ESYAE-imza Kütüphaneleri

Bu sayfa salt okunur. Kaynağı görebilirsiniz ama değiştiremezsiniz. Bunun yanlış olduğunu düşünüyorsanız yöneticiye danışın.

<h1>Certificate Validation API Components</h1> <div class="level1"> <p> ESYA Certificate Validation API uses <a href="/esya-api/doku.php?id=en:esya:sertifika:sertifika-dogrulama-araclar%C4%B1" class="wikilink1" title="en:esya:sertifika:sertifika-dogrulama-aracları">path building and path validation</a> algorithms. Briefly, when a certficate is to be validated, a certificate chain ending at a trusted root certificat is created first and then the chain is tried to be validated.Until a valid chain is found,these steps are repeated for all possible certificate chains. </p> <p> <a href="/esya-api/lib/exe/detail.php?id=en%3Aesya%3Asertifika%3Adogrulama-kutuphane&media=esya:sertifika:15.png" class="media" title="esya:sertifika:15.png"><img src="/esya-api/lib/exe/fetch.php?media=esya:sertifika:15.png" class="mediacenter" title="Figure 15 ESYA Certificate Validation API - Activity Diagram of Certificate Processing" alt="Figure 15 ESYA Certificate Validation API - Activity Diagram of Certificate Processing" /></a> </p> <p> ESYA Certificate validation API performs validation steps taking place in structural validation and chain validation within the certificate processing step. The details of the certificate processing can be seen in the figure above. </p> <p> Certificate Processing consists of some groups of validation steps which can be configured by the certificate validation policy file at run-time. The structure of the policy file takes place in <a href="/esya-api/doku.php?id=en:esya:sertifika:dogrulama-politikas%C4%B1" class="wikilink1" title="en:esya:sertifika:dogrulama-politikası">certificate validation policy</a> section. The validation steps are designed and organized to be atomic and for each atomic step a (Checker) class is defined. Checker classes , when performing the defined check operation, may need some resources like certificate, crl, or OCSP response which are found by Finder classes. The resources founded by Finders must be matched if they are the correct ones. For this purpose, Matcher classes are defined. The check operations to be performed (Checkers), the locations and methods for resources that are searched for (Finders) and the methods for resource matching (Matchers) are defined by the validation policy file at run-time. Upon validation, the policy file is read and the corresponding objects of Checker, Finder, Matcher classes are created. </p> </div> <h2>Checkers</h2> <div class="level2"> <p> Checker classes check the compatibility of the structural characteristics of the certificate and crls and the chain relation to the standards. The details of these classes are out of the scope of the document. Certificate validation policy files determines which checkers are used in validation. The check operations performed by the checkers and defined in RFC 5280 are organized as follows: </p> </div> <h3>Structural Control Operations</h3> <div class="level3"> <p> Structural Control Operations includes validity checks of the information taking place in the certificate or crl both structurally and contextually. These operations are: </p> <ul> <li class="level1"> Serial Numer Control : To check if the certificate serial number is a poisitive integer.</li> <li class="level2"> Certificate Date Control : To check if the validity period of the certificate covers the validation date.</li> <li class="level2"> Version Control : To check if the version information is valid.</li> <li class="level2"> Extension Control: To check if the extensions of the certificate are valid.</li> <li class="level2"> Signature Algorithm Control: To check if the signature algorithm defined in the certificate matches with the the one used in the signature of the certificate.</li> </ul> </div> <h3>Chain Relation Validation</h3> <div class="level3"> <p> Chain Relation Validation includes the controls validating the relation between the certificte or crl and the issuer certificate. </p> <ul> <li class="level1"> Name Control:To check if the issuer field of the certificate or the crl matches with the subject field of the issuer certificate.</li> <li class="level2"> Signature Control : To verify the signature in the certificate or the crl by using the public key of the iissuer certificate.</li> <li class="level2"> Basic Constraints Control : To check if the issuer certificate has Basic Constraints extension and this extension contains issuer flag as defined in RFC 5280. </li> <li class="level2"> Key Identifier Control : To check if the authority key identifier field extensionin the certificate or the crl matches with the subject key identifier extension in the issuer certificate.</li> <li class="level2"> Path Length Control:To check if the length of the certificate chain does not exceed the value taking place in the issuer certificate </li> <li class="level2"> Key Usage Control: To check if the key usage of the issuer certificate includes certificate signing usage.</li> </ul> </div> <h3>Revocation Controls</h3> <div class="level3"> <p> These controls are related with the revocation status of the certificate. </p> <ul> <li class="level1"> Revocation Control From CRL :To check revocation status of the certificate by using its CRL. </li> <li class="level2"> Revocation Control From OCSP :To check revocation status of the certificate by using its OCSP. </li> </ul> </div> <h3>Name Controls</h3> <div class="level3"> <p> The subject field of the certificate can only take certain values according to the rules included in the name constraints extension in the issuer certicate. These rules are denoted in RFC 5480 in detail. Name controls check if the certificate is compatible with these rules. </p> </div> <h3>Policy Controls</h3> <div class="level3"> <p> The policy information in the certificate can only take certain values according to the rules included in the policy constraints extension in the issuer certicate. These rules are denoted in RFC 5480 in detail. Policy controls check if the certificate is compatible with these rules. </p> <p> Th list of all checkers defined in ESYA Certificate Validation API is shown in <a href="/esya-api/doku.php?id=en:esya:sertifika:dogrulama-politikas%C4%B1" class="wikilink1" title="en:esya:sertifika:dogrulama-politikası"> Table 1</a> </p> </div> <h2>Finders</h2> <div class="level2"> <p> Kontrolcü sınıflar çalışırken bir takım dış verilere ihtiyaç duyabilirler. Bunlar SİL bilgisi , OCSP sorgusu ya da SM sertifikası olabilir. Yine zincir oluşturma sırasında SM sertifikalarının çeşitli yerlerden (http adresi, yerel seritifika deposu vb.) bulunması gerekebilir. Genel olarak sertifika doğrulama sırasında dışarıdan bulunması gereken sertifika , SİL, OCSP Cevabı verilerini bulma işlemini bulucu sınıflar gerçekleştirir. Bir sertifika , SİL ya da OCSP cevabı bulunurken politika dosyasında tanımlı Bulucular sırayla çalıştırılır ve aranılan veri bulunduğunda bulma işlemi sonlandırılır. Bu nedenle bulucuların uygun bir sırayla politika dosyasına yerleştirilmiş olması performans açısından oldukça önemlidir. Örneğin yerel depodan sertifika bulucunun uzak kaynaklardan(LDAP,HTTP vb.) sertifika bulculardan önce yerleştirilmesi sertifika arama işlemlerinin sertifika yerel depoda varsa uzak kaynaklara başvurulmadan sonuçlanmasını sağlar ve bu da ciddi performans kazanımları getirir. Sertifika Doğrulama politikası aracılığıyla hangi bulucuların hangi sırayla çalıştırılacakları bilgisi tanımlanmaktadır. </p> <p> Esya Sertifika Doğrulama Kütüphanesinde tanımlı bulucular şu şekilde gruplanabilir. </p> </div> <h3>Trusted Certificate Finders</h3> <div class="level3"> <p> Doğrulama kütüphanesinin güvenilir olarak tanıdığı SM sertifikalarını bulan sınıflardır. </p> </div> <h3>Certificate Finders</h3> <div class="level3"> <p> SM sertifikası bulmaktan sorumlu sınıflardır.Bu bulucular sertifikanın üzerinde yer alan Yetkili Erişim Noktası (AIA) eklentisine bakarak SM sertifikası bulan sınıflar olabileceği gibi bir http adresinden, bir LDAP adresinden ya da dosya sistemindeki bir adresten ya da yerel sertifika deposundan sertifika bulan sınıflar olabilir. </p> </div> <h3>CRL Finders</h3> <div class="level3"> <p> SİL bulmaktan sorumlu sınıflardır. Sertifika üzerinde yazan Sil Dağıtım Noktaları (CDP) eklentisine bakarak SİL bulan sınıflar olabileceği gibi bir http adresinden, bir LDAP adresinden ya da dosya sistemindeki bir adresten ya da yerel sertifika deposundan SİL bulan sınıflar olabilir. </p> </div> <h3>OCSP Response Finders</h3> <div class="level3"> <p> OCSP cevabı bulmaktan sorumlu sınıflardır. Sertifika üzerinde yazan Yetkili Erişim Noktası (AIA) bakarak OCSP cevabı bulan sınıflar olabileceği gibi bir http adresinden, bir LDAP adresinden ya da dosya sistemindeki bir adresten ya da yerel sertifika deposundan OCSP cevabı bulan sınıflar olabilir. </p> <p> Esya Sertifika Doğrulama API’sinde tanımlı ve politika dosyasında kullanılabilecek tüm bulucuların listesi <a href="/esya-api/doku.php?id=esya:sertifika:dogrulama-politikas%C4%B1" class="wikilink1" title="esya:sertifika:dogrulama-politikası">Table 3’te</a> yer almaktadır. </p> </div> <h2>Matchers</h2> <div class="level2"> <p> Bulunan sertifika, SİL ya da OCSP cevabı bilgilerinin gerçekten aranılan veriler olup olmadığını anlamak için gerekli eşleştirmeden sorumlu sınıflardır.Bu eşleştirme kuralları RFC 5280'de yer almaktadır. Esya Sertifika Doğrulama Kütüphanesinde tanımlı bulucular şu şekilde gruplanabilir. </p> </div> <h3>Certificate Matchers</h3> <div class="level3"> <p> Sertifika ile yayıncı sertifikasını eşleştiren sınıflardır. Örneğin RFC 5280'de bir X509 sertifikası üzerinde yazan issuer alanı ile yayıncı sertifikası üzerinde yer alan subject alanı aynı olmalıdır şeklinde bir ifade yer alır. Esya Sertifika Doğrulama kütüphanesinde bu eşleştirme işini gerçekleştiren eşleştirici (IssuerSubjectMatcher) sınıfı vardır. Eşleştiricilerin eşleştiremediği sertifikalar yayıncı sertifikası olarak sertifika zincirine eklenmezler. </p> </div> <h3>CRL Matchers</h3> <div class="level3"> <p> Sertifika ile SİL'i ya da SİL ile SİL yayınlayan sertifikayı eşleştiren sınıflardır. Örneğin RFC 5280'de , dolaylı SİL (indirect crl) kullanılmıyorsa, bir SİL üzerinde yazan issuer alanı ile yayıncı sertifikası üzerinde yer alan subject alanı aynı olmalıdır şeklinde bir ifade yer alır. Bir SİL'in yayıncı sertifikası olan sertifikanın bulunması için bu ifadenin doğruluğu kontrol edilir. Bu kontrol işlemi için bir eşleştirici (CRLIssuerMatcher) tanımlıdır. </p> </div> <h3>OCSP Response Matchers</h3> <div class="level3"> <p> Sertifika ile OCSP cevabını eşleştiren sınıflardır. Çalışma şekilleri sertifika ve SİL eşleştiriciler gibidir </p> </div> <h3>Delta CRL Matchers</h3> <div class="level3"> <p> SİL ile Delta-SİL'i eşleştiren sınıflardır. Çalışma şekilleri sertifika ve SİL eşleştiriciler gibidir </p> </div> <h3>Cross Certificate Matchers</h3> <div class="level3"> <p> SM Sertifikası ile çapraz SM sertifikasını eşleştiren sınıflardır. Çalışma şekilleri sertifika ve SİL eşleştiriciler gibidir. </p> <p> Esya Sertifika Doğrulama API'sinde tanımlı ve politika dosyasında kullanılabilecek tüm eşleştiricilerin listesi <a href="/esya-api/doku.php?id=esya:sertifika:dogrulama-politikas%C4%B1" class="wikilink1" title="esya:sertifika:dogrulama-politikası">Table 2’de</a> yer almaktadır. </p> </div> <h2>Savers</h2> <div class="level2"> <p> Esya Sertifika Doğrulama API'si doğrulama sırasında bulduğu sertifika ve SİL'leri yerel depoya kaydeder. Bu işlemi kaydediciler (Saver) gerçekleştirir ve yine politika dosyası aracılığıyla hangi kaydedicilerin çalışacağı tanımlanabilir. Örneğin istenildiği kadar kaydedici tanımlanarak doğrulama sırasında bulunan ve doğrulanan bütün sertifikalar istenilen yerlere kaydedilirler. </p> <p> Esya Sertifika Doğrulama API'sinde tanımlı ve politika dosyasında kullanılabilecek tüm kaydedicilerin listesi <a href="/esya-api/doku.php?id=esya:sertifika:dogrulama-politikas%C4%B1" class="wikilink1" title="esya:sertifika:dogrulama-politikası">Table 4’te</a> yer almaktadır. </p> </div> <h2>Certificate Validation Policy</h2> <div class="level2"> <p> Sertifika doğrulama işlemi bir çok kontrol işleminin arka arkaya yapılmasından oluşan bir süreçtir. Bu kontrol işlemlerinin hangilerinin yapılıp hangilerinin yapılmayacağını ve bu kontroller sırasında kullanılan bir takım parametrelerin çalışma zamanında belirlenebilmesi için XML formatında bir doğrulama politikası dosyası kullanılmaktadır. Bu XML dosyasında yer alan her bir “class” elemanı bir sınıfı temsil eder ve bu sınıflar doğrulamada kullanılacak kontrol, bulma ve eşleştirme sınıflarıdır. Bu dosya, doğrulama işleminin başında okunarak doğrulama politikası nesnesi oluşur ve bütün doğrulama adımları bu politikada belirtilen yapılandırma bilgileri doğrultusunda gerçekleştirilir. Doğrulamada kullanılacak kontrol, bulma ve eşleştirme sınıfları, sertifika politikası kontrolleri ile ilgili ayarlar bu yapılandırma bilgilerinden bazılarıdır. </p> <p> A sample validation policy </p> <dl class="file"> <dt><a href="/esya-api/doku.php?do=export_code&id=en:esya:sertifika:dogrulama-kutuphane&codeblock=0" title="Parçacığı indir" class="mediafile mf_">certval-policy</a></dt> <dd><pre class="code file xml">< !--Dosyayı xml olarak kaydediniz--> < ?xml version="1.0" encoding="UTF-8"?> < policy> <span class="sc1">&lt;</span>find<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>trustedcertificate<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.find.certificate.trusted.TrustedCertificateFinderFromECertStore"<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>param name="securitylevel" value="legal,organizational"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/class<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>!--class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.find.certificate.trusted.TrustedCertificateFinderFromFileSystem"<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>param name="dizin" value="path\to\trusted certificates"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/class--<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/trustedcertificate<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>certificate<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.find.certificate.CertificateFinderFromECertStore"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.find.certificate.CertificateFinderFromHTTP"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name = "tr.gov.tubitak.uekae.esya.api.certificate.validation.find.certificate.CertificateFinderFromLDAP"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/certificate<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>deltacrl/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/find<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>match<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>certificate<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.match.certificate.IssuerSubjectMatcher"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/certificate<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>crl<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.match.crl.CRLIssuerMatcher"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/crl<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>deltacrl<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name = "tr.gov.tubitak.uekae.esya.api.certificate.validation.match.deltacrl.BaseCRLNumberMatcher"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name = "tr.gov.tubitak.uekae.esya.api.certificate.validation.match.deltacrl.CRLNumberMatcher"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name = "tr.gov.tubitak.uekae.esya.api.certificate.validation.match.deltacrl.DeltaCRLIssuerMatcher"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name = "tr.gov.tubitak.uekae.esya.api.certificate.validation.match.deltacrl.ScopeMatcher"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/deltacrl<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>ocsp<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name = "tr.gov.tubitak.uekae.esya.api.certificate.validation.match.ocsp.CertIDOCSPResponseMatcher"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/ocsp<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/match<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>save<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>crl<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name = "tr.gov.tubitak.uekae.esya.api.certificate.validation.save.CertStoreCRLSaver"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/crl<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>!--ocsp<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name = "tr.gov.tubitak.uekae.esya.api.certificate.validation.save.CertStoreOCSPResponseSaver"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/ocsp<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>certificate<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name = "tr.gov.tubitak.uekae.esya.api.certificate.validation.save.CertStoreCertificateSaver"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/certificate--<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/save<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>validate<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>certificate<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>self<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.certificate.self.SignatureAlgConsistencyChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.certificate.self.PositiveSerialNumberChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.certificate.self.CertificateDateChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.certificate.self.CertificateExtensionChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.certificate.self.VersionChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.certificate.self.QualifiedCertificateChecker"<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>param name="statementoids" value="(0.4.0.1862.1.1 AND 2.16.792.1.61.0.1.5070.1.1)"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/class<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/self<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>trustedcertificate<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.certificate.self.SelfSignatureChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.certificate.self.CertificateDateChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/trustedcertificate<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>issuer<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.certificate.issuer.BasicConstraintCAChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.certificate.issuer.PathLenConstraintChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.certificate.issuer.KeyIdentifierChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.certificate.issuer.CertificateKeyUsageChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.certificate.issuer.CertificateNameChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.certificate.issuer.CertificateSignatureChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/issuer<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>revocation<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name = "tr.gov.tubitak.uekae.esya.api.certificate.validation.check.certificate.revocation.RevocationFromOCSPChecker"<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>param name ="devam" value="false"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>find<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name = "tr.gov.tubitak.uekae.esya.api.certificate.validation.find.ocsp.OCSPResponseFinderFromAIA"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>!--class name = "tr.gov.tubitak.uekae.esya.api.certificate.validation.find.ocsp.OCSPResponseFinderFromECertStore"/--<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/find<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/class<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.certificate.revocation.RevocationFromCRLChecker"<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>param name ="cevrimdisicalis" value="false"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>param name ="checkallcrls" value="false"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>param name ="devam" value="false"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>find<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name = "tr.gov.tubitak.uekae.esya.api.certificate.validation.find.crl.CRLFinderFromECertStore"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name = "tr.gov.tubitak.uekae.esya.api.certificate.validation.find.crl.CRLFinderFromECertStore"<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>param name = "getactivecrl" value="true"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/class<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name = "tr.gov.tubitak.uekae.esya.api.certificate.validation.find.crl.CRLFinderFromHTTP"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name = "tr.gov.tubitak.uekae.esya.api.certificate.validation.find.crl.CRLFinderfromLDAP"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/find<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/class<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/revocation<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/certificate<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>crl<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>crlself<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.crl.self.CRLDateChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name = "tr.gov.tubitak.uekae.esya.api.certificate.validation.check.crl.self.CRLExtensionChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/crlself<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>crlissuer<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.crl.issuer.CRLSignatureChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.crl.issuer.CRLKeyUsageChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/crlissuer<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/crl<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>ocsp<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.ocsp.OCSPResponseDateChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.ocsp.ResponseStatusChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.ocsp.SigningCertificateChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.check.ocsp.OCSPSignatureChecker"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/ocsp<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/validate<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>parameters<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>UserPolicySet value="2.5.29.32.0"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>InitialExplicitPolicy value="false"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>InitialAnyPolicyInhibit value="false"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>InitialPolicyMappingInhibit value="false"/<span class="sc1">&gt;</span> <span class="sc1">&lt;</span>/parameters<span class="sc1">&gt;</span> < /policy> </pre><p> </p> </dd></dl> </div> <h3>Security Issues Concerning Certificate Validation Policy File</h3> <div class="level3"> <p> Politika dosyası, sertifika doğrulama sırasında kullanılacak verilerin nasıl bulunacağını (find), doğru verilerin bulunup bulunmadığının kontrolü için nasıl eşleştirme yapılacağını (match) ve doğrulama sırasında hangi kontrollerin yapılacağını (validate) belirten sınıfları bulunduran dosyadır. </p> <p> Politika dosyasının değiştirilememesi imza doğrulama için hayati önem taşır. Politika dosyasında hangi kontrollerin yapılacağı ve hangi sertifikalara güvenileceği bilgisi yer almaktadır. Kötü niyetli kişiler politika dosyasını değiştirerek, kötü niyetle yaratılmış imzaların doğrulanmasını sağlayabilirler. Politika dosyası için aşağıdaki güvenlik önlemleri uygulanabilir; </p> <ul> <li class="level1"> Politika dosyası sunucudan çekilir ve bellekte tutulur. Böylelikle politika dosyasına dışardan müdahale olasılığı azalır.</li> <li class="level2"> Politika dosyasının özeti sunucuda tutulur. İstemcideki politika dosyasının özeti alınır ve sunucudan çekilen özet ile karşılaştırılır. DigestUtil sınıfı ile özet işlemini gerçekleştirebilirsiniz.</li> <li class="level2"> Politika dosyası istemcide parola tabanlı şifrelenerek tutulur ve şifresi bellekte çözülür. Bunun nasıl yapıldığı gösteren örneği "http:<em><a href="http://www.java2s.com/Tutorial/Java/0490Security/PBEFileEncrypt.htm"" class="urlextern" title="http://www.java2s.com/Tutorial/Java/0490Security/PBEFileEncrypt.htm"" rel="nofollow">www.java2s.com/Tutorial/Java/0490Security/PBEFileEncrypt.htm"</a> adresinde bulabilirsiniz. * Politika dosyası imzalı bir şekilde tutulur. Politika dosyasına karar verildikten sonra politika dosyası bir kere imzalanır ve bu imzalı dosya istemcilerde tutulur. İmzalanan politika dosyasının imzası doğrulanırsa ve imza doğru kişi tarafından atılmışsa; politika dosyasına güvenilebilir. Doğru kişi imzalamış mı kontrolünün yapılması için, kodunuzun içine imzacı sertifikasının gömülmesi gerekmektedir. Kodunuzu, devamlı değiştiremeyeceğinizden imzalama işleminde kullandığınız akıllı kartı veya pfx dosyasını kesinlikle kaybetmemeniz gerekmektedir. Politika dosyasını PKCS7 standardında imzalayabilirsiniz. PKCS7 tipindeki imza için <a href="/esya-api/doku.php?id=esya:smartcard:pkcs7" class="wikilink1" title="esya:smartcard:pkcs7">buraya</a> bakabilirsiniz. Yukarıdaki güvenlik önlemleri birlikte veya tek olarak uygulanabilir. Politika dosyasının güvensiz bir şekilde istemcilerde durmasını kesinlikle önermiyoruz. ==== Certificate/CRL Status Info ==== Esya Sertifika Doğrulama Kütüphanesi sertifika ve SİL doğrulama işlemi sonucunda Sertifika Durum Bilgisi (CertificateStatusInfo) ve SİL Durum Bilgisi (CRLStatusInfo) sınıflarından bir nesne oluşturur. Bu sınıf içerisinde ayrıntılı kontrol detayları , oluşturulmuş ve doğrulanmaya çalışılan farklı sertifika zincirleri doğrulanma sonuçlarıyla birlikte detaylı olarak saklanır. Bu sınıfın nesnesinin kullanımı, örnek kodlarla birlikte <a href="/esya-api/doku.php?id=esya:cades:eimza-cades-kutuphanesi" class="wikilink1" title="esya:cades:eimza-cades-kutuphanesi">CAdES İmza Kütüphanesi</a> bölümünde daha detaylı olarak görülebilir. ===== Local Certificate Store ===== Sertifika deposu, güvenilir olduğu kabul edilen yayıncı sertifikalarının saklanabileceği bir kök sertifika deposu olarak geliştirilmiştir. Sertifika deposu aynı zamanda doğrulama işlemi sırasında bulunması gereken yayıncı sertifikası, SİL, OCSP cevabı gibi verilerin sürekli uzak kaynaklardan çekilmesini engellemek için bu verilerin yerelde saklanabilmesinden sorumludur. Sertifika deposunun varsayılan yeri, kullanıcının ana klasörünün(user home directory) altındaki ".sertifikadeposu" klasörünün içidir. Varsayılan dosya ismi ise "SertifikaDeposu.svt"dir. Eğer farklı bir dosya yolu ve dosya ismi kullanılması isteniyorsa, sertifika doğrulama politika dosyasında belirtilmelidir. Bunun için storepath parametresi kullanılmalıdır. Esya Sertifika Doğrulama API'si yerel sertifika deposunda güvenilir kök sertifikası olarak tanımlanmış seritikaları güvenilir olarak kabul eder ve doğrulama sırasında oluşturduğu sertifika zincirlerinin bu sertifikalardan biriyle sonlanmasını bekler. API'deki yerel sertifika deposundan sertifika ve sil bulucular kullanılarak doğrulama verileri istenildiğinde yerel depodan bulunabilir. </em><<em>sxh xml> </em><<em>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.find.certificate.trusted.TrustedCertificateFinderFromECertStore"> </em><<em>param name="storepath" value="T:\MA3\api-parent\certStore\SertifikaDeposu.svt"/> </em><<em>/class> </em><<em>/sxh> Test sertifikalarıyla çalışırken sertifikanın doğrulanması sırasında PATH_VALIDATION_FAILURE hatası alabilirsiniz. Bu durumun muhtemel sebebi, test sertifikaların köklerinin sertifika deposunda güvenilir sertifika olarak tanımlanmamasıdır. Bu kök sertifikaları dosya yoluyla belirtebilirsiniz. Yalnız bu kullanım sadece test amacıyla yapılmalıdır. </em><<em>sxh xml> </em><<em>class name="("tr.gov.tubitak.uekae.esya.api.certificate.validation.find.certificate.trusted.TrustedCertificateFinderFromFileSystem"> </em><<em>param name="dizin" value="T:\\MA3\\api-cmssignature\\testdata\\support\\UGRootCerts\\"/> </em><<em>/class> </em><<em>/sxh> ===== XML Sertifika Deposu ===== Dosya sistemine herhangi bir şekilde erişimin olmadığı durumlarda kullanılması için XML tabanlı sertifika deposu dosyası geliştirilmiştir. Bu şekilde internet üzerindeki bir depo ile çalışabilmek mümkün olmaktadır. Sertifika doğrulama konfigürasyon dosyasında XML depodan güvenilir sertifika bulucu aşağıdaki gibi tanımlanır: </em><<em>sxh xml> </em><<em>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.find.certificate.trusted.TrustedCertificateFinderFromXml"> </em><<em>param name="storepath" value="http:</em><a href="http://www.kamusm.gov.tr/depo/xml/XmlDepo.xml"/" class="urlextern" title="http://www.kamusm.gov.tr/depo/xml/XmlDepo.xml"/" rel="nofollow">www.kamusm.gov.tr/depo/xml/XmlDepo.xml"/</a>></li> </ul> <p> <em><</em>/class> Yine xml depodan sertifika bulucu aşağıdaki şekilde tanımlanır: <em><</em>class name="tr.gov.tubitak.uekae.esya.api.certificate.validation.find.certificate.CertificateFinderFromXml"> <em><</em>param name="storepath" value="http:<em><a href="http://www.kamusm.gov.tr/depo/xml/XmlDepo.xml"/" class="urlextern" title="http://www.kamusm.gov.tr/depo/xml/XmlDepo.xml"/" rel="nofollow">www.kamusm.gov.tr/depo/xml/XmlDepo.xml"/</a>> </em><<em>/class> </em><<em>/sxh> XML depodan güvenilir sertifika bulucu parametre olarak bir URL almaktadır. Performans arttırmak için yerel ağlarda bu dosyanın bir kopyasını bulundurmak ve onunla çalışmak faydalı olur. Bunun yanında xml sertifika deposu sadece ESYA sertifika doğrulama kütüphanesi ile kullanılmalıdır. Aksi taktirde man-in-the-midle saldırısına kapı açılmış olur. ESYA Kütüphanesi bu dosyadaki güvenilir sertifikalar için imza kontrolü yapmaktadır. Bir diğer göz önünde bulundurulması gereken konu performanstır. Yerel sertifika deposu kullanılırken imza doğrulamada kullanılan iptal listeleri depoya kaydedilip tekrar kullanılabilirken, xml sertifika deposu sadece okuma özellikli olduğu için bu avantajdan mahrumdur. Bu yüzden iptal listeleri her doğrulamada tekrar indirilmek zorunda kalınacaktır. Bu da ciddi performans kaybına yol açar. </p> </div>