Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline auglov  
#1 Оставлено : 10 октября 2017 г. 14:54:38(UTC)
auglov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76

Сказал(а) «Спасибо»: 3 раз
Здравствуйте.

Есть сертификат клиента, в нем есть CRL, но нет OCSP. При попытке улучшить подпись до XLong1, естественно, падает исключение из-за невозможности получить OCSP-ответ.

Самое интересное, что OCSP-сервер, похоже, совсем отсутствует у удостоверяющего центра. Раньше был по адресу http://ocsp.roskazna.ru/ocsp/ocsp.srf. Найти, куда он делся, так и не удалось. Сейчас домен ocsp.roskazna.ru не существует.

Как-то сейчас можно обойти отсутствие OCSP в сертификате?
Offline Евгений Афанасьев  
#2 Оставлено : 10 октября 2017 г. 14:58:26(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Здравствуйте.
В текущей версии адрес берется только из сертификата.
Offline auglov  
#3 Оставлено : 10 октября 2017 г. 15:00:43(UTC)
auglov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76

Сказал(а) «Спасибо»: 3 раз
То есть, даже что-то вроде

Код:

keytool -importcert -file "f:\fk.cer" -keystore "c:\Program Files\Java\jdk1.8.0_101\jre\lib\security\cacerts" -alias fk1 -ext AIA=ocsp:http://ocsp.roskazna.ru/ocsp/ocsp.srf


никак не спасет?

Получется, что улучшить подписи для сертификатов от этого УЦ вообще никак нельзя?
Offline Евгений Афанасьев  
#4 Оставлено : 10 октября 2017 г. 15:41:35(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Нет, ocsp ссылка берется из сертификата.
А что дает расширение -ext? Не удалось найти в описании (jdk1.8.0_112):
Код:

>keytool -importcert -help
keytool -importcert [OPTION]...

Imports a certificate or a certificate chain

Options:

 -noprompt                       do not prompt
 -trustcacerts                   trust certificates from cacerts
 -protected                      password through protected mechanism
 -alias <alias>                  alias name of the entry to process
 -file <filename>                input file name
 -keypass <arg>                  key password
 -keystore <keystore>            keystore name
 -storepass <arg>                keystore password
 -storetype <storetype>          keystore type
 -providername <providername>    provider name
 -providerclass <providerclass>  provider class name
 -providerarg <arg>              provider argument
 -providerpath <pathlist>        provider classpath
 -v                              verbose output

Use "keytool -help" for all available commands
Offline auglov  
#5 Оставлено : 10 октября 2017 г. 15:56:53(UTC)
auglov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76

Сказал(а) «Спасибо»: 3 раз
Вот документация на -ext: http://docs.oracle.com/j...ols/solaris/keytool.html

Это я сначала пробовал повторить рекомендацию, которая описана тут, по аналогии: http://cpdn.cryptopro.ru.../cades/requirements.html

Цитата:
либо его можно указать в свойствах сертификата УЦ, выдавшего данный сертификат.


Как-то так:

Код:

keytool -importcert -file "f:\fk.cer" -keystore "c:\Program Files\Java\jdk1.8.0_101\jre\lib\security\cacerts" -alias fk1 -ext AIA=ocsp:http://ocsp.roskazna.ru/ocsp/ocsp.srf


Сертификат добавился, но ничего не изменилось. Возможно, надо адрес ocsp брать в кавычки - нигде не нашел примеров, как правильно его указать.

А потом я уже обратил внимание, что мне это все равно не поможет, т.к. ocsp.roskazna.ru вообще не существует.

А нет ли способа при улучшении подписи игнорировать в особенных случаях отсутствие OCSP? Якобы, его наличие не является обязательным в CAdES-C, если верить википедии.

Отредактировано пользователем 10 октября 2017 г. 15:59:31(UTC)  | Причина: Не указана

Offline auglov  
#6 Оставлено : 10 октября 2017 г. 16:05:43(UTC)
auglov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76

Сказал(а) «Спасибо»: 3 раз
Пока еще не проверял, в порядке бредового эксперимента, а что будет, если в ext передать какой-нибудь не родной, но рабочий ocsp, чтобы получить какое-нибудь другое сообщение об ошибке - уже не остсутствие OCSP, а какой-нибудь нехороший ответ от него. Просто чтобы выяснить, работает ли оно хоть как-нибудь.
Offline Евгений Афанасьев  
#7 Оставлено : 10 октября 2017 г. 17:03:32(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Автор: auglov Перейти к цитате
ертификат добавился, но ничего не изменилось

Написано, что "The option can be used in -genkeypair and -gencert to embed extensions into the certificate generated". В CAdES.jar формируются подписи формата BES, T или X Long Type 1 (в последней и требуется именно адрес OCSP, CAdES-C не поддерживается).

Отредактировано пользователем 10 октября 2017 г. 17:04:19(UTC)  | Причина: Не указана

Offline auglov  
#8 Оставлено : 10 октября 2017 г. 17:39:16(UTC)
auglov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76

Сказал(а) «Спасибо»: 3 раз
Ну, вдруг бы повезло и сработало для -importcert тоже. Все-таки, в разделе Common Options описано. Тем более, раз, в целом, бывает возможность указать альтернативный OCSP, то почему бы не поискать эту возможность в Java.

Так, вроде же, XLong1 - это расширение для CAdES-C (https://ru.wikipedia.org/wiki/CAdES). То, что нет возможности сформировать именно ее, а можно либо T, либо сразу XLong1, не отменяет "и/или" из предложения

Цитата:

Второй атрибут содержит идентификаторы сертификатов из списка отзыва сертификатов (Certificate Revocation Lists, CRL) и/или ответы протокола установления статуса сертификатов (Online Certificate Status Protocol, OCSP)
Offline auglov  
#9 Оставлено : 13 ноября 2017 г. 12:27:24(UTC)
auglov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76

Сказал(а) «Спасибо»: 3 раз
Автор: auglov Перейти к цитате


Так, вроде же, XLong1 - это расширение для CAdES-C (https://ru.wikipedia.org/wiki/CAdES). То, что нет возможности сформировать именно ее, а можно либо T, либо сразу XLong1, не отменяет "и/или" из предложения

Цитата:

Второй атрибут содержит идентификаторы сертификатов из списка отзыва сертификатов (Certificate Revocation Lists, CRL) и/или ответы протокола установления статуса сертификатов (Online Certificate Status Protocol, OCSP)


Здравствуйте.

Не подскажете ссылку на конкретный RFC или ГОСТ, где хоть как-то регламентируется обязательность или необязательность OCSP ответов для формирования CAdES-XLong1 из CAdES-BES?
Википедия хоть и хороший источник, но все-таки неофициальный.
Хочется окончательно разобраться в вопросе, что делать, если УЦ не предоставляет OCSP в принципе никак, а XLong1 хочется получить. Это не прав УЦ, или JCP, или чего-то не хватает в законах/стандартах, чтобы все работало как надо и ничему не противоречило?

Отредактировано пользователем 13 ноября 2017 г. 12:28:15(UTC)  | Причина: Не указана

Offline Александр Лавник  
#10 Оставлено : 13 ноября 2017 г. 14:53:48(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: auglov Перейти к цитате
Автор: auglov Перейти к цитате


Так, вроде же, XLong1 - это расширение для CAdES-C (https://ru.wikipedia.org/wiki/CAdES). То, что нет возможности сформировать именно ее, а можно либо T, либо сразу XLong1, не отменяет "и/или" из предложения

Цитата:

Второй атрибут содержит идентификаторы сертификатов из списка отзыва сертификатов (Certificate Revocation Lists, CRL) и/или ответы протокола установления статуса сертификатов (Online Certificate Status Protocol, OCSP)


Здравствуйте.

Не подскажете ссылку на конкретный RFC или ГОСТ, где хоть как-то регламентируется обязательность или необязательность OCSP ответов для формирования CAdES-XLong1 из CAdES-BES?
Википедия хоть и хороший источник, но все-таки неофициальный.
Хочется окончательно разобраться в вопросе, что делать, если УЦ не предоставляет OCSP в принципе никак, а XLong1 хочется получить. Это не прав УЦ, или JCP, или чего-то не хватает в законах/стандартах, чтобы все работало как надо и ничему не противоречило?


Добрый день.

На странице информации о КриптоПро ЭЦП есть ссылка на соответствующий стандарт и RFC 5126.

Чтобы получать OCSP ответы (например, для создания CAdES Xlong1) УЦ должен развернуть OCSP сервер. Сертификат оператора OCSP сервера должен быть выдан этим УЦ и удовлетворять необходимым требованиям.

Таким образом, если УЦ не развернул OCSP сервер, то создать CAdES Xlong1 не получится.

Отредактировано пользователем 13 ноября 2017 г. 15:02:03(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.