Автор: veb 
Как установить список отзывов?
Лично я (на винде) создал небольшой пакетный файл, в котором wget тянет файлы списков отзыва по списку http-ресурсов
У меня получилось ГОСТ-2001/-2012 самого ГУЦ, ещё один промежуточный УЦ ГУЦ-а (он выдал сертификаты все остальным УЦ, которые мне нужны), три списка отзыва "моего" УЦ - файл и OCSP-сервер, на которых проверяется мой личный сертификат (берётся из свойств), список отзыва для TSP-сервера (требуется при формировании CASES-Long подписей) и список отзыва для ФНС.
Для госзакупок понадобится ещё федеральное казначейство и, возможно, площадки, на которых вы участвуете в торгах.
В целом, алгоритм примерно такой:
0. Сертификаты и списки отзыва ГУЦ берём с
https://e-trust.gosuslugi.ru/1. Получаем КЭП в УЦ;
2. Через гуй или из дампа сертификата извлекаем информацию о точках распространения СОС и сертификата "своего" УЦ.
3. Скачиваем нужный сертификат из всей кучи, которая есть у "своего" УЦ и по п.2 получаем данные о промежуточном УЦ из инфраструктуры ГУЦ.
Таким образом "поднимаясь" снизу вверх получаем минимально необходимый набор http-ресурсов, на которых расположены файлы сертфикатов (.crt/.cer/.der) и файлы списков отзывов (.crl).
Сертификаты скачиваем разово и разово устанавливаем в нужные хранилища.
Для списков отзыва делаем скрипт, который через wget/curl будет забирать обновлённые списки отзыва и устанавливать. Скрипт забиваем в планировщик и ставим на ежесуточный запуск.
Аналогичным образом, можно добавить недостающее для любого ресурса или/и пользователя - смотрим сертификат и добавляем к списку то, чего не хватает.
P.S.
УЦ не обязан добавлять точку распространения собственного сертификата.
Насколько я знаю, этот атрибут не подписывается и, соответственно, указание такой ссылки считается небезопасным.
В таком случае придётся идти "сверху вниз" ориентируясь на реестры ГУЦ и ОГРН/серийный номер/хэш сертификата УЦ.
P.P.S.
Виндовый скрипт примерно такой:
Код:wget --unlink -Nnv^
http://ресурс1/файл1.crl^
...^
http://ресурс#/файл#.crl
for %%A in (*.crl) do @certutil -addstore CA %%A
"Каретка" (^) заменяется на "обратную косую" (\) - это делается чтобы удобно "сложить" длинную комстроку.
Цикл для установки списков отзыва переписывается очевидным образом.
Файлы сертификатов скачиваются разово, раскладываются в два каталога ("для корневых" и "для промежуточных") и также разово устанавливаются. Две команды установки можно или вбить ручками или, таки, сделать два скрипта, которые можно объединить в один
Первый раз, конечно, немного геморрно, но "зато потом за пять минут долететь"
Отредактировано пользователем 28 августа 2018 г. 12:41:53(UTC)
| Причина: Не указана
