OCSP сервер КриптоПРО и УЦ SignalCOM

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

2 Страницы12 >

OCSP сервер КриптоПРО и УЦ SignalCOM

Опции

Предыдущая тема Следующая тема

florentii		#1 Оставлено : 10 сентября 2017 г. 14:35:53(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 17.04.2015(UTC) Сообщений: 31 Откуда: Тирасполь Сказал(а) «Спасибо»: 4 раз Поблагодарили: 2 раз в 2 постах		Подскажите есть ли опыт взаимодействия продуктов "OCSP сервер КриптоПРО" и "УЦ SignalCOM"? Если более конкретно, то есть купленный УЦ компании SignalCOM? но у самой этой компании решений OCSP сервера мы не нашли, тогда было принято решение закупать TSP и OCSP у КриптоПРО, и если с TSP сервером проблем не возникло (получилось установить TSP сервер и установить сертификат оператора, выданный нашим УЦ), то с OCSP основной проблемой является установка сертификата оператора OCSP сервера (или правильнее говорить его создание). Возможно кто-то сможет подсказать как можно сгенерировать нужный сертификат оператора OCSP сервера КриптоПРО при помощи УЦ от SignalCOM. Или возможно подскажите ссылки на ресурсы, которые однозначно утверждают что сделать запланированное невозможно.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

pavenko_sv		#2 Оставлено : 12 сентября 2017 г. 8:02:35(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 23.08.2017(UTC) Сообщений: 70 Откуда: Нижний Новгород Сказал «Спасибо»: 39 раз		Автор: florentii Подскажите есть ли опыт взаимодействия продуктов "OCSP сервер КриптоПРО" и "УЦ SignalCOM"? Если более конкретно, то есть купленный УЦ компании SignalCOM? но у самой этой компании решений OCSP сервера мы не нашли, тогда было принято решение закупать TSP и OCSP у КриптоПРО, и если с TSP сервером проблем не возникло (получилось установить TSP сервер и установить сертификат оператора, выданный нашим УЦ), то с OCSP основной проблемой является установка сертификата оператора OCSP сервера (или правильнее говорить его создание). Возможно кто-то сможет подсказать как можно сгенерировать нужный сертификат оператора OCSP сервера КриптоПРО при помощи УЦ от SignalCOM. Или возможно подскажите ссылки на ресурсы, которые однозначно утверждают что сделать запланированное невозможно. Аналогичная проблема, но у меня пока нет ни "TSP и OCSP серверов КриптоПРО" Ключи приобретены в СКБ Контур Буду рад узнать как получить адреса серверов и сертификаты
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

florentii		#3 Оставлено : 12 сентября 2017 г. 12:05:03(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 17.04.2015(UTC) Сообщений: 31 Откуда: Тирасполь Сказал(а) «Спасибо»: 4 раз Поблагодарили: 2 раз в 2 постах		Автор: pavenko_sv Аналогичная проблема, но у меня пока нет ни "TSP и OCSP серверов КриптоПРО" Мы пока что тоже не закупили сами сервера, у КриптоПро все продукты имеют тестовый период, поэтому перед покупкой можно убедиться в том что эти средства вам подходят (или не подходят, как в случае с OCSP сервером)


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

pavenko_sv		#4 Оставлено : 12 сентября 2017 г. 12:25:58(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 23.08.2017(UTC) Сообщений: 70 Откуда: Нижний Новгород Сказал «Спасибо»: 39 раз		Автор: florentii Автор: pavenko_sv Аналогичная проблема, но у меня пока нет ни "TSP и OCSP серверов КриптоПРО" Мы пока что тоже не закупили сами сервера, у КриптоПро все продукты имеют тестовый период, поэтому перед покупкой можно убедиться в том что эти средства вам подходят (или не подходят, как в случае с OCSP сервером) С тестовыми ключами от КриптоПро я уже всё настроил сейчас боевую версию настраиваю.
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

pavenko_sv		#5 Оставлено : 12 сентября 2017 г. 12:34:28(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 23.08.2017(UTC) Сообщений: 70 Откуда: Нижний Новгород Сказал «Спасибо»: 39 раз		Автор: pavenko_sv Автор: florentii Подскажите есть ли опыт взаимодействия продуктов "OCSP сервер КриптоПРО" и "УЦ SignalCOM"? Если более конкретно, то есть купленный УЦ компании SignalCOM? но у самой этой компании решений OCSP сервера мы не нашли, тогда было принято решение закупать TSP и OCSP у КриптоПРО, и если с TSP сервером проблем не возникло (получилось установить TSP сервер и установить сертификат оператора, выданный нашим УЦ), то с OCSP основной проблемой является установка сертификата оператора OCSP сервера (или правильнее говорить его создание). Возможно кто-то сможет подсказать как можно сгенерировать нужный сертификат оператора OCSP сервера КриптоПРО при помощи УЦ от SignalCOM. Или возможно подскажите ссылки на ресурсы, которые однозначно утверждают что сделать запланированное невозможно. Аналогичная проблема, но у меня пока нет ни "TSP и OCSP серверов КриптоПРО" Ключи приобретены в СКБ Контур Буду рад узнать как получить адреса серверов и сертификаты Если кому нужен ответ из СКБ Контура: УЦ ЗАО ПФ СКБ Контур и УЦ ООО "Сертум-ПРО" включает во все сертификаты, выдаваемые по услугам УЦ (как в КЭП, так и в НЭП, в т.ч. в Сертум Классик/Электронную подпись 2.0) метку времени (служба TSP) и информацию о службе статуса сертификата (служба OCSP) для возможности создания при помощи сертификата усовершенствованной электронной подписи. Важно! в сертификаты для отчетности и наших продуктов (в КЭП для КЭ и продуктов Контура) информации, необходимой для создания уКЭП, в сам сертификат не включается. Для чего это нужно? В спорных ситуациях иногда необходимо подтвердить, что квалифицированный сертификат был действителен на момент подписания документа. В системах Контур.Экстерн или Контур.Диадок данная проверка реализована внутренними средствами самих систем. Если же подписывается произвольный документ, то доказать действительность сертификата в момент подписания спустя долгое время (после истечения его срока действия) тяжело. Формат усовершенствованной подписи предусматривает включение в реквизиты подписанного документа информации о времени создания подписи и о статусе сертификата в момент подписания. СКБ Контур настроил собственный сервис штампа времени TSP. При подписании идет обращение к независимому серверу, который фиксирует точное время подписания. А статус сертификата в момент подписи обеспечивается электронной квитанцией Удостоверяющего центра, полученной в момент подписи посредством OCSP. Эта квитанция содержит статус запрашиваемого сертификата (действителен, отозван). Подлинность подписи в этом случае может быть подтверждена и по прошествии длительного периода времени. Поставить метку времени на документе локально можно, например, при подписывании через КриптоАРМ. Метка времени также является условием электронного документооборота с некоторыми информационными системами, например, с ФТС(https://edata.customs.ru , зн. 4255) и торги ГК Росатом на ЭТП Фабрикант.ру (https://fabrikant.ru, зн. 5743) или B2B (https://www.b2b-center.ru/ зн. 6072). 2. Информация о службах OCSP и TSP можно увидеть в самом сертификате на вкладке Состав - поле "Доступ к сведениям о Центре сертификации" Если данное поле содержит описание, включающее: 1) Метод доступа - Протокол определения состояния сертификата через сеть; 2) ссылку на OCSP-сервер; то сертификат является подходящим для формирования уКЭП: Пример: [1]Доступ к сведениям центра сертификации Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1) Дополнительное имя: URL=http://[ссылка на OCSP-сервер.srf] Пример сертификата, содержащего ссылку на OCSP-сервер, во вложении. Если в данном поле нет ссылки на OCSP-сервер и нет указания на Метод доступа - Протокол определения состояния сертификата через сеть, сертификат не подойдёт для создания уКЭП. 3. Сертификаты наших служб TSP и OCSP во вложении. Адреса TSP и OCSP-серверов нашего УЦ : · УЦ ЗАО ПФ СКБ Контур: http://pki.skbkontur.ru/ocsp/ocsp.srf http://pki.skbkontur.ru/ocspq/ocsp.srf http://pki.skbkontur.ru/ocspn2/ocsp.srf http://pki.skbkontur.ru/tsp/tsp.srf · УЦ ООО "Сертум-ПРО": http://pki.sertum-pro.ru/ocsp/ocsp.srf http://pki.sertum-pro.ru/ocspq/ocsp.srf http://pki.sertum-pro.ru/ocspn2/ocsp.srf http://pki.sertum-pro.ru/tsp/tsp.srf
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Александр Лавник		#6 Оставлено : 12 сентября 2017 г. 12:51:00(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,387 Сказал «Спасибо»: 53 раз Поблагодарили: 777 раз в 719 постах		Автор: florentii Подскажите есть ли опыт взаимодействия продуктов "OCSP сервер КриптоПРО" и "УЦ SignalCOM"? Если более конкретно, то есть купленный УЦ компании SignalCOM? но у самой этой компании решений OCSP сервера мы не нашли, тогда было принято решение закупать TSP и OCSP у КриптоПРО, и если с TSP сервером проблем не возникло (получилось установить TSP сервер и установить сертификат оператора, выданный нашим УЦ), то с OCSP основной проблемой является установка сертификата оператора OCSP сервера (или правильнее говорить его создание). Возможно кто-то сможет подсказать как можно сгенерировать нужный сертификат оператора OCSP сервера КриптоПРО при помощи УЦ от SignalCOM. Или возможно подскажите ссылки на ресурсы, которые однозначно утверждают что сделать запланированное невозможно. Добрый день. Требования к сертификату оператора OCSP сервера следующие: 1) в расширении EKU (Extended Key Usage) должно содержаться значение - Подпись ответов службы OCSP (id-kp-OCSPSigning – OID 1.3.6.1.5.5.7.3.9), 2) должно присутствовать расширения - Признак доверия службе OCSP (id-pkix-ocsp-nocheck – OID 1.3.6.1.5.5.7.48.1.5) (для создания усовершенствованной подписи с помощью КриптоПро TSP Client и КриптоПро OCSP Client). Соответствующие настройки шаблонов сертификата на УЦ SignalCOM лучше узнавать в техподдержке разработчика УЦ SignalCOM. Обратите внимание, что работа КриптоПро OCSP Server возможна в трех режимах: 1) С базой данных Центра Сертификации КриптоПро УЦ; 2) С базой данных Центра Регистрации КриптоПро УЦ; 3) Со списком отзыва сертификатов. Соответственно, OCSP Server может работать со сторонними УЦ в режиме со списком отзыва сертификатов. Более подробная информация в документации на КриптоПро OCSP Server.
		Техническую поддержку оказываем тут Наша база знаний

1 пользователь поблагодарил Александр Лавник за этот пост.		pavenko_sv оставлено 14.09.2017(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

pavenko_sv		#7 Оставлено : 14 сентября 2017 г. 12:09:09(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 23.08.2017(UTC) Сообщений: 70 Откуда: Нижний Новгород Сказал «Спасибо»: 39 раз		Автор: alexlav Автор: florentii Подскажите есть ли опыт взаимодействия продуктов "OCSP сервер КриптоПРО" и "УЦ SignalCOM"? Если более конкретно, то есть купленный УЦ компании SignalCOM? но у самой этой компании решений OCSP сервера мы не нашли, тогда было принято решение закупать TSP и OCSP у КриптоПРО, и если с TSP сервером проблем не возникло (получилось установить TSP сервер и установить сертификат оператора, выданный нашим УЦ), то с OCSP основной проблемой является установка сертификата оператора OCSP сервера (или правильнее говорить его создание). Возможно кто-то сможет подсказать как можно сгенерировать нужный сертификат оператора OCSP сервера КриптоПРО при помощи УЦ от SignalCOM. Или возможно подскажите ссылки на ресурсы, которые однозначно утверждают что сделать запланированное невозможно. Добрый день. Требования к сертификату оператора OCSP сервера следующие: 1) в расширении EKU (Extended Key Usage) должно содержаться значение - Подпись ответов службы OCSP (id-kp-OCSPSigning – OID 1.3.6.1.5.5.7.3.9), 2) должно присутствовать расширения - Признак доверия службе OCSP (id-pkix-ocsp-nocheck – OID 1.3.6.1.5.5.7.48.1.5) (для создания усовершенствованной подписи с помощью КриптоПро TSP Client и КриптоПро OCSP Client). Соответствующие настройки шаблонов сертификата на УЦ SignalCOM лучше узнавать в техподдержке разработчика УЦ SignalCOM. Обратите внимание, что работа КриптоПро OCSP Server возможна в трех режимах: 1) С базой данных Центра Сертификации КриптоПро УЦ; 2) С базой данных Центра Регистрации КриптоПро УЦ; 3) Со списком отзыва сертификатов. Соответственно, OCSP Server может работать со сторонними УЦ в режиме со списком отзыва сертификатов. Более подробная информация в документации на КриптоПро OCSP Server. Как я могу проверить эти настройки или где их можно посмотреть? Если я использую код для подписания как я могу задать сервер или другие настрочки? Код: var CAPICOM_CURRENT_USER_STORE = 2; var CAPICOM_MY_STORE = "My"; var CAPICOM_STORE_OPEN_READ_ONLY = 0; var CAPICOM_STORE_OPEN_READ_WRITE = 1; var CAPICOM_STORE_OPEN_MAXIMUM_ALLOWED = 2; var CAPICOM_CERTIFICATE_FIND_SUBJECT_NAME = 1; var CAPICOM_CERTIFICATE_FIND_SHA1_HASH = 0; var CAPICOM_CERTIFICATE_INCLUDE_WHOLE_CHAIN = 1; var CADESCOM_CADES_X_LONG_TYPE_1 = 5; var CADESCOM_CADES_BES = 1; var CADESCOM_ENCODE_BASE64 = 0; //Задание кодировки подписываемых данных var CADESCOM_STRING_TO_UCS2LE = 0; //Данные будут перекодированы в UCS-2 little endian. var CADESCOM_BASE64_TO_BINARY = 1; //Данные будут перекодированы из Base64 в бинарный массив. function SignCreate(thumbprint, dataToSign, cadesTypeSelected, isbDetached, tspService) { let oCertificate; let oSigner; let oSignedData; let sSignedMessage; let oStore = cadesplugin.CreateObject("CAPICOM.Store"); oStore.Open(CAPICOM_CURRENT_USER_STORE, CAPICOM_MY_STORE, CAPICOM_STORE_OPEN_MAXIMUM_ALLOWED); let oCertificates = oStore.Certificates.Find(CAPICOM_CERTIFICATE_FIND_SHA1_HASH, thumbprint); if (oCertificates.Count == 0) { return "Certificate not found: " + thumbprint; } oCertificate = oCertificates.Item(1); oSigner = cadesplugin.CreateObject("CAdESCOM.CPSigner"); oSigner.Certificate = oCertificate; if (cadesTypeSelected != 1) { oSigner.TSAAddress = tspService; } oSignedData = cadesplugin.CreateObject("CAdESCOM.CadesSignedData"); oSignedData.ContentEncoding = CADESCOM_BASE64_TO_BINARY; oSignedData.Content = dataToSign; try { sSignedMessage = oSignedData.SignCades(oSigner, cadesTypeSelected, isbDetached); } catch (err) { let errmsg = "Failed to create signature. Error: " + GetErrorMessage(err); alert(errmsg); return errmsg; } try { oSignedData.VerifyCades(sSignedMessage, cadesTypeSelected, isbDetached); } catch (err) { alert("Failed to verify signature. Error: " + cadesplugin.getLastError(err)); return false; } oStore.Close(); return sSignedMessage; } Отредактировано пользователем 14 сентября 2017 г. 12:12:14(UTC) \| Причина: Не указана
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Александр Лавник		#8 Оставлено : 14 сентября 2017 г. 15:45:02(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,387 Сказал «Спасибо»: 53 раз Поблагодарили: 777 раз в 719 постах		Цитата: Как я могу проверить эти настройки или где их можно посмотреть? Не совсем понятно, про какие именно настройки Вы спрашиваете? Цитата: Если я использую код для подписания как я могу задать сервер или другие настрочки? Адрес TSP службы задается через свойство "TSAAddress" объекта типа "CAdESCOM.CPSigner" как в примере на странице: var oSigner = cadesplugin.CreateObject("CAdESCOM.CPSigner"); oSigner.TSAAddress = "http://cryptopro.ru/tsp/";
		Техническую поддержку оказываем тут Наша база знаний

1 пользователь поблагодарил Александр Лавник за этот пост.		pavenko_sv оставлено 14.09.2017(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

pavenko_sv		#9 Оставлено : 14 сентября 2017 г. 16:26:32(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 23.08.2017(UTC) Сообщений: 70 Откуда: Нижний Новгород Сказал «Спасибо»: 39 раз		Цитата: Если я использую код для подписания как я могу задать сервер или другие настрочки? Адрес TSP службы задается через свойство "TSAAddress" объекта типа "CAdESCOM.CPSigner" как в примере на странице: var oSigner = cadesplugin.CreateObject("CAdESCOM.CPSigner"); oSigner.TSAAddress = "http://cryptopro.ru/tsp/"; А Адрес OCSP Server Должен браться из сертификата, но у меня ошибка, что я могу с ней сделать. она плавающая вчера небыло на крипто-прошном сертвере TSP сегодня появилась (вновь)
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Александр Лавник		#10 Оставлено : 14 сентября 2017 г. 17:11:20(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,387 Сказал «Спасибо»: 53 раз Поблагодарили: 777 раз в 719 постах		Адрес OCSP службы указывается в сертификате подписывающего в расширении "Доступ к информации о центрах сертификации" (AIA). Возможно также создание усовершенствованной подписи с использованием сертификата, не содержащего ссылку на OCSP-службу.
		Техническую поддержку оказываем тут Наша база знаний

1 пользователь поблагодарил Александр Лавник за этот пост.		pavenko_sv оставлено 14.09.2017(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

2 Страницы12 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close