Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline mihmig1  
#1 Оставлено : 21 апреля 2020 г. 11:54:09(UTC)
mihmig1

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.04.2020(UTC)
Сообщений: 8

При проверке сертификатов в остнастке Криптопро на все сертификаты ГОСТ 2012 (и на флешках, и в реестре) выдаётся предупреждение:

Целостность этого сертификата не гарантирована. Возможно он повреждён или изменён.

Сертификат во вложении
Windows 7 x64
Обновление криптопро с версии 4.0.9971 до 5.0.11732 (с чисткой утилитой cspclean.exe и неоднократной перезагрузкой компьютера) не помогло
Сторонних СКЗИ на компьютере нет и не устанавливалось.
При переустановке криптопро корневые сертификаты устанавливались

Ветки форума
https://www.cryptopro.ru....aspx?g=posts&t=3470
https://www.cryptopro.ru...aspx?g=posts&m=98886
читал, рекомендации не помогли (таких ключей в реестре Windows 7 нет)

Вопрос сотрудникам компании:
1. Что конкретно означает данное сообщение?
2. Какова причина возникновения данного сообщения?
3. Как устранить причину?
Offline two_oceans  
#2 Оставлено : 21 апреля 2020 г. 12:06:44(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Попробую, ответить: 1) сообщение означает, что либо сертификат и правда поврежден либо алгоритм сертификата (гост-2012) неизвестен либо система не находит криптопровайдер, который привязан к алгоритму гост-2012 (удален или не установлен полностью или не установлен соответствующий компонент криптопровайдера).
2) как правило это возникает когда другой криптопровайдер был установлен ранее, а потом удален. Реже конфликт при одновременной эксплуатации криптопровайдера (проверка неудачна когда часть функций в одном криптопровайдере, а часть в другом, так как "внутри" у них может быть несовместимый формат промежуточных данных). Еще реже могут быть сторонние программы блокирующие функции криптопровайдера или удаляющие компоненты.
3) если та тема из второй ссылки не помогла (она помогает когда на компьютере Континент-АП, для випнет клиента или тумара не поможет) - нужно больше данных (там темах должны быть описания какие ключи реестра экспортировать и прикрепить к сообщению).

Отредактировано пользователем 21 апреля 2020 г. 12:21:56(UTC)  | Причина: Не указана

Offline mihmig1  
#3 Оставлено : 21 апреля 2020 г. 15:49:43(UTC)
mihmig1

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.04.2020(UTC)
Сообщений: 8

Повторюсь - криптопровайдер КриптоПро CSP установлен (и переустановлен) не единожды.
разве при установке КриптоПро он не "прописывает" себя как надо в настройках системы?
Других криптопровайдеров на данной машине не устанавливалось.

На других компьютерах сертификаты отображаются корректно.

Есть ли возможность исправить ситуацию без переустановки операционной системы?
Offline Максим Коллегин  
#4 Оставлено : 21 апреля 2020 г. 16:01:56(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Приложите сертификат и цепочку.
Выведите лог проверки с certutil -verify
Проверьте корневой сертификат в хранилище root.
Знания в базе знаний, поддержка в техподдержке
Offline mihmig1  
#5 Оставлено : 21 апреля 2020 г. 17:50:31(UTC)
mihmig1

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.04.2020(UTC)
Сообщений: 8

certs2020-04-21.zip (5kb) загружен 6 раз(а). verify.txt (6kb) загружен 7 раз(а).
Есть подозрение, что причина в том, что сертификат подписан УЦ по ГОСТ 2001...
Offline Максим Коллегин  
#6 Оставлено : 21 апреля 2020 г. 18:08:59(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Этот сертификат выдан не тем УЦ (tenzor.cer), что в архиве.
Посмотрите внимательно на цепочку на той машине, где проверяется.
Ссылки в AIA уже недействительны, как я понимаю.

Отредактировано пользователем 21 апреля 2020 г. 18:09:50(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline mihmig1  
#7 Оставлено : 21 апреля 2020 г. 18:17:10(UTC)
mihmig1

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.04.2020(UTC)
Сообщений: 8

Подождите:
Сертификат УЦ извлечён из цепочки на вкладке "Путь сертификации"
Как именно проставляется ссылка на издателя в сертификате - по серийному номеру, SHA-отпечатку или как-то иначе?

Что конкретно означает строка в файле verify.txt
CertUtil: Нельзя проверить подпись сертификата.
?
Offline mihmig1  
#8 Оставлено : 21 апреля 2020 г. 18:25:41(UTC)
mihmig1

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.04.2020(UTC)
Сообщений: 8

Вот то что отображает криптопро:
image1.png (24kb) загружен 13 раз(а).

Что такое "Ссылки в AIA" и почему они могут быть недействительны?
Offline Максим Коллегин  
#9 Оставлено : 21 апреля 2020 г. 18:33:46(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
То, что ОС рисует цепочку не означает, что это сертификат издателя, возможно не нашлось более подходящего.
http://www.pkiglobe.org/auth_info_access.html
Знания в базе знаний, поддержка в техподдержке
Offline mihmig1  
#10 Оставлено : 21 апреля 2020 г. 18:51:29(UTC)
mihmig1

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.04.2020(UTC)
Сообщений: 8

Максим, спасибо!
Проблема заключалась в том, что среди кучи импортированных сертификатов Тензора не было того, которым был подписан наш сертификат.

Для меня стало открытием, что в сертификате явно не указывается ссылка на сертификат издателя...

Скажите а фраза
"Целостность этого сертификата не гарантирована. Возможно он повреждён или изменён."
исходит от Windows или от Криптопровайдера?

Если от криптопровайдера - то можно ли её расширить фразой " или не удалось найти сертификат издателя"?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.