5. Validacija in zaupanje
Scenariji: 5
FFI-funkcije: ~40
Status: ⏳ Načrtovano
Ta kategorija zajema vse scenarije za validacijo certifikatov in verig certifikatov. Gradnja verige, preverjanje preklica in validacija politik.
Scenariji
| ID | Scenarij | Opis | Kompleksnost | Status |
|---|---|---|---|---|
| 5.1 | Gradnja verige | Vzpostavitev verige certifikatov | ⭐⭐⭐ | ⏳ |
| 5.2 | Validacija verige | Popolno preverjanje verige | ⭐⭐⭐⭐ | ⏳ |
| 5.3 | Preverjanje preklica | Preverjanje statusa CRL/OCSP | ⭐⭐⭐ | ⏳ |
| 5.4 | Validacija politik | Preverjanje politik certifikatov | ⭐⭐⭐ | ⏳ |
| 5.5 | Omejitve imen | Preverjanje omejitev imenskega prostora | ⭐⭐⭐⭐ | ⏳ |
Proces validacije
flowchart TB
START[Prejem certifikata] --> BUILD[Gradnja verige]
BUILD --> SIG[Preverjanje podpisa]
SIG --> TIME[Preverjanje veljavnosti]
TIME --> REV[Preverjanje preklica]
REV --> POLICY[Preverjanje politik]
POLICY --> CONSTR[Preverjanje omejitev]
CONSTR --> RESULT{Rezultat}
RESULT --> |V redu| VALID[Veljaven]
RESULT --> |Napaka| INVALID[Neveljaven]
style VALID fill:#e8f5e9
style INVALID fill:#ffcdd2
Koraki validacije
| Korak | Preverjanje | Napaka pri |
|---|---|---|
| 1. Gradnja verige | Veriga do sidra zaupanja | Manjkajoči vmesni certifikati |
| 2. Podpis | Vsak certifikat podpisan od izdajatelja | Neveljaven podpis |
| 3. Veljavnost | notBefore ≤ zdaj ≤ notAfter | Potekel / Še ni veljaven |
| 4. Basic Constraints | CA-zastavica, pathLen | Ne-CA podpiše certifikat |
| 5. Key Usage | keyCertSign za CA-je | Napačen namen uporabe |
| 6. Preklic | CRL ali OCSP | Preklican |
| 7. Politika | Certificate Policies | Politika ni sprejeta |
| 8. Omejitve imen | permitted/excluded Subtrees | Ime izven obsega |
Strategije preverjanja preklica
| Metoda | Prednosti | Slabosti | Uporaba |
|---|---|---|---|
| CRL | Možno brez povezave, enostavno | Velike datoteke, zakasnitev | Podjetja, brez povezave |
| OCSP | V realnem času, kompaktno | Potreben strežnik | Spletne storitve |
| OCSP Stapling | Zmogljivost, zasebnost | Potrebna podpora TLS strežnika | Spletni strežniki |
Panožne zahteve
| Panoga | Preklic | Posebnosti |
|---|---|---|
| Energetika/SCADA | CRL (brez povezave) | Internetna povezava ni možna |
| Zdravstvo | OCSP | Validacija v realnem času za eRecept |
| Avtomobilska industrija | CRL + OCSP | V2X zahteva hitro preverjanje |
| Industrija 4.0 | CRL | Proizvodna omrežja izolirana |
Hiter začetek s kodo
using WvdS.Security.Cryptography.X509Certificates.Extensions.PQ; // Nalaganje shrambe zaupanja var trustStore = ctx.LoadTrustStore("trust-store.p7b"); // Validacija certifikata var result = ctx.ValidateCertificate( certificate: serverCert, trustStore: trustStore, options: new ValidationOptions { CheckRevocation = true, RevocationMode = RevocationMode.Online, // CRL + OCSP ValidatePolicy = true, AcceptedPolicies = new[] { "1.3.6.1.4.1.99999.1.1" } // Prilagojen OID politike } ); if (result.IsValid) { Console.WriteLine("Certifikat veljaven"); Console.WriteLine($"Veriga: {string.Join(" → ", result.Chain.Select(c => c.Subject))}"); } else { Console.WriteLine($"Napaka: {result.ErrorCode} - {result.ErrorMessage}"); }
Povezane kategorije
| Kategorija | Povezava |
|---|---|
| 1. PKI infrastruktura | Nastavitev shrambe zaupanja |
| 6. Preklic | Zagotavljanje CRL/OCSP |
| 10. TLS/mTLS | Validacija v TLS rokovanju |
« ← 4. Upravljanje certifikatov | ↑ Scenariji | 6. Preklic → »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: dne 30.01.2026 ob 06:48
