Статус: Новичок
Группы: Участники
Зарегистрирован: 27.08.2018(UTC) Сообщений: 7
|
Автор: Максим Коллегин С большой вероятностью проблема в вашем приложении, сможете предоставить законченный тест - мы постараемся помочь.
Такой тест переодически падает. Код:
[Test]
public void test()
{
var log = new ConsoleLog();
var certificate =
new X509Certificate2(
File.ReadAllBytes(@"C:\Users\malygin.sergey\BE856D7A3C983DDB9C18B03480D7FA9B81AE416F.cer"));
var chainPolicy = new X509ChainPolicy
{
VerificationFlags = X509VerificationFlags.NoFlag,
VerificationTime = DateTime.Now,
RevocationMode = X509RevocationMode.Online,
RevocationFlag = X509RevocationFlag.ExcludeRoot,
UrlRetrievalTimeout = TimeSpan.FromSeconds(10)
};
var chain = new X509Chain {ChainPolicy = chainPolicy};
var certificateIsValid = chain.Build(certificate);
log.Info("end");
}
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 28.08.2017(UTC) Сообщений: 2
|
Я гонял certutil ещё с ключом -urlfetch не знаю важно ли это, а под успешно вы имеете в виду: Код:CertUtil: -verify command completed successfully.
или Код:CertUtil: -verify command FAILED: 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
CertUtil: Cannot find object or property.
heap corruption случается когда в процессе верификации происходит обращение к http://uc.krskcit.ru:8081/ocsp/ocsp.srfПри этом на компьютере должно быть доверие к новому корневому сертификату Минкомсвязи выпущенному с подписью (GOST R 34.11-2012/34.10-2012 256 bit) ocsp ответы http://uc.krskcit.ru:8081/ocsp/ocsp.srf тоже содержат сертификат, подписанный новым сертом Минкомсвязи, а сам ответ содержит ошибку. Snimok ehkrana ot 2018-08-28 11-28-56.png (75kb) загружен 27 раз(а).Удаление из доверенных сертификата CN=Минкомсвязь России, приводит к тому что verify перестает падать с heap corruption-ом, но мы остаемся без доверия к сертификатам 34.11-2012 Можете подсказать как быть в такой ситуации. Отредактировано пользователем 28 августа 2018 г. 10:18:55(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 706 раз в 614 постах
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 706 раз в 614 постах
|
Проблема в OCSP клиенте MSFT Код:00 00000088`5238d628 00007ffc`05a34485 ntdll!RtlpBreakPointHeap+0x16
01 00000088`5238d630 00007ffc`05a022d9 ntdll!RtlpCheckBusyBlockTail+0x20d
02 00000088`5238d670 00007ffc`05a46174 ntdll!RtlpValidateHeapEntry+0x4cea9
03 00000088`5238d6a0 00007ffc`059f0052 ntdll!RtlDebugFreeHeap+0xc8
04 00000088`5238d700 00007ffc`059608ae ntdll!RtlpFreeHeap+0x8de52
05 00000088`5238d910 00007ffc`027069ef ntdll!RtlFreeHeap+0x3ee
06 00000088`5238d9b0 00007ffb`eda14aff KERNELBASE!LocalFree+0x2f
07 00000088`5238d9f0 00007ffb`eda1afd8 cryptnet!I_ValidateOcspResponse+0x2cf
08 00000088`5238db30 00007ffb`eda1a059 cryptnet!I_RetrieveObjectByOcspUrlValidForSubject+0x228
09 00000088`5238e030 00007ffb`eda19835 cryptnet!RetrieveTimeValidObjectByUrl+0x329
0a 00000088`5238e160 00007ffb`eda18de3 cryptnet!CTVOAgent::GetTimeValidObjectByUrl+0x265
0b 00000088`5238e310 00007ffb`eda1878f cryptnet!CTVOAgent::GetTimeValidObject+0x643
0c 00000088`5238e5c0 00007ffb`eda15d58 cryptnet!CrlFromCertGetTimeValidObject+0x4f
0d 00000088`5238e630 00007ffb`eda157c1 cryptnet!GetTimeValidCrl+0x1a8
0e 00000088`5238e790 00007ffc`01a99969 cryptnet!MicrosoftCertDllVerifyRevocation+0x1d1
0f 00000088`5238e910 00007ffc`01a996c2 CRYPT32!VerifyDefaultRevocation+0x241
10 00000088`5238e9c0 00007ffc`01a9b248 CRYPT32!CertVerifyRevocation+0x132
За 20 минут не нашел, как отключить проверку по OCSP в Windows, разве что заблокировать адрес. Отредактировано пользователем 28 августа 2018 г. 12:52:02(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2007(UTC) Сообщений: 152 Откуда: Екатеринбург
Сказал(а) «Спасибо»: 1 раз Поблагодарили: 1 раз в 1 постах
|
А вы пообщаетесь про это с МС? У вас "доступ к телу" наверняка ближе всех нас вместе взятых :)
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 706 раз в 614 постах
|
|
|
1 пользователь поблагодарил Максим Коллегин за этот пост.
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
2 simonovbs Под успешно я имел ввиду "completed sucessfully". Из ответов на тему уже понятно почему - оба УЦ с которыми мы работаем (да и сама Минкомсвязь) не указывают в сертификате адреса OCSP-ответчика, поэтому мы не ставили лицензию на OCSP-клиент и соответственно ответ OCSP не запрашивался даже при наличии в проверяемом сертификате адреса OCSP-ответчика, проверка прошла успешно только по спискам отзыва сертификатов.
Вместо этого у службы "CRL update" от ИИТ изначальные настройки (были настроены для Випнетовских УЦ) конфигурации мы заменили на Головной УЦ (1 экземпляр службы), УЦ с которыми работаем плюс Ростелеком (еще 2 экземпляра службы). Несколько экземпляров нужны из-за специфичного алгоритма работы этой службы - есть список сертификатов/списков отзыва, есть список серверов, служба ищет каждый сертификат и список отзыва на всех серверах (в том числе на серверах других УЦ где его точно нет), при 3-4 УЦ это уже занимает пару минут и есть риск неудачного старта службы из-за пропуска таймаута. С другой стороны, для одного УЦ с множественными сертификатами (Головной УЦ) алгоритм вполне эффективен. Опрос списков отзыва - каждые 24 часа.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 27.08.2018(UTC) Сообщений: 7
|
Автор: Максим Коллегин Попробую, ага. Как успехи ?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 706 раз в 614 постах
|
Переслал всю информацию руководителю группы CAPI. Ждём. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 27.08.2018(UTC) Сообщений: 7
|
Здравствуйте , есть новости ?
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close