Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline elenavm  
#1 Оставлено : 14 июля 2010 г. 13:37:34(UTC)
elenavm

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.07.2010(UTC)
Сообщений: 4

Есть УЦ на RSA Keon, есть CryptoPro OCSP Server (лицензия тестовая на 30 дней, физически сервера разные, режим работы со списком отзыва сертификатов). На одном сервере с OCSP работает CryptoPro TSP Server.
При попытке создания усовершенствованной подписи к КриптоАрм выдается следующее сообщение:

Цитата:
Статус завершения операции: Неудача.
Длительность выполнения операции: 0:00:11.98
Входной файл: C:\123.txt
Выходной файл: C:\123.txt.sig
Описание ошибки:
Ошибка сохранения сообщения (0x80004005)
Ошибка сохранения сообщения (0x80004005)
Произошла ошибка при создании подписи
Ошибка создания атрибутов усовершенствованной подписи
Процесс отмены не может быть продолжен - проверка сертификатов недоступна. (0x800b010e)


При этом TSP и OCSP при запросе из командной строки(ocsputil, tsputil) выдают нормальный валидные ответы.
При создании усовершенствованной подписи с тестовым УЦ КриптоПро, все проходит без ошибок.
В логах TSP и OCSP видно, что запросы пришли, ответы выпущены и отправлены.

В чем может быть проблема?
Offline Новожилова Елена  
#2 Оставлено : 14 июля 2010 г. 17:12:13(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Здравствуйте!

Проверяйте по списку.
Offline elenavm  
#3 Оставлено : 14 июля 2010 г. 17:39:59(UTC)
elenavm

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.07.2010(UTC)
Сообщений: 4

Цитата:
*Должна быть доступна запущенная служба штампов времени (TSP-сервер).
*Должна быть доступна запущенная служба актуальных статусов (OCSP-сервер).

есть

Цитата:
*OCSP-сервер должен быть сконфигурирован таким образом, чтобы в поле ThisUpdate OCSP-ответа проставлялось текущее время (например, в режиме работы по БД ЦС для КриптоПро OCSP Server).

здесь указывается время последнего выпущенного CRL

Цитата:
* Если соединение с TSP- или OCSP-сервером осуществляется через прокси-сервер, и этот прокси-сервер отличается от настроенного в Internet Explorer, то его адрес должен быть задан либо в групповых политиках соответствующего клиента, либо передан в качестве аргумента соответствующим функциям КриптоПро ЭЦП SDK.
*Если прокси-сервер требует аутентификации, то соответствующие параметры должны быть заданы в групповых политиках соответствующего клиента, либо переданы в качестве аргуметов соответствующим функциям КриптоПро ЭЦП SDK.
*Если для соединения с TSP- или OCSP-сервером требуется аутентификация, то соответствующие параметры должны быть заданы в групповых политиках соответствующего клиента, либо переданы в качестве аргуметов соответствующим функциям КриптоПро ЭЦП SDK.

Подключение идет напрямую, прокси не используется, аутентификация на OCSP и TSP отсутствует

Цитата:
*Адрес OCSP-сервера должен либо содержаться в расширении AIA (Authority Information Access) сертификата, на ключе которого создаётся подпись, либо должен быть задан в групповой политике КриптоПро OCSP Client Адрес службы OCSP по умолчанию.

адрес указан в AIA клиентского сертификата

Цитата:
*Сертификат, на котором создаётся подпись и сертификат службы штампов времени, должны проверяться на отзыв и для них должны строиться цепочки.

Клиентский сертификат проверяется и успешно проходит проверку. В сертификате TSP отсутствует ссылка на OCSP(выпускался давно, с другим профилем, в AIA не содержится адрес OCSP) - необходимо переиздать?

Цитата:
*Для сертификата службы актуальных статусов должна строиться цепочка, также он должен иметь расширение Признак доверия службе OCSP (id-pkix-ocsp-nocheck - OID 1.3.6.1.5.5.7.48.1.5)

В сертификате OCSP-сервера
Код:
Подпись ответа службы OCSP
Признак доверия службе OCSP (id-pkix-ocsp-nocheck)


Цитата:
Для проверки усовершенствованной подписи необходимо, чтобы в хранилище "Доверенные центры сертификации" ("Root") были установлены сертификаты:
*корневой сертификат для сертификата, на котором была сделана подпись;
*корневой сертификат для сертификата службы штампов времени.

да, так и сделано
Offline Новожилова Елена  
#4 Оставлено : 14 июля 2010 г. 17:50:22(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Цитата:
здесь указывается время последнего выпущенного CRL

Нужно в настройках OCSP Server поставить галочку "Заменять время последнего обновления CRL текущим временем"

Цитата:
В сертификате TSP отсутствует ссылка на OCSP(выпускался давно, с другим профилем, в AIA не содержится адрес OCSP) - необходимо переиздать?

Нет, в сертификате службы штампов адрес OCSP не нужен.
Offline elenavm  
#5 Оставлено : 14 июля 2010 г. 17:54:07(UTC)
elenavm

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.07.2010(UTC)
Сообщений: 4

Заработало, спасибо!
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.