Provjera X.509 certifikata u PKI sustavu

FER | Sigurnost@Zemris | Kontakt

Sadržaj

• Početna
• Uvod
• PKI sustav
• X.509 certifikati
• Programsko ostvarenje
  • Korišteni certifikati
  • Primjer korištenja aplikacije
• Zaključak
• Literatura
• Dodatak A
• Source kod
• Pdf verzija

Primjer korištenja aplikacije

Pokretanjem aplikacije otvara se prozor kao na slici 4-4.
Slika 4-4 Početni prozor aplikacije

Aplikacija sadrži tri izbornika: Certifikat, Validacija, te Pomoć. Izbornik Certifikat sadrži opcije za unos certifikata, spremanje certifikata pod drugim imenom i/ili formatom, te unos certifikata izdavatelja. Izbornik Provjera sadrži opcije za provjeru certifikata, brzu provjeru, te provjeru digitalnog potpisa. Izbornik Pomoć sadrži pregled certifikata kao na slici 4-5 , uz objašnjenja pojedinih polja, te upute za korištenje aplikacije. Slika 4-5 Prozor s općenitim podacima o certifikatima

Unosom certifikata otvara se pregled certifikata. Na prvoj kartici prikazani su najvažniji podaci o certifikatu: serijski broj, kome je izdan, tko je izdavatelj, kada je izdan, te kada ističe. Na drugoj kartici prikazana su sva polja certifikata, put do izdavateljevog certifikata, te ekstenzije. Kritične ekstenzije označene su crveno. Slika 4-6 Prikaz certifikata

Nakon što je certifikat učitan, korisniku se nude opcije za promjenu certifikata, za spremanje certifikata pod drugačijim imenom, za spremanje certifikata kao .txt datoteke, te opcije za provjeru certifikata. Kao što je već rečeno na početku ovog poglavlja, provjeravaju se četiri stvari: je li zadana datoteka u formatu X.509 certifikata, je li certifikat vremenski valjan, je li ga izdao CA kojemu se može vjerovati, te postoji li certifikat u listi opozvanih certifikata. Lista opozvanih certifikata se provjera samo ako u certifikatu postoji ekstenzija sa OID-ijem 2.5.29.31, tj. ako je u certifikatu zapisan url za dohvat liste opozvanih certifikata. Listu opozvanih certifikata moguće je dohvatiti preko ldap protokola, ili http protokola. Preferirani način dohvata je ldap protokol.
Slika 4-7 Odabir načina dohvata CRL liste

Nakon odabira pokreće se provjera certifikata. Ispisuju se koraci u provjeri certifikata, te konačan rezultat. Ovo je prikazano slikom 4-8.
Slika 4-8 Koraci i rezultat provjere

Nakon provjere, i na glavnom prozoru aplikacije ostaje zapisana poruka o rezultatu provjere, kao što je prikazano slikom 4-9.
Slika 4-9 Glavni prozor nakon provjere

Korisniku se nudi i opcija brze provjere certifikata, gdje se provjerava samo format datoteke, vremenska valjanost, te izdavač. Nakon brze provjere, rezultat je sličan kao u prethodnom primjeru, samo bez podatka o opozvanosti certifikata. Rezultat je prikazan slikom 4-10.

Slika 4-10 Glavni prozor nakon brze provjere

Naposljetku, ukoliko korisnik ima datoteku s privatnim ključem, može provjeriti je li zadani certifikat potpisan s javnim ključem koji odgovara tom privatnom ključu. Odabirom opcije Provjera digitalnog potpisa iz izbornika Provjera, korisnik mora unijeti datoteku s privatnim ključem. Pošto se prilikom izdavanja demo certifikata od F ne dobije datoteka s privatnim ključem, u ovom slučaju će se javiti greška. Ovo je prikazano slikom 4-11.
Slika 4-11 Rezultat provjere datoteke s privatnim ključem

Primjer neuspjele provjere

Primjer neuspjele provjere pokazat ćemo na primjeru certifikata koji ima nevaljani certifikat izdavačkog centra, odnosno koji ima certifikat drugog izdavačkog centra. Nakon učitavanja certifikata pokreće se brza provjera certifikata. Tijekom provjere, korisnika se obavještava da certifikat certifikacijskog centra nije pronađen.
Slika 4-12 Obavijest da za zadani certifikat ne postoji CA certifikat

Korisniku se nudi opcija unosa datoteke sa CA certifikatom, kao što je prikazano slikom 4-13.

Slika 4-13 Mogućnost unosa CA certifikata

Nakon što je certifikat unesen, provjerava se je li zadani CA izdao zadani certifikat. Ako je, dodaje se u listu provjerenih CA certifikata i prilikom iduće provjere, bio bi označen kao valjan. Ukoliko uneseni CA certifikat nije izdao zadani certifikat, javlja se poruka o grešci, kako je to prikazano slikom 4-14.

Slika 4-14 Dojava greške kad uneseni CA certifikat nije izdao zadani korisnički certifikat

Kod samopotpisanih certifikata korisnika se obavještava o tome da je certifikat samopotpisan, te je na korisniku hoće li vjerovati tom izdavaču ili ne.