Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2019(UTC) Сообщений: 42 Сказал(а) «Спасибо»: 22 раз Поблагодарили: 2 раз в 1 постах
|
Добрый день. Есть две машины, на обеих криптопро 5.0 версия .. На обеих установлен один и тот же сертификат, один и то же контейнер с ключом, соответствующие цепочке CRL списки также (!) загружены в хранилище. Различия в ПК (1 и 2)- на ПК 2 интернет через цербера-прокси с возможностью расшифровки https трафика, насколько там закручены гайки - неизвестно, это "черный ящик". на машине 2 не работает https://www.cryptopro.ru...e/cades_bes_sample.html,точнее ошибка о том, что не "удалось построить цепочку" , подписать - успешно. С этого все началось; аналогичное поведение и при создании подписи через компоненту "Инструменты КриптоПро" - cptools.exe на машине 2 Вопроc: 1. каков алгоритм проверок при создании подписи Browser Plagin-ом и cptools.exe? 2. Похоже, игнорируются crl-списки в хранилище и предпринимается попытка скачать crl по ссылкам из сертификатов. Так ли это? Да, прокси-цербер перехватывает и http и Ldap ссылки (одна из точек cdp по ldap протоколу, если это важно), но списки через certutil -url отрабатываются корректно На ПК 1 с "чистым" интернет все ок.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2019(UTC) Сообщений: 42 Сказал(а) «Спасибо»: 22 раз Поблагодарили: 2 раз в 1 постах
|
Ок, но может специалисты КриптоПро скажут хотя бы следующее - в браузерном плагине и cptools.exe есть ли дополнительные обращения в Интернет, кроме CDP/AIA/ служб времени и других ссылок, зашитых в сертификатах? Ну, может проверка целостности/авторства/антифишинг и т.п.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,175 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Здравствуйте. CRL требуется установить в хранилище локального компьютера от всей цепочки серитфикатов. Приложите вывод выполнения команды certutil -verify -urlfetch "файл серитфиката" Если вы используете наш revocation provider, то будет проверка по службе OCSP https://www.cryptopro.ru/products/pki/reprov |
|
1 пользователь поблагодарил Захар Тихонов за этот пост.
|
lab2 оставлено 01.10.2019(UTC)
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2019(UTC) Сообщений: 42 Сказал(а) «Спасибо»: 22 раз Поблагодарили: 2 раз в 1 постах
|
Ок, проблемный ПК вчера был недоступен, отпишусь как доберусь до него
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2019(UTC) Сообщений: 42 Сказал(а) «Спасибо»: 22 раз Поблагодарили: 2 раз в 1 постах
|
Еще вернусь к теме, пока не удалось выяснить причину (не так просто получить доступ к этому ПК), но проблема решилась - пустили в интернет в обход цербера-прокси
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close