Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

5 Страницы<1234>»
Опции
К последнему сообщению К первому непрочитанному
Offline alex61  
#11 Оставлено : 6 июня 2019 г. 13:58:18(UTC)
alex61

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 47
Российская Федерация
Откуда: РнД

Сказал(а) «Спасибо»: 2 раз
режим работы с БД ЦР.
ЦР, ЦС, OCSP на одном сервере.
Offline Захар Тихонов  
#12 Оставлено : 6 июня 2019 г. 13:59:52(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Вы отзываете сертификат через Консоль ЦР?
Включите журнал в службе. И после повторного обращения с проверкой от КритпоАРМ, в журнале появляются записи? И в них указано что серитфикат действительный?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#13 Оставлено : 6 июня 2019 г. 15:53:37(UTC)
alex61

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 47
Российская Федерация
Откуда: РнД

Сказал(а) «Спасибо»: 2 раз
Отзываю сертификат через консоль, все верно. Там статус меняется сразу же на отозван (прекращение работы).

Открыл журнал. Вот как он выглядит:

Snimok9.JPG (95kb) загружен 7 раз(а).

Там почему-то одни запросы.

Вот так выглядит запрос изнутри:

Snimok10.JPG (43kb) загружен 8 раз(а).


Еще один нюанс, по временам запросов видно, что есть огромный разрыв. Он произошел как раз тогда, как я начал пробовать менять адреса службы в настройках ЦС.
Экпериментальным путем выяснил, что если ставить так, то не появляется даже запросов:

Цитата:
[1]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://srv3.it.ru/ocsp/ocsp.srf
[2]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://srv3/ocsp/ocsp.srf

[3]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://srv3.it.ru/aia/380cb2557ed0ab4c1f3bc680c129d3d68516db02.crt


А если поставить галочку в настройках как на скрине ниже; в сертификате это тогда будет выглядеть так:
Цитата:
[1]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://srv3.it.ru/ocsp/ocsp.srf
[2]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://srv3.it.ru/aia/380cb2557ed0ab4c1f3bc680c129d3d68516db02.crt

[3]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://srv3.it.ru/ocsp/ocsp.srf

Snimok11.JPG (58kb) загружен 16 раз(а).

То запросы начинают регистрироваться в журнале, но ни ответов, ни реального отображения статуса в криптоарм не происходит. Самое странное, что я не нашел в инструкции к OCSP server где и как вписывать адрес службы. Есть только упоминание вскользь.
Offline Захар Тихонов  
#14 Оставлено : 6 июня 2019 г. 16:14:23(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: alex61 Перейти к цитате

Snimok11.JPG (58kb) загружен 16 раз(а).

То запросы начинают регистрироваться в журнале, но ни ответов, ни реального отображения статуса в криптоарм не происходит. Самое странное, что я не нашел в инструкции к OCSP server где и как вписывать адрес службы. Есть только упоминание вскользь.


Так делать не стоит, это не правильно.

Войдите в свойства экземпляра службы. Там будет указан его адрес, вместо localhost укажите правильное dsn имя.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#15 Оставлено : 7 июня 2019 г. 8:56:55(UTC)
alex61

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 47
Российская Федерация
Откуда: РнД

Сказал(а) «Спасибо»: 2 раз
В настройках службы нельзя отредактировать поле пути.
Пробовал ее останавливать/запускать, не дает, можно только скопировать текущий адрес.
Удалил службу. При создании новой даже не предлагает ввести путь, нет такой настройки. В созданной службе уже прописан путь через localhost.
Offline Захар Тихонов  
#16 Оставлено : 7 июня 2019 г. 9:05:00(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Вам адрес требуется указывать в пользовательских сертификатах. Вы просто эксперементируете с адресом, я только подсказал где взять правильный.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#17 Оставлено : 7 июня 2019 г. 9:38:20(UTC)
alex61

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 47
Российская Федерация
Откуда: РнД

Сказал(а) «Спасибо»: 2 раз
Я правильно понимаю, что нужно добавить адрес с днс именем полным в шаблон сертификата пользователя как адрес службы ocsp? При этом в настройках цс убрать эту строку с ocsp совсем? При этом в настройках службы останется localhost.
Просто я убрал галочку, которая вы сказали что неправильная на скриншоте и запросы опять перестали появляться в журнале.

При каждом изменении настроек цс я перевыпускаю сертификат пользователя на котором тестирую.

Отредактировано пользователем 7 июня 2019 г. 9:39:14(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#18 Оставлено : 7 июня 2019 г. 9:42:53(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Можно указывать адрес как в шаблонах, так и в свойствах ЦС.
Рекомендую проверить работу службы с помощью OCSPutil, согласно эксплуатационной документации. Потом уже переходить на прикладное ПО.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#19 Оставлено : 7 июня 2019 г. 10:08:17(UTC)
alex61

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 47
Российская Федерация
Откуда: РнД

Сказал(а) «Спасибо»: 2 раз
Я в ранее в теме писал, что у меня выдает ошибку при проверке как в инструкции через командную строку. Поэтому я начал м криптоарм работать, чтоб хоть как-то проверить.
Offline Захар Тихонов  
#20 Оставлено : 7 июня 2019 г. 10:13:59(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Возможно нет прав на записл в каталоге Program Files. Скопируйте ocsputil в любую папку, например в Загрузки. И проверьте в ней выполнение команды. Файл request.orq не создавайте, он сам создасться (но указать его требуется).

Отредактировано пользователем 7 июня 2019 г. 10:20:33(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
5 Страницы<1234>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.