Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

5 Страницы<12345>
Опции
К последнему сообщению К первому непрочитанному
Offline alex61  
#21 Оставлено : 25 июня 2019 г. 10:07:17(UTC)
alex61

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 47
Российская Федерация
Откуда: РнД

Сказал(а) «Спасибо»: 2 раз
Добрый день.
Спустя приличный промежуток времени мне удалось таки настроить и запустить OCSP server.
Все это делалось для реализации проверки сертификатов по БД ЦР в реальном времени без CRL.

Был установлен cadesplugin с ocsp-клиентом и revocation provider.
В журнале работы ocsp server отображаются запросы и ответы службы. Но независимо от статуса сертификата в консоли управления ЦР (отозван он или нет) приложения выдают, что подпись верна.

Вот так настроен CSP:

7.PNG (23kb) загружен 9 раз(а).

Так выглядит запрос в журнале службы:

2.PNG (13kb) загружен 9 раз(а).

Так выглядит ответ:

3.PNG (14kb) загружен 7 раз(а).

В ответе видно, что статус сертификата передается верный (отозван), но подпись при этом верна!

Вот, что выдает модуль ЭП:

1.PNG (8kb) загружен 10 раз(а).

При этом, если установить в систему CRL, модуль ЭП начинает выдавать вот это:

4.PNG (9kb) загружен 9 раз(а).

Заявление, что модуль нерабочий отлетело, когда я проверил работу с КриптоПро Office Signature.
С использованием OCSP + RevoPro, CRL в системе нет:

5.PNG (11kb) загружен 7 раз(а).

Установлен в систему актуальный CRL:

6.PNG (11kb) загружен 8 раз(а).

Вид запросов и ответов в журнале всегда одинаков. Скрины я делал только однажды. При каждом действии, появляется новая запись в журнале.
Ранее проверял в КриптоАрм проверку статуса сертификата по OCSP-протоколу и с использованием RevoPro. Результат всегда одинаков: сертификат актуален, хотя в консоли он отозван.

Проблема судя по всему в работе службы или настройках.

P.S. Пробовал менять режим работы с БД ЦР на работу по спискам CRL, результат одинаков.
Offline Захар Тихонов  
#22 Оставлено : 25 июня 2019 г. 10:13:48(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Каковы результаты работы ocsputil?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Захар Тихонов  
#23 Оставлено : 25 июня 2019 г. 10:17:32(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: alex61 Перейти к цитате

Был установлен cadesplugin с ocsp-клиентом и revocation provider.


Приложите следующую ветку реестра
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 1\CertDllVerifyRevocation\DEFAULT
Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#24 Оставлено : 25 июня 2019 г. 11:27:34(UTC)
alex61

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 47
Российская Федерация
Откуда: РнД

Сказал(а) «Спасибо»: 2 раз
Автор: Захар Тихонов Перейти к цитате

Приложите следующую ветку реестра
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 1\CertDllVerifyRevocation\DEFAULT


скрин ветки сервера:

server.PNG (5kb) загружен 6 раз(а).

компьютера клиента:

komp.PNG (16kb) загружен 6 раз(а).

с ocsputil.exe пока не разобрался. ошибка "Не удается найти указанный файл".
Offline Захар Тихонов  
#25 Оставлено : 25 июня 2019 г. 11:29:16(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
а на какой машине проверяете? лицензия на RP действительная?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#26 Оставлено : 25 июня 2019 г. 12:16:44(UTC)
alex61

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 47
Российская Федерация
Откуда: РнД

Сказал(а) «Спасибо»: 2 раз
Ocsputil запускаю на самом сервере. На клиенте проверяю подпись в модуле эп и office signature. Все приложения установлены неделю назад, пока пробный период активен. Лицензии введу как все заработает. Клиент офисный пк, win10.
Offline alex61  
#27 Оставлено : 25 июня 2019 г. 15:07:45(UTC)
alex61

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 47
Российская Федерация
Откуда: РнД

Сказал(а) «Спасибо»: 2 раз
Прогнал ocsputil.

результат на скрине:

ocsputil.PNG (26kb) загружен 13 раз(а).

статус сертификата отозван. но он и в журнале ocsp службы в ответе помечается как отозванный. при этом в ответе пишется "подпись верна" и дальше все как я описывал в постах выше.
Offline Захар Тихонов  
#28 Оставлено : 25 июня 2019 г. 15:34:56(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: alex61 Перейти к цитате
Прогнал ocsputil.

результат на скрине:

ocsputil.PNG (26kb) загружен 13 раз(а).

статус сертификата отозван. но он и в журнале ocsp службы в ответе помечается как отозванный. при этом в ответе пишется "подпись верна" и дальше все как я описывал в постах выше.


Т.е. OCSP давет верный результат.
Теперь вернемся к КриптоАРМ. Подпишите файл, отзовите сертификат, проверьте сертификат по службе OCSP.
Пример 1.png (235kb) загружен 8 раз(а)..
У вас должна быть аналогичная ситуация. Такой сценарий работает?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#29 Оставлено : 25 июня 2019 г. 16:04:07(UTC)
alex61

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 47
Российская Федерация
Откуда: РнД

Сказал(а) «Спасибо»: 2 раз
Описанный сценарий не работает корректно.

Во первых после установки КриптоАрм похоже сам скачал CRL. Либо он это сделал при подписании документа. Но стоит мне удалить CRL из хранилица и открыть подписанный документ, как CRL снова появляется. Это сильно раздражает и сбивает все проверки.

Я подписываю документ сразу отозванным сертификатом. КриптоАрм его подписывает и выдает предупреждение, что сертификат отозван. Но когда я проверяю статус сертификата по Локальному CRL, CRL на сайте УЦ, с помощью RevoPro или по OCSP службе, он выдает что сертификат валидный. Причем он прям меняет статус на глазах с отозванного на валидный.

Можно ли как-то проверить без КриптоАрм? Данная программа не планируется к использованию и покупке лицензий и к тому же сама качает CRL и исполняет какие-то кульбиты при проверке статуса.
Offline Захар Тихонов  
#30 Оставлено : 25 июня 2019 г. 16:06:42(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: alex61 Перейти к цитате
Описанный сценарий не работает корректно.


А что в итоге вы хотите получить?

Автор: alex61 Перейти к цитате
Во первых после установки КриптоАрм похоже сам скачал CRL. Либо он это сделал при подписании документа. Но стоит мне удалить CRL из хранилица и открыть подписанный документ, как CRL снова появляется. Это сильно раздражает и сбивает все проверки.

Я подписываю документ сразу отозванным сертификатом. КриптоАрм его подписывает и выдает предупреждение, что сертификат отозван. Но когда я проверяю статус сертификата по Локальному CRL, CRL на сайте УЦ, с помощью RevoPro или по OCSP службе, он выдает что сертификат валидный. Причем он прям меняет статус на глазах с отозванного на валидный.

Можно ли как-то проверить без КриптоАрм? Данная программа не планируется к использованию и покупке лицензий и к тому же сама качает CRL и исполняет какие-то кульбиты при проверке статуса.


Каким нашим ПО вы собираетесь устанавливать подпись?
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
5 Страницы<12345>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.