Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline DmitryKlg  
#1 Оставлено : 25 октября 2019 г. 16:07:50(UTC)
DmitryKlg

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.09.2019(UTC)
Сообщений: 46
Российская Федерация

Подскажите почему-данный файл успешно проходит проверку на госуслугах, но при проверки его cades php isValid сертификата = 0;

Другие файлы читаются нормально.

Сертификат не просроченный. Корневой УЦ для него установлен. Ошибок при чтении нет.

Rukovodstvo_pol'zovatelja_dlja_Agentov.zip (1,090kb) загружен 6 раз(а).
Offline two_oceans  
#2 Оставлено : 28 октября 2019 г. 5:50:38(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Добрый день.
Одного корневого сертификата мало, скорее всего нужно установить промежуточный сертификат. Желательно с правами администратора поставить сертификаты УЦ в соответствующее хранилище компьютера (хранилища пользователя могут игнорироваться, если запрещены политикой и не действуют для служб). Найти промежуточный сертификат можно по огрн издателя: http://e-trust.gosuslugi.../View?ogrn=1111840008411 Для приведенной подписи - последний сертификат в списке, "Идентификатор ключа" начинается с "0299..."

Если окажется недостаточно, то возможно автоматически не подгрузились списки отзыва. По ссылке выше, чуть ниже самого сертификата есть адреса его списков отзыва. После установки промежуточного сертификата УЦ, списков отзыва промежуточного УЦ, списков отзыва корневого УЦ проверка должна проходить корректно. Списки отзыва желательно регулярно обновлять (вручную или настроить автоматическое скачивание).
Offline DmitryKlg  
#3 Оставлено : 28 октября 2019 г. 8:48:41(UTC)
DmitryKlg

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.09.2019(UTC)
Сообщений: 46
Российская Федерация

Подскажите загрузки всех сертификатов расположенных по ссылкам
http://e-trust.gosuslugi.ru/MainCA
http://e-trust.gosuslugi...nloadTSL?schemaVersion=0
мало для нормальной работы криптопро?

можно ли, где-то подгружать все действующие сертификаты что-бы валидация работала корректно?
Offline DmitryKlg  
#4 Оставлено : 28 октября 2019 г. 8:58:02(UTC)
DmitryKlg

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.09.2019(UTC)
Сообщений: 46
Российская Федерация

Автор: two_oceans Перейти к цитате
Добрый день.
Одного корневого сертификата мало, скорее всего нужно установить промежуточный сертификат. Желательно с правами администратора поставить сертификаты УЦ в соответствующее хранилище компьютера (хранилища пользователя могут игнорироваться, если запрещены политикой и не действуют для служб). Найти промежуточный сертификат можно по огрн издателя: http://e-trust.gosuslugi.../View?ogrn=1111840008411 Для приведенной подписи - последний сертификат в списке, "Идентификатор ключа" начинается с "0299..."

Если окажется недостаточно, то возможно автоматически не подгрузились списки отзыва. По ссылке выше, чуть ниже самого сертификата есть адреса его списков отзыва. После установки промежуточного сертификата УЦ, списков отзыва промежуточного УЦ, списков отзыва корневого УЦ проверка должна проходить корректно. Списки отзыва желательно регулярно обновлять (вручную или настроить автоматическое скачивание).


Подскажите, как вы определили нужный сертификат для приведенной подписи?

И как можно регулярно обновлять списки отзывов? Есть какой-то сервис?

Отредактировано пользователем 28 октября 2019 г. 9:32:25(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#5 Оставлено : 28 октября 2019 г. 10:47:10(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Здравствуйте.
В файле подписи есть сертификат подписанта.
У этого сертификата есть идентификатор ключа ЦС - по нему в сочетании с данными по издателю (УЦ, ОГРН\Наименование) можно найти на портале необходимый сертификат\сведения по УЦ,
либо скачивать по url, который указывал УЦ в пользовательском сертификате.

Аналогично для сертификата УЦ - смотреть, кто издатель\идентификатор ключа ЦС или по url.
Техническую поддержку оказываем тут
Наша база знаний
Offline DmitryKlg  
#6 Оставлено : 28 октября 2019 г. 10:55:11(UTC)
DmitryKlg

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.09.2019(UTC)
Сообщений: 46
Российская Федерация

"issuerName": {
"CN": "ООО «ИЖТЕНДЕР»",
"O": "ООО «ИЖТЕНДЕР»",
"OU": "Отдел по защите информации",
"STREET": "ул. 40 лет Победы д. 122",
"L": "г. Ижевск",
"S": "18 Удмуртская Республика",
"C": "RU",
"INN": "001840001668",
"OGRN": "1111840008411",
"E": "ca@izhtender.ru"
},
"certSerial": "47B2F59025009690E9118896B01B2988"
}

подскажите идентификатор это поле certSerial?

как понять что для данного сертификата нужен именно сертификат с номером 02994F73DB9396C4402B941E5BEF05A6B061886A?
http://e-trust.gosuslugi.../View?ogrn=1111840008411

Отредактировано пользователем 28 октября 2019 г. 11:27:59(UTC)  | Причина: Не указана

Offline two_oceans  
#7 Оставлено : 28 октября 2019 г. 11:31:46(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
При просмотре в Виндоуз нужное поле называется "идентификатор ключа ЦС" - там 3 подполя: собственно идентификатор ключа, поставщик сертификата, серийный номер сертификата. Судя по цитате Вы как раз привели второе и третье, а нужно первое подполе, которое перед ними.

Цитата:
можно ли, где-то подгружать все действующие сертификаты что-бы валидация работала корректно?

Подгрузить все сертификаты возможно - КриптоАрм в режиме "Квалифицированная подпись" скачивает все сертификаты аккредитованных УЦ автоматически, но в специфику я не вникал. Работать сразу становится тяжело из-за частого обновления списков отзывов для порядка 300 УЦ.

Отредактировано пользователем 28 октября 2019 г. 11:45:21(UTC)  | Причина: Не указана

Offline DmitryKlg  
#8 Оставлено : 28 октября 2019 г. 11:35:03(UTC)
DmitryKlg

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.09.2019(UTC)
Сообщений: 46
Российская Федерация

Автор: two_oceans Перейти к цитате
При просмотре в Виндоуз нужное поле называется "идентификатор ключа ЦС" - там 3 подполя: собственно идентификатор ключа, поставщик сертификата, серийный номер сертификата. Судя по цитате Вы как раз привели второе и третье, а нужно первое подполе, которое перед ними.

Цитата:
можно ли, где-то подгружать все действующие сертификаты что-бы валидация работала корректно?

Подгрузить все сертификаты возможно - КриптоАрм в режиме "Квалифицированная подпись" скачивает все сертификаты аккредитованных УЦ автоматически, но в специфику я не вникал. Работать сразку становится тяжело из-за частого обновления списков отзывов для порядка 300 УЦ.


Я считываю сертификат при помощи cades. Подскажите метод для чтения - "идентификатор ключа ЦС".
Данные читаются через linux.

Offline two_oceans  
#9 Оставлено : 28 октября 2019 г. 11:53:02(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Как я понимаю способа нет, пусть меня поправят сотрудники КриптоПро если ошибаюсь.
Цитата:
CPCertificate
В отличие от объекта Microsoft CAPICOM.Certificate , для данного объекта реализованы только следующие методы и свойства: Export, Import, GetInfo, HasPrivateKey, IsValid, IssuerName, SerialNumber, SubjectName, Thumbprint, ValidFromDate, ValidToDate, Version, ExtendedKeyUsage, KeyUsage, PublicKey, PrivateKey, BasicConstraints.
Идентификатор ключа ЦС - это расширение сертификата, а поддержка расширений в CPCertificate отсутствует. Можно считать через капиком, но это не вариант, если у Вас linux. Нужное расширение - authorityKeyIdentifier (2.5.29.35)

Отредактировано пользователем 29 октября 2019 г. 7:59:15(UTC)  | Причина: Не указана

Offline DmitryKlg  
#10 Оставлено : 28 октября 2019 г. 11:57:09(UTC)
DmitryKlg

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.09.2019(UTC)
Сообщений: 46
Российская Федерация

Это действительно так?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.