Статус: Участник
Группы: Участники
Зарегистрирован: 30.09.2020(UTC) Сообщений: 12  Сказал(а) «Спасибо»: 7 раз
|
Добрый день, Есть ПО cryptopro csp 4 и УЦ NotaryPRO. Есть корневой сертификат УЦ, X509 CRL файл и пользовательский сертификат выпущенный УЦ на основе запроса из Рутокен Plugin. Задача: Проверить сертификатом пользователя CMS подпись сообщеиня. Правильно ли я понимаю, что для решения этой задачи мне нужно выполнить следующие шаги? Список шагов:
- Установить корневой сертификат УЦ: /opt/cprocsp/bin/amd64/certmgr -inst -store root -f ca.cer
- Установить список отозванных сертификатов: /opt/cprocsp/bin/amd64/certmgr -inst -crl -f ca.crl
- Проверка прикрепленной подписи с токена (без сертификата) с учетом цепочки сертификатов и проверкой не отозван ли сертификат: /opt/cprocsp/bin/amd64/cryptcp -verify -f user.cer msg.txt.sgn Где user.cer - пользовательский сертификат, msg.txt.sgn - подпись полученная из rutoken plugin.
При такой последовательности будет выполнена проверка подписи с учетом проверки сертификата на признак отозванного + проверка корневым сертификатом?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 05.04.2017(UTC) Сообщений: 362  Сказал «Спасибо»: 3 раз
Поблагодарили: 54 раз в 53 постах
|
Добрый день!
Что Вы подразумеваете под "проверкой корневым сертификатом"?
|
 1 пользователь поблагодарил Михаил Селезнёв за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.09.2020(UTC) Сообщений: 12 Сказал(а) «Спасибо»: 7 раз
|
Добрый день. Проверка связи сертификатов (могу ошибаться в терминологии), что пользовательский сертификат действительно выпущен этим УЦ, в нем же, насколько я знаю, присутствует ссылка на корневой сертификат УЦ, который выпустил этот пользовательский сертификат.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 05.04.2017(UTC) Сообщений: 362 Сказал «Спасибо»: 3 раз
Поблагодарили: 54 раз в 53 постах
|
Понял, тогда да, Вы всё правильно описали в первом сообщении.
|
1 пользователь поблагодарил Михаил Селезнёв за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.09.2020(UTC) Сообщений: 12 Сказал(а) «Спасибо»: 7 раз
|
Понял, спасибо за ответ.
Михаил еще вопрос такой. Если в сертификате указаны ссылки для CRL в параметре CDP, возможно каким-то флагом утилите cryptcp указать не проверять CRL по ссылкам CDP, а только из собственного хранилища CRL (вопрос больше для отладки, в тестовой среде эти ссылки не рабочие, понятно, что в продуктовой среде обращение к ним будет)?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 05.04.2017(UTC) Сообщений: 362 Сказал «Спасибо»: 3 раз
Поблагодарили: 54 раз в 53 постах
|
Если crl установлен локально, то проверка осуществляется по нему.
|
1 пользователь поблагодарил Михаил Селезнёв за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.09.2020(UTC) Сообщений: 12 Сказал(а) «Спасибо»: 7 раз
|
Установил список так /opt/cprocsp/bin/amd64/certmgr -inst -crl -f ca.crl Но при verify cryptcp подписает секунд на 60 (явно таймаут) и выдает сообщение (привел вставку ниже). Я так подозреваю, что он все-таки пытается достучаться до CRL списка по ссылкам из CDP в сертификатах УЦ и пользователя. Код:
-bash-4.2$ /opt/cprocsp/bin/amd64/cryptcp -verify -f user3.cer link.txt.sgn
CryptCP 4.0 (c) "Crypto-Pro", 2002-2017.
Command prompt Utility for file signature and encryption.
The following certificate will be used:
RDN:street, given name, Андреев, pseudonym, test4@test4.com, Андреев Игорь Степанович, должность, IT, Aktiv, msk, Moscow, RU
Valid from 02.10.2020 10:11:21 to 19.03.2021 12:33:33
Certificate chain is not checked for this certificate:
RDN:street, given name, Андреев, pseudonym, test4@test4.com, Андреев Игорь Степанович, должность, IT, Aktiv, msk, Moscow, RU
Valid from 02.10.2020 10:11:21 to 19.03.2021 12:33:33
The certificate revocation status or one of the certificates in the certificate chain is unknown.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?N
Certificate chains are checked.
Error: No certificate to use.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:340: 0x20000131
Отредактировано пользователем 2 октября 2020 г. 14:50:52(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 05.04.2017(UTC) Сообщений: 362 Сказал «Спасибо»: 3 раз
Поблагодарили: 54 раз в 53 постах
|
А вы crl только от личного сертификата устанавливаете? Проверяется вся цепочка, соответственно и crl нужно устанавливать от всех сертификатов в ней.
|
1 пользователь поблагодарил Михаил Селезнёв за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.09.2020(UTC) Сообщений: 12 Сказал(а) «Спасибо»: 7 раз
|
Не очень понял про установку CRL от личного сертификата. Что значит установить CRL от всех сертификатов в цепочке? CRL разве не один файл со всеми отозванными сертификатами?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 05.04.2017(UTC) Сообщений: 362 Сказал «Спасибо»: 3 раз
Поблагодарили: 54 раз в 53 постах
|
Пришлите пожалуйста личный сертификат в директ.
|
1 пользователь поблагодарил Михаил Селезнёв за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
