Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.03.2019(UTC) Сообщений: 47 Откуда: РнД Сказал(а) «Спасибо»: 2 раз
|
Добрый день. Спустя приличный промежуток времени мне удалось таки настроить и запустить OCSP server. Все это делалось для реализации проверки сертификатов по БД ЦР в реальном времени без CRL. Был установлен cadesplugin с ocsp-клиентом и revocation provider. В журнале работы ocsp server отображаются запросы и ответы службы. Но независимо от статуса сертификата в консоли управления ЦР (отозван он или нет) приложения выдают, что подпись верна. Вот так настроен CSP: 7.PNG (23kb) загружен 9 раз(а).Так выглядит запрос в журнале службы: 2.PNG (13kb) загружен 9 раз(а). Так выглядит ответ: 3.PNG (14kb) загружен 7 раз(а).В ответе видно, что статус сертификата передается верный (отозван), но подпись при этом верна! Вот, что выдает модуль ЭП: 1.PNG (8kb) загружен 10 раз(а).При этом, если установить в систему CRL, модуль ЭП начинает выдавать вот это: 4.PNG (9kb) загружен 9 раз(а).Заявление, что модуль нерабочий отлетело, когда я проверил работу с КриптоПро Office Signature. С использованием OCSP + RevoPro, CRL в системе нет: 5.PNG (11kb) загружен 7 раз(а).Установлен в систему актуальный CRL: 6.PNG (11kb) загружен 8 раз(а).Вид запросов и ответов в журнале всегда одинаков. Скрины я делал только однажды. При каждом действии, появляется новая запись в журнале. Ранее проверял в КриптоАрм проверку статуса сертификата по OCSP-протоколу и с использованием RevoPro. Результат всегда одинаков: сертификат актуален, хотя в консоли он отозван. Проблема судя по всему в работе службы или настройках. P.S. Пробовал менять режим работы с БД ЦР на работу по спискам CRL, результат одинаков.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Каковы результаты работы ocsputil? |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Автор: alex61 Был установлен cadesplugin с ocsp-клиентом и revocation provider.
Приложите следующую ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 1\CertDllVerifyRevocation\DEFAULT |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.03.2019(UTC) Сообщений: 47 Откуда: РнД Сказал(а) «Спасибо»: 2 раз
|
Автор: Захар Тихонов Приложите следующую ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 1\CertDllVerifyRevocation\DEFAULT
скрин ветки сервера: server.PNG (5kb) загружен 6 раз(а).компьютера клиента: komp.PNG (16kb) загружен 6 раз(а).с ocsputil.exe пока не разобрался. ошибка "Не удается найти указанный файл".
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
а на какой машине проверяете? лицензия на RP действительная? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.03.2019(UTC) Сообщений: 47 Откуда: РнД Сказал(а) «Спасибо»: 2 раз
|
Ocsputil запускаю на самом сервере. На клиенте проверяю подпись в модуле эп и office signature. Все приложения установлены неделю назад, пока пробный период активен. Лицензии введу как все заработает. Клиент офисный пк, win10.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.03.2019(UTC) Сообщений: 47 Откуда: РнД Сказал(а) «Спасибо»: 2 раз
|
Прогнал ocsputil. результат на скрине: ocsputil.PNG (26kb) загружен 13 раз(а).статус сертификата отозван. но он и в журнале ocsp службы в ответе помечается как отозванный. при этом в ответе пишется "подпись верна" и дальше все как я описывал в постах выше.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Автор: alex61 Прогнал ocsputil. результат на скрине: ocsputil.PNG (26kb) загружен 13 раз(а).статус сертификата отозван. но он и в журнале ocsp службы в ответе помечается как отозванный. при этом в ответе пишется "подпись верна" и дальше все как я описывал в постах выше. Т.е. OCSP давет верный результат. Теперь вернемся к КриптоАРМ. Подпишите файл, отзовите сертификат, проверьте сертификат по службе OCSP. Пример 1.png (235kb) загружен 8 раз(а).. У вас должна быть аналогичная ситуация. Такой сценарий работает? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.03.2019(UTC) Сообщений: 47 Откуда: РнД Сказал(а) «Спасибо»: 2 раз
|
Описанный сценарий не работает корректно.
Во первых после установки КриптоАрм похоже сам скачал CRL. Либо он это сделал при подписании документа. Но стоит мне удалить CRL из хранилица и открыть подписанный документ, как CRL снова появляется. Это сильно раздражает и сбивает все проверки.
Я подписываю документ сразу отозванным сертификатом. КриптоАрм его подписывает и выдает предупреждение, что сертификат отозван. Но когда я проверяю статус сертификата по Локальному CRL, CRL на сайте УЦ, с помощью RevoPro или по OCSP службе, он выдает что сертификат валидный. Причем он прям меняет статус на глазах с отозванного на валидный.
Можно ли как-то проверить без КриптоАрм? Данная программа не планируется к использованию и покупке лицензий и к тому же сама качает CRL и исполняет какие-то кульбиты при проверке статуса.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Автор: alex61 Описанный сценарий не работает корректно. А что в итоге вы хотите получить? Автор: alex61 Во первых после установки КриптоАрм похоже сам скачал CRL. Либо он это сделал при подписании документа. Но стоит мне удалить CRL из хранилица и открыть подписанный документ, как CRL снова появляется. Это сильно раздражает и сбивает все проверки.
Я подписываю документ сразу отозванным сертификатом. КриптоАрм его подписывает и выдает предупреждение, что сертификат отозван. Но когда я проверяю статус сертификата по Локальному CRL, CRL на сайте УЦ, с помощью RevoPro или по OCSP службе, он выдает что сертификат валидный. Причем он прям меняет статус на глазах с отозванного на валидный.
Можно ли как-то проверить без КриптоАрм? Данная программа не планируется к использованию и покупке лицензий и к тому же сама качает CRL и исполняет какие-то кульбиты при проверке статуса. Каким нашим ПО вы собираетесь устанавливать подпись? |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close