Статус: Участник
Группы: Участники
Зарегистрирован: 27.04.2016(UTC)
Сообщений: 10
|
Добрый день. Моя последовательность действий: 1. Ставлю корневой сертификат: ./certmgr -inst -store mroot -f /home/user/certnew.cer 2. Ставлю CRL: ./certmgr -inst -crl -store mroot -f /home/user/certcrl.crl 3. Проверяю подпись и получаю ошибку: ./cryptcp -verify -mroot -errchain -f /home/user/cert/0certificate /home/user/cert/0signature
CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.
Certificates found: 2
Certificate chain is not checked for this certificate:
RDN:Ф И О, Tver, _unmap, OFFICE, cp, local
Valid from 20.04.2016 11:48:18 to 20.04.2017 11:48:18
The certificate revocation status or one of the certificates in the certificate chain is unknown.
[ErrorCode: 0x20000133] Что я делаю не так? Список сертификатов в хранилище mroot: ./certmgr -list -store mroot -cert
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
=============================================================================
1-------
Issuer : DC=local, DC=cp, CN=cp-CA-AD-CA
Subject : DC=local, DC=cp, CN=cp-CA-AD-CA
Serial : 0x5983C7318505EF84486AD1CFBC65CC07
SHA1 Hash : 0xf459bac3e42784ca6725406fcc9709801552680a
SubjKeyID : 75c43c4d3f38fa3f49337c66ed379ca143112ad3
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 19/04/2016 09:28:05 UTC
Not valid after : 19/04/2046 09:37:35 UTC
PrivateKey Link : No
=============================================================================
[ErrorCode: 0x00000000]
Информация о сертификате и сертификате ЦС:  Отредактировано пользователем 27 апреля 2016 г. 13:20:22(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 11.03.2013(UTC) Сообщений: 805   Откуда: Оттуда Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
|
Добрый день.
Ключем -f Вы указываете, что поиск сертификатов для проверки подписанного файла будет осуществляться в сообщении '/home/user/cert/0certificate /home/user/cert/0signature'. По ошибке - не удается проверить сертификат(ы) из данного сообщения. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.04.2016(UTC)
Сообщений: 10
|
Спасибо, с этим разобрался, но возникла другая проблема: сертификат есть в списке отозванных, список установлен, но cryptcp говорит что все ОК: Код:
; Ставлю сертификат пользователя (он отозван):
/opt/cprocsp/bin/amd64/certmgr -store mroot -inst -f /home/user/user.cer
; Корневой сертификат:
/opt/cprocsp/bin/amd64/certmgr -store mroot -inst -f /home/user/cert/certnew.cer
; Цепочка сертификатов:
/opt/cprocsp/bin/amd64/certmgr -store mroot -inst -f /home/user/cert/certnew.p7b
; Список отозванных сертификатов (в нем есть сертификат пользователя):
/opt/cprocsp/bin/amd64/certmgr -store mroot -crl -inst -f /home/user/cert/certcrl.crl
Проверяю подпись и проверка успешна, почему?Код:
/opt/cprocsp/bin/amd64/cryptcp -verify -mroot -all -errchain /tmp/encrypted_j57pJK /tmp/decrypted_OWmbHv
CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.
Certificates found: 5
Certificate chains are checked.
Folder '/tmp/':
/tmp/encrypted_j57pJK... Signature verifying... ���� 0%����
Signer: Ф И О, Tver, _unmap, OFFICE, cp, local
Signature's verified.
[ReturnCode: 0]
Вывод списка отозванных сертификатов: Код:
/opt/cprocsp/bin/amd64/certmgr -store mroot -crl -list
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
=============================================================================
1-------
Issuer : DC=local, DC=cp, CN=cp-CA-AD-CA
ThisUpdate: 28/04/2016 07:27:26 UTC
NextUpdate: 28/04/2016 09:02:26 UTC
AuthKeyID : 75c43c4d3f38fa3f49337c66ed379ca143112ad3
=============================================================================
[ErrorCode: 0x00000000]
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 11.03.2013(UTC) Сообщений: 805 Откуда: Оттуда Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
|
Добрый день. Для файлов CRL используйте хранилище CA (mCA). Из документации CSP 4.0 "ЖТЯИ.00088-01 93 02. Приложение командной строки для работы с сертификатами": Цитата:Имя хранилища. Первая буква указывает тип хранилища - 'u' для пользовательского хранилища, 'm' для хранилища машины, остальная часть строки без первой буквы обозначает имя хранилища. Использование без 'u' или 'm' является устаревшим. Существует несколько предопределенных хранилищ: <My> - хранилище для пользовательских сертификатов, <Root> - для корневых CA сертификатов, <CA> - для промежуточных CA сертификатов или CRL, <AddressBook> - для других пользовательских сертификатов, <Cache> - хранилище кэша сертификатов/CRL (доступно только чтение и удаление). <uMy> является значением по умолчанию. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 259
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 11 раз в 10 постах
|
Автор: scoot  Спасибо, с этим разобрался, но возникла другая проблема: сертификат есть в списке отозванных, список установлен, но cryptcp говорит что все ОК: Тут первым делом надо смотреть на время подписи и время отзыва. Если подписано до отзыва, то в чем дело?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.04.2016(UTC)
Сообщений: 10
|
Автор: eav Добрый день. Для файлов CRL используйте хранилище CA (mCA). Из документации CSP 4.0 "ЖТЯИ.00088-01 93 02. Приложение командной строки для работы с сертификатами": Цитата:Имя хранилища. Первая буква указывает тип хранилища - 'u' для пользовательского хранилища, 'm' для хранилища машины, остальная часть строки без первой буквы обозначает имя хранилища. Использование без 'u' или 'm' является устаревшим. Существует несколько предопределенных хранилищ: <My> - хранилище для пользовательских сертификатов, <Root> - для корневых CA сертификатов, <CA> - для промежуточных CA сертификатов или CRL, <AddressBook> - для других пользовательских сертификатов, <Cache> - хранилище кэша сертификатов/CRL (доступно только чтение и удаление). <uMy> является значением по умолчанию. Проблема у меня в том, что если я ставлю пользовательский сертификат в mroot, то похоже игнорируются CRL, если ставлю в другое хранилище, и это же хранилище указываю при проверке подписи в cryptcp, то выдается ошибка: Код:The certificate revocation status or one of the certificates in the certificate chain is unknown.
[ErrorCode: 0x20000133]
Итак: CRL ставлю в mCA, корневой сертификат в mroot, а в какое хранилище мне ставить пользовательский сертификат? И какое хранилище указывать в cryptcp?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 11.03.2013(UTC) Сообщений: 805 Откуда: Оттуда Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
|
Цитата:Итак: CRL ставлю в mCA, корневой сертификат в mroot, а в какое хранилище мне ставить пользовательский сертификат? И какое хранилище указывать в cryptcp? Цитата:Первая буква указывает тип хранилища - 'u' для пользовательского хранилища, 'm' для хранилища машины, остальная часть строки без первой буквы обозначает имя хранилища. Использование без 'u' или 'm' является устаревшим. Существует несколько предопределенных хранилищ: <My> - хранилище для пользовательских сертификатов, <AddressBook> - для других пользовательских сертификатов, |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.04.2016(UTC)
Сообщений: 10
|
Я все это внимательно прочитал, и действую именно так: Код:
/opt/cprocsp/bin/amd64/certmgr -store mroot -inst -f /home/user/cert/srvcert.cer
/opt/cprocsp/bin/amd64/certmgr -store mroot -inst -f /home/user/cert/srvcert.p7b
/opt/cprocsp/bin/amd64/certmgr -store mAddressBook -inst -f usercertificate.cer
И все равно у меня возникает ошибка: Код:
/opt/cprocsp/bin/amd64/cryptcp -verify -mAddressBook -errchain signedDataFile outputFile
The certificate revocation status or one of the certificates in the certificate chain is unknown.
[ErrorCode: 0x20000133] /opt/cprocsp/bin/amd64/cryptcp -verify -mAddressBook -errchain
Где я ошибся? Отредактировано пользователем 11 мая 2016 г. 12:50:41(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 11.03.2013(UTC) Сообщений: 805 Откуда: Оттуда Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
|
Цитата:И все равно у меня возникает ошибка: Код: Код:/opt/cprocsp/bin/amd64/cryptcp -verify -mAddressBook -errchain signedDataFile outputFile
The certificate revocation status or one of the certificates in the certificate chain is unknown.
[ErrorCode: 0x20000133] /opt/cprocsp/bin/amd64/cryptcp -verify -mAddressBook -errchain
Вы полностью команду и результат выполнения прислали? Почему не указан КПС для поиска сертификата в хранилище mAddressBook, у Вас там один сертификат? Если точно не указывать Критерий поиска сертификатов (КПС), то перебираться и проверяться будут все сертификаты из данного хранилища. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.04.2016(UTC)
Сообщений: 10
|
Да, в хранилище mAddressBook только один сертификат, поэтому указывать КПС смысла нет. Команда полностью: Код:/opt/cprocsp/bin/amd64/cryptcp -verify -mAddressBook -errchain /tmp/encrypted_WzPG9k /tmp/decrypted_drmg4n
Результат ее выполнения полностью: Код:CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.
The following certificate will be used:
RDN:Ф И О, Tver, _unmap, OFFICE, cp, local
Valid from 23.05.2016 11:19:50 to 23.05.2017 11:19:50
Certificate chain is not checked for this certificate:
RDN:Ф И О, Tver, _unmap, OFFICE, cp, local
Valid from 23.05.2016 11:19:50 to 23.05.2017 11:19:50
The certificate revocation status or one of the certificates in the certificate chain is unknown.
[ErrorCode: 0x20000133]
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
