Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline ig-gor1995  
#1 Оставлено : 22 ноября 2019 г. 14:51:39(UTC)
ig-gor1995

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2019(UTC)
Сообщений: 22
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Добрый день! Возникли следующие вопросы:
1 - Если подпись была когда сделана с использованием сертификата, который на данный момент протух, пройдет ли такая подпись проверку signature.verify? И можно ли будет ее распарсить и посмотреть по ней информацию?

2 - При создании подписи проверяются ли списки отзывов, то есть можно ли создать подпись, если crl недоступен?

3 - Есть подпись, что не проходит проверку, выдает ошибку For online validation by CRLDP parameter 'com.sun.security.enableCRLDP' (Oracle) or 'com.ibm.security.enableCRLDP' (IBM) must be set 'true' to enable or 'ocsp.enable' must be set 'true' (OCSP), or CRL passed for offline validation. FROM r.c.edi.service.CryptographyService . Локально протестить и посмотреть логи пока не могу, но заметил, что в сертификате в точках распространения указаны два урла:
URL=http://citvo.ru/crls/citvo19.cer
URL=http://crl.volganet.ru/citvo19.cer.
Второй возвращает 404, а первый возвращает 200, но контента в нем 0B.

На сайте самого УЦ (ГБУ ВО "ЦИТ ВО")на crl указан вот такой урл URL=http://citvo.ru/crls/citvo19.crl и он работает.
Правильно ли я думаю, что это ошибка в сертификате?


Offline Евгений Афанасьев  
#2 Оставлено : 22 ноября 2019 г. 18:55:19(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Здравствуйте.
1-2. Что за объект signature? Объект класса Signature? Если да, то при проверке такой подписи никаких дополнительных проверок сертификата нет. Соответственно, при создании тоже. При создании только может быть проверен срок действия закрытого ключа подписи.
3. Обычно такую ошибку можно получить при создании/проверке/усовершенствовании кадес подписи. Ошибка означает, что нет crl для проверки какого-то сертификата в цепочке. Нужно, чтобы при включённом enableCRLDP был доступ в сеть к crl в CRLDP сертификата, или же можно подавать crl отдельно в verify.
Для более полной картины нужно включить логирование для JCPLogger с уровнем ALL, это описано в статье на портале техподдержки, и собрать лог.

Отредактировано пользователем 23 ноября 2019 г. 17:23:53(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.