Добрый день.
Был небольшой перерыв в работе.
Ситуация следующая:
После крайней проверки, когда все не работало, несмотря на отозванный сертификат, подпись была верна и в стороннем модуле и в office signature, при этом подчеркиваю, что в журнале работы OCSP службы было написано, что 1-ПОДПИСЬ ВЕРНА! и 2-Статус сертификата-ОТОЗВАН!
3.PNG
(14kb) загружен 7 раз(а).На следующий день внезапно обнаружил, что и сторонний модуль и office signature стали показывать, что подпись неверна! и сертификат отозван! В настройках при этом ничего не менялось и никаких действий не было произведено. В журнале работы OCSP службы было написано, что 1-ПОДПИСЬ ВЕРНА! и 2-Статус сертификата-ОТОЗВАН! и так пишется всегда, не зависимо от статуса который показывают модули.
Это было до перерыва.
Вчера вечером с разочарованием обнаружил что ситуация опять повторяется. После отзыва сертификата подпись остается верной и статус ОК! Записи в журнале же показывают, что подпись верна но сертификат отозван.
Однако утром подпись в обоих модулях стала неверной, так как сертификат отозван. Единственное, что изменилось за это время, это был выпущен разностный CRL вчера в 18:00. Что совсем вводит в заблуждение, так как OCSP сервер работает по БД ЦР, никакие CRL он не смотрит судя по настройкам и на компьютерах пользователей CRL не установлены.
То есть CRL нигде нет, кроме как на cdp, но только после того как в нем появился номер отозванного сертификата, модули стали показывать что подпись неверна, хотя работает revocation provider и исправно шлет запросы на ocsp-сервер.
Сегодня повторил проверку. Новый сертификат после отзыва все равно подпись верна и статус ОК!. В 12:00 будет выпущен CRL и если статус подписи изменится, то будет повторяемость и возможно не корректно настроена служба или не корректно работает revopro в части возвращения ответа приложению.
По-поводу вашей проверки, насколько я понял, вы проверяли через cryptcp. Возможно ли проверить в любом из модулей для подписания от КриптоПро? К примеру в том же самом Office Signature. По следующим алгоритмам:
1) Подписываем - Смотрим статус - Отзываем - Смотрим статус - Проверяем журнал запросов и главное ответов OCSP
2) Отзываем - Подписываем - Смотрим статус