[http://tools.ietf.org/html/rfc5280.html | RFC 5280'de]] tanımlı bütün yapısal özellikleri kontrol eder. Zincir oluşturma algoritması olarak [[http://tools.ietf.org/html/rfc4158.html |RFC 4158'de ]]tanımlı zincir oluşturma algoritmasını ve zincir doğrulama algoritması olarak yine [[http://tools.ietf.org/html/rfc5280.html | RFC 5280'de]] tanımlanmış zincir doğrulama algoritmasını gerçekler. |
==== Sertifika Zinciri Oluşturma ==== | ==== Sertifika Zinciri Oluşturma ==== | ||
- | Zincir oluşturma algoritması RFC 4158'de FIXME Link olarak yazılabilir FIXME detaylı bir şekilde anlatılmaktadır. Algoritma bir başlangıç sertifikasından başlayarak güvenilir bir kök sertifikaya ulaşıncaya kadar adım adım ilerleyerek bir sertifika zinciri oluşturur. Örneğin şekildeki gibi kurgulanmış bir sertifika ağacı olduğunu düşünelim. | + | Zincir oluşturma algoritması [[http://tools.ietf.org/html/rfc4158.html | RFC 4158'de]] detaylı bir şekilde anlatılmaktadır. Algoritma bir başlangıç sertifikasından başlayarak güvenilir bir kök sertifikaya ulaşıncaya kadar adım adım ilerleyerek bir sertifika zinciri oluşturur. Örneğin şekildeki gibi kurgulanmış bir sertifika ağacı olduğunu düşünelim. |
{{ :esya:sertifika:13.png |Şekil 13 Örnek Sertifika Ağacı}} | {{ :esya:sertifika:13.png |Şekil 13 Örnek Sertifika Ağacı}} | ||
Satır 42: | Satır 42: | ||
- | Şekilde yer alan //Sertifika İşleme ve Sonlandırma Kontrolleri// işlemlerinin detayları RFC 5280'de FIXME Link olarak yazılabilir FIXME verilmekte olup kısaca bir takım yapısal ve kriptografik kontrollerden oluştuğu söylenebilir. | + | Şekilde yer alan //Sertifika İşleme ve Sonlandırma Kontrolleri// işlemlerinin detayları [[http://tools.ietf.org/html/rfc5280.html | RFC 5280'de]] verilmekte olup kısaca bir takım yapısal ve kriptografik kontrollerden oluştuğu söylenebilir. |
SİL doğrulama işlemi sertifika doğrulama işlemi ile hemen hemen aynıdır. Aradaki tek fark sertifika doğrulamada oluşturulan zincirin ilk elemanı bir kullanıcı sertifikası iken SİL doğrulamada oluşturulan zincirin ilk elemanının bir SİL olmasıdır. Ve tabii ki SİL'in yapısal doğrulamasında sertifika yerine SİL'in yapısal özellikleri doğrulanmaktadır. Bunun dışında temel akış, sertifika doğrulama ile aynıdır. | SİL doğrulama işlemi sertifika doğrulama işlemi ile hemen hemen aynıdır. Aradaki tek fark sertifika doğrulamada oluşturulan zincirin ilk elemanı bir kullanıcı sertifikası iken SİL doğrulamada oluşturulan zincirin ilk elemanının bir SİL olmasıdır. Ve tabii ki SİL'in yapısal doğrulamasında sertifika yerine SİL'in yapısal özellikleri doğrulanmaktadır. Bunun dışında temel akış, sertifika doğrulama ile aynıdır. | ||