Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline lab2  
#1 Оставлено : 27 сентября 2019 г. 17:11:54(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 42
Российская Федерация

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 2 раз в 1 постах
Добрый день.

Есть две машины, на обеих криптопро 5.0 версия ..
На обеих установлен один и тот же сертификат, один и то же контейнер с ключом, соответствующие цепочке CRL списки также (!) загружены в хранилище.
Различия в ПК (1 и 2)- на ПК 2 интернет через цербера-прокси с возможностью расшифровки https трафика, насколько там закручены гайки - неизвестно, это "черный ящик".

на машине 2 не работает https://www.cryptopro.ru...e/cades_bes_sample.html,
точнее ошибка о том, что не "удалось построить цепочку" , подписать - успешно.

С этого все началось; аналогичное поведение и при создании подписи через компоненту "Инструменты КриптоПро" - cptools.exe на машине 2

Вопроc:
1. каков алгоритм проверок при создании подписи Browser Plagin-ом и cptools.exe?

2. Похоже, игнорируются crl-списки в хранилище и предпринимается попытка скачать crl по ссылкам из сертификатов.
Так ли это?

Да, прокси-цербер перехватывает и http и Ldap ссылки (одна из точек cdp по ldap протоколу, если это важно), но списки через certutil -url отрабатываются корректно
На ПК 1 с "чистым" интернет все ок.

Offline lab2  
#2 Оставлено : 30 сентября 2019 г. 10:52:52(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 42
Российская Федерация

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 2 раз в 1 постах
Ок, но может специалисты КриптоПро скажут хотя бы следующее - в браузерном плагине и cptools.exe есть ли дополнительные обращения в Интернет, кроме CDP/AIA/ служб времени и других ссылок, зашитых в сертификатах?
Ну, может проверка целостности/авторства/антифишинг и т.п.
Offline Захар Тихонов  
#3 Оставлено : 30 сентября 2019 г. 11:11:09(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Здравствуйте.
CRL требуется установить в хранилище локального компьютера от всей цепочки серитфикатов.
Приложите вывод выполнения команды
certutil -verify -urlfetch "файл серитфиката"

Если вы используете наш revocation provider, то будет проверка по службе OCSP https://www.cryptopro.ru/products/pki/reprov

Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
lab2 оставлено 01.10.2019(UTC)
Offline lab2  
#4 Оставлено : 1 октября 2019 г. 10:10:46(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 42
Российская Федерация

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 2 раз в 1 постах
Ок, проблемный ПК вчера был недоступен, отпишусь как доберусь до него
Offline lab2  
#5 Оставлено : 2 октября 2019 г. 17:35:42(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 42
Российская Федерация

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 2 раз в 1 постах
Еще вернусь к теме, пока не удалось выяснить причину (не так просто получить доступ к этому ПК), но проблема решилась - пустили в интернет в обход цербера-прокси


RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.