Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.10.2020(UTC) Сообщений: 39  Сказал(а) «Спасибо»: 8 раз
|
Автор: Ситдиков Денис  Автор: nomhoi Добрый день!
С помощью pycades можно получить отпечаток сертификата из файла сертификата *.cer? Как это можно вообще сделать? Добрый день! Certificate.Import + Certificate.Thumbprint ( объект Certificate) На вход Import подается сертификат в виде строки в base64. Спасибо! Получилось.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 25
Сказал(а) «Спасибо»: 1 раз
|
Автор: Ситдиков Денис Да, вариант с собственным сервером тоже может подойти. Цитата:Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне. Добрый день. Пытаюсь настроить ocsp, но что-то идет не так: Код:./cpconfig -ini "/config/cades/ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Section, key or parameter not found.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 59 Откуда: Москва Поблагодарили: 11 раз в 10 постах
|
Автор: mstdoc Автор: Ситдиков Денис Да, вариант с собственным сервером тоже может подойти. Цитата:Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне. Добрый день. Пытаюсь настроить ocsp, но что-то идет не так: Код:./cpconfig -ini "/config/cades/ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Section, key or parameter not found.
Добрый день! Код:[sudo] /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 25
Сказал(а) «Спасибо»: 1 раз
|
Автор: Ситдиков Денис Автор: mstdoc Автор: Ситдиков Денис Да, вариант с собственным сервером тоже может подойти. Цитата:Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне. Добрый день. Пытаюсь настроить ocsp, но что-то идет не так: Код:./cpconfig -ini "/config/cades/ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Section, key or parameter not found.
Добрый день! Код:[sudo] /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Да, параметр добавился, благодарю. Но есть проблема. При проверке подписи по сетевому дампу видно нечто странное. 1. Было обращение в сторону ocsp сервера, был получен ответ что сертификат (подписанта) валидный. 2. Однако, после этого все равно пошло обращение в сторону crl. 3. После этого снова было обращение в сторону ocsp сервера с проверкой сертификата промежуточного УЦ. Был получен ответ что сертификат валидный. 4. Тем не менее последовал запрос в сторону crl промежуточного сертификата. Это нормальное поведение? Зачем инициируются запросы в сторону crl, если ocsp дал положительный ответ? Может есть еще некая настройка?  Screenshot 2021-01-14 at 18.53.44.png (45kb) загружен 13 раз(а).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 03.12.2018(UTC) Сообщений: 496 Сказал(а) «Спасибо»: 54 раз
Поблагодарили: 78 раз в 76 постах
|
Автор: mstdoc
Это нормальное поведение?
Зачем инициируются запросы в сторону crl, если ocsp дал положительный ответ?
Может есть еще некая настройка?
Добрый день! нормальное поведение |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 25
Сказал(а) «Спасибо»: 1 раз
|
Автор: Санчир Момолдаев Автор: mstdoc
Это нормальное поведение?
Зачем инициируются запросы в сторону crl, если ocsp дал положительный ответ?
Может есть еще некая настройка?
Добрый день! нормальное поведение Из информации по приведенной ссылке так и не понял зачем каждый сертификат проверять и по crl и по ocsp... Т.е. получается раньше у меня каждый сертификат проверялся по crl, а включив в настройках "DefaultOCSPURL" каждый сертификат стал проверяться сначала по ocsp, а потом еще и по crl... Я включал опцию DefaultOCSPURL с той идеей, что сертификаты будут проверяться по ocsp и не будут на каждую проверку подписи дергаться crl...
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 03.12.2018(UTC) Сообщений: 496 Сказал(а) «Спасибо»: 54 раз
Поблагодарили: 78 раз в 76 постах
|
Автор: mstdoc
Из информации по приведенной ссылке так и не понял зачем каждый сертификат проверять и по crl и по ocsp...
Т.е. получается раньше у меня каждый сертификат проверялся по crl, а включив
в настройках "DefaultOCSPURL" каждый сертификат стал проверяться сначала
по ocsp, а потом еще и по crl...
Я включал опцию DefaultOCSPURL с той идеей, что сертификаты будут проверяться по ocsp и не будут на каждую проверку подписи дергаться crl...
если мы говорим про проверку. 1. внешний штамп tsp всегда проверяется. ему нужен crl минкомсвязи. 2. смотрите требованияи это не так работает как вы думаете. ocsp статус лучше запрашивать там где издан сертификат. представьте ситуацию: вам нужна справка об отсутствии судимости на ваше имя. обычно такую справку берут в мвд. но у вас на руках справка об отсутствии судимости за подписью и печатью главврача городской больницы. вопрос: кто такой справке поверит? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 59 Откуда: Москва Поблагодарили: 11 раз в 10 постах
|
Автор: mstdoc Автор: Ситдиков Денис Автор: mstdoc Автор: Ситдиков Денис Да, вариант с собственным сервером тоже может подойти. Цитата:Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне. Добрый день. Пытаюсь настроить ocsp, но что-то идет не так: Код:./cpconfig -ini "/config/cades/ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Section, key or parameter not found.
Добрый день! Код:[sudo] /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Да, параметр добавился, благодарю. Но есть проблема. При проверке подписи по сетевому дампу видно нечто странное. 1. Было обращение в сторону ocsp сервера, был получен ответ что сертификат (подписанта) валидный. 2. Однако, после этого все равно пошло обращение в сторону crl. 3. После этого снова было обращение в сторону ocsp сервера с проверкой сертификата промежуточного УЦ. Был получен ответ что сертификат валидный. 4. Тем не менее последовал запрос в сторону crl промежуточного сертификата. Это нормальное поведение? Зачем инициируются запросы в сторону crl, если ocsp дал положительный ответ? Может есть еще некая настройка? Screenshot 2021-01-14 at 18.53.44.png (45kb) загружен 13 раз(а). Если корневой для подписанта != корневой для OCSP службы, то ответ этой службы не является доказательством валидности сертификата. Чтобы принимать ответы других служб, нужна настройка Службы OCSP: сертификаты уполномоченных служб OCSP. Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 25
Сказал(а) «Спасибо»: 1 раз
|
Что-то я совсем запутался. Автор: Ситдиков Денис если мы говорим про проверку. 1. внешний штамп tsp всегда проверяется. ему нужен crl минкомсвязи. 2. смотрите требованияи это не так работает как вы думаете. ocsp статус лучше запрашивать там где издан сертификат. представьте ситуацию: вам нужна справка об отсутствии судимости на ваше имя. обычно такую справку берут в мвд. но у вас на руках справка об отсутствии судимости за подписью и печатью главврача городской больницы. вопрос: кто такой справке поверит? Думаю тут больше будет уместна аналогия с неким местным филиалом МВД, у которого на руках есть информация обо всех судимостях, актуальная на некую дату. Если информация есть - филиал ее выдает, если нет, то нет. Автор: Ситдиков Денис
Добрый день!
Нет, для cades это невозможно.
Как вариант, можно настроить OCSP службу: проверка по OCSP приоритетнее проверки по CRL.
Автор: Ситдиков Денис Да, вариант с собственным сервером тоже может подойти. Цитата:
Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате
Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне. После вот этих ответов, появилась идея что мы поднимаем у себя некий локальный ocsp сервер, который занимается тем, что всасывает в себя все crl, до которых может дотянуться и обновляет их по мере необходимости. И при проверке подписи мы спрашиваем этот локальный сервер о статусе того или иного сертификата. Именно так лично я понял вот эти ответы, поправьте меня если я ошибся. Автор: Ситдиков Денис
Если корневой для подписанта != корневой для OCSP службы, то ответ этой службы не является доказательством валидности сертификата.
Чтобы принимать ответы других служб, нужна настройка Службы OCSP: сертификаты уполномоченных служб OCSP.
Я правильно понимаю что после настройки этой службы, запросы в сторону crl прекратятся, если ocsp отдаст валидный статус сертификата? Автор: Ситдиков Денис
Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo.
Сделаю, как только разберусь как это провернуть )) Отредактировано пользователем 15 января 2021 г. 15:42:32(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 59 Откуда: Москва Поблагодарили: 11 раз в 10 постах
|
Цитата:Автор: Ситдиков Денис Да, вариант с собственным сервером тоже может подойти. Цитата:
Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате
Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне. После вот этих ответов, появилась идея что мы поднимаем у себя некий локальный ocsp сервер, который занимается тем, что всасывает в себя все crl, до которых может дотянуться и обновляет их по мере необходимости. И при проверке подписи мы спрашиваем этот локальный сервер о статусе того или иного сертификата. Именно так лично я понял вот эти ответы, поправьте меня если я ошибся. Да, все верно. Цитата:Автор: Ситдиков Денис
Если корневой для подписанта != корневой для OCSP службы, то ответ этой службы не является доказательством валидности сертификата.
Чтобы принимать ответы других служб, нужна настройка Службы OCSP: сертификаты уполномоченных служб OCSP.
Я правильно понимаю что после настройки этой службы, запросы в сторону crl прекратятся, если ocsp отдаст валидный статус сертификата? Да, если настроить службу так, что на проверяющей машине ее ответ будет успешно проверен, то запроса к crl для заданного сертификата с этой машины не будет.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 59 Откуда: Москва Поблагодарили: 11 раз в 10 постах
|
Автор: nomhoi Еще было бы неплохо настроить в Dockerfile установку сертификатов с приватными ключами на контейнере. Чтобы контейнер с ключами сохранился в отдельном томе. Мне пока не понятно, как это сделать. Вариант добавить папки с ключами и хранилищами в докер вам не подойдет? Код:docker run -v `pwd`/code:/code -v /var/opt/cprocsp/keys/$USER:/var/opt/cprocsp/keys/root -v /var/opt/cprocsp/users/$USER/stores:/var/opt/cprocsp/users/root/stores -it pycades python3 sample_sign_verify.py
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 25
Сказал(а) «Спасибо»: 1 раз
|
Автор: Ситдиков Денис Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo. Код:"C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" pi c:\cer\123.response
Status: 0 (successful)
Signature algorithm: 1.2.643.7.1.1.3.2, ALG_ID: 0x0
HasNonce: 1
ProducedAt: 15.01.2021 16:52:32
Extensions: none
Certificate of signer of OCSP response: CN=-censored-, O=-censored-, C=RU, S=-censored-, L=Симферополь, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Verification of OCSP response: succeed.
Single responses (1):
#1:
Hash algorithm: 1.2.643.7.1.1.2.2
Serial number: 0F31 CA00 55AC 62A3 4E30 3B1A BA5A CA9E
Issuer key hash: BD67 A435 7B56 FFE2 304D 4315 2B42 9A71 65CA F156 4E37 A7EA B83E AD61 3B76 2C21
Issuer name hash: 8FDB F859 3079 9637 2BEF C594 23CA 619C 8805 4645 632E 1A3A 81CC 0A63 EAE0 711F
Certificate status: Good
RevTime: none
RevReason: none
ThisUpdate: 15.01.2021 16:52:32
NextUpdate: none
Archive cutoff: none
Extensions: none
Verification of single response: succeed.
Certificates from OCSP response (1):
CN=-censored-, O=-censored-, C=RU, S=-censored-, L=-censored-, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
[ErrorCode: 0x80096004]
Если я правильно понимаю, вот с этим проблема? И похоже что проблема именно в настройке самого ocsp-сервера? Код:Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Отсюда вопросы: 1. если этот момент устранить, будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl для 1.1. сертификата подписанта? 1.2. сертификата промежуточного? 2. если этот момент не устранить и добавить этот ocsp в "Службы OCSP: сертификаты уполномоченных служб OCSP", будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 25
Сказал(а) «Спасибо»: 1 раз
|
Автор: Ситдиков Денис Автор: nomhoi Еще было бы неплохо настроить в Dockerfile установку сертификатов с приватными ключами на контейнере. Чтобы контейнер с ключами сохранился в отдельном томе. Мне пока не понятно, как это сделать. Вариант добавить папки с ключами и хранилищами в докер вам не подойдет? Код:docker run -v `pwd`/code:/code -v /var/opt/cprocsp/keys/$USER:/var/opt/cprocsp/keys/root -v /var/opt/cprocsp/users/$USER/stores:/var/opt/cprocsp/users/root/stores -it pycades python3 sample_sign_verify.py
А может есть готовый рецепт для включения дебажных логов криптопро в докере? Или перенаправления их из syslog в какой-либо файл?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 59 Откуда: Москва Поблагодарили: 11 раз в 10 постах
|
Автор: mstdoc Автор: Ситдиков Денис Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo. Код:"C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" pi c:\cer\123.response
Status: 0 (successful)
Signature algorithm: 1.2.643.7.1.1.3.2, ALG_ID: 0x0
HasNonce: 1
ProducedAt: 15.01.2021 16:52:32
Extensions: none
Certificate of signer of OCSP response: CN=-censored-, O=-censored-, C=RU, S=-censored-, L=Симферополь, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Verification of OCSP response: succeed.
Single responses (1):
#1:
Hash algorithm: 1.2.643.7.1.1.2.2
Serial number: 0F31 CA00 55AC 62A3 4E30 3B1A BA5A CA9E
Issuer key hash: BD67 A435 7B56 FFE2 304D 4315 2B42 9A71 65CA F156 4E37 A7EA B83E AD61 3B76 2C21
Issuer name hash: 8FDB F859 3079 9637 2BEF C594 23CA 619C 8805 4645 632E 1A3A 81CC 0A63 EAE0 711F
Certificate status: Good
RevTime: none
RevReason: none
ThisUpdate: 15.01.2021 16:52:32
NextUpdate: none
Archive cutoff: none
Extensions: none
Verification of single response: succeed.
Certificates from OCSP response (1):
CN=-censored-, O=-censored-, C=RU, S=-censored-, L=-censored-, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
[ErrorCode: 0x80096004]
Если я правильно понимаю, вот с этим проблема? И похоже что проблема именно в настройке самого ocsp-сервера? Код:Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Отсюда вопросы: 1. если этот момент устранить, будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl для 1.1. сертификата подписанта? 1.2. сертификата промежуточного? 2. если этот момент не устранить и добавить этот ocsp в "Службы OCSP: сертификаты уполномоченных служб OCSP", будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl? Насколько я понимаю, в вашем случае это 2 независимые ошибки. Вам нужно добиться проверки сертификата OCSP оператора и добавить хэш сертификата в настройку "Службы OCSP: сертификаты уполномоченных служб OCSP". Если ocsputil respinfo для вашего запроса выполнится успешно, то запросы к crl для этого сертификата выполняться не должны.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 59 Откуда: Москва Поблагодарили: 11 раз в 10 постах
|
Автор: mstdoc Автор: Ситдиков Денис Автор: nomhoi Еще было бы неплохо настроить в Dockerfile установку сертификатов с приватными ключами на контейнере. Чтобы контейнер с ключами сохранился в отдельном томе. Мне пока не понятно, как это сделать. Вариант добавить папки с ключами и хранилищами в докер вам не подойдет? Код:docker run -v `pwd`/code:/code -v /var/opt/cprocsp/keys/$USER:/var/opt/cprocsp/keys/root -v /var/opt/cprocsp/users/$USER/stores:/var/opt/cprocsp/users/root/stores -it pycades python3 sample_sign_verify.py
А может есть готовый рецепт для включения дебажных логов криптопро в докере? Или перенаправления их из syslog в какой-либо файл? Если вы пользуетесь докером из https://github.com/nomhoi/pycades_build , то там не установлены системные журналы. После доустановки необходимых пакетов и выполнения инструкции по включению логов дебаговый вывод там работает. Готового рецепта в общем случае нет, из syslog в файл вывод не перенаправляется. Отредактировано пользователем 15 января 2021 г. 17:37:00(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 25
Сказал(а) «Спасибо»: 1 раз
|
Автор: Ситдиков Денис Если вы пользуетесь докером из https://github.com/nomhoi/pycades_build , то там не установлены системные журналы. После доустановки необходимых пакетов и выполнения инструкции по включению логов дебаговый вывод там работает. Готового рецепта в общем случае нет, из syslog в файл вывод не перенаправляется. Пользуемся своим, но, насколько я понимаю, проблема не в конкретном билде. У докера в принципе были и есть проблемы с системными журналами. Они заводятся, но весьма костыльными методами.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 25
Сказал(а) «Спасибо»: 1 раз
|
Автор: Ситдиков Денис Автор: mstdoc Автор: Ситдиков Денис Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo. Код:"C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" pi c:\cer\123.response
Status: 0 (successful)
Signature algorithm: 1.2.643.7.1.1.3.2, ALG_ID: 0x0
HasNonce: 1
ProducedAt: 15.01.2021 16:52:32
Extensions: none
Certificate of signer of OCSP response: CN=-censored-, O=-censored-, C=RU, S=-censored-, L=Симферополь, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Verification of OCSP response: succeed.
Single responses (1):
#1:
Hash algorithm: 1.2.643.7.1.1.2.2
Serial number: 0F31 CA00 55AC 62A3 4E30 3B1A BA5A CA9E
Issuer key hash: BD67 A435 7B56 FFE2 304D 4315 2B42 9A71 65CA F156 4E37 A7EA B83E AD61 3B76 2C21
Issuer name hash: 8FDB F859 3079 9637 2BEF C594 23CA 619C 8805 4645 632E 1A3A 81CC 0A63 EAE0 711F
Certificate status: Good
RevTime: none
RevReason: none
ThisUpdate: 15.01.2021 16:52:32
NextUpdate: none
Archive cutoff: none
Extensions: none
Verification of single response: succeed.
Certificates from OCSP response (1):
CN=-censored-, O=-censored-, C=RU, S=-censored-, L=-censored-, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
[ErrorCode: 0x80096004]
Если я правильно понимаю, вот с этим проблема? И похоже что проблема именно в настройке самого ocsp-сервера? Код:Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Отсюда вопросы: 1. если этот момент устранить, будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl для 1.1. сертификата подписанта? 1.2. сертификата промежуточного? 2. если этот момент не устранить и добавить этот ocsp в "Службы OCSP: сертификаты уполномоченных служб OCSP", будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl? Насколько я понимаю, в вашем случае это 2 независимые ошибки. Вам нужно добиться проверки сертификата OCSP оператора и добавить хэш сертификата в настройку "Службы OCSP: сертификаты уполномоченных служб OCSP". Если ocsputil respinfo для вашего запроса выполнится успешно, то запросы к crl для этого сертификата выполняться не должны. Ошибку 1.1 удалось устранить после того, как в хранилище CA был положен промежуточный сертификат сервера ocsp. Теперь запрос в сторону crl подписанта не выполняется. В настройки был добавлен параметр "AuthorizedOCSPs": На винде ocsputil теперь выдает корректный ответ и для сертификата подписанта и для промежуточного. Но на linux - сервере запрос в сторону промежуточного crl по прежнему выполняется, хотя там параметр AuthorizedOCSPs так же был прописан в настройки. Код:
#cat /etc/opt/cprocsp/config64.ini
......
DefaultOCSPURL = "http://ocsp.domain.ru/ocsp/ocsp.srf"
AuthorizedOCSPs = msz:"1ecbae543567b84d44b2e865ced9b5073ec77c8c"
Кстати, а где взять ocsputil для linux? На странице загрузки есть только виндовая версия...
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 59 Откуда: Москва Поблагодарили: 11 раз в 10 постах
|
ocsputil ставится при установке пакета cprocsp-pki-cades, находится в папке /opt/cprocsp/bin/amd64.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 03.12.2018(UTC) Сообщений: 496 Сказал(а) «Спасибо»: 54 раз
Поблагодарили: 78 раз в 76 постах
|
Автор: mstdoc
Думаю тут больше будет уместна аналогия с неким местным филиалом МВД, у которого на руках есть информация обо всех судимостях, актуальная на некую дату.
Если информация есть - филиал ее выдает, если нет, то нет.
я к тому что ваши усовершенствованные подписи у третьей стороны не проверятся. т.к. они не будут доверять вашему ocsp серверу, т.к. у них в настройках не будет настроено доверие к вашему ocsp серверу. проверьте вашу усовершенствованную подпись на других ресурсах. к примеру тут |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 25
Сказал(а) «Спасибо»: 1 раз
|
Автор: Санчир Момолдаев Автор: mstdoc
Думаю тут больше будет уместна аналогия с неким местным филиалом МВД, у которого на руках есть информация обо всех судимостях, актуальная на некую дату.
Если информация есть - филиал ее выдает, если нет, то нет.
я к тому что ваши усовершенствованные подписи у третьей стороны не проверятся. т.к. они не будут доверять вашему ocsp серверу, т.к. у них в настройках не будет настроено доверие к вашему ocsp серверу. проверьте вашу усовершенствованную подпись на других ресурсах. к примеру тут Это понятно. Но проблема с которой все началось заключалась не в подписании, а в проверке подписи другой стороны в ситуации недоступности их crl сервера. Когда нужно проверять по 20-30 подписей в секунду, а crl недоступен, локальный ocsp сервер сильно поможет.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
