Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline криптонец  
#1 Оставлено : 3 сентября 2021 г. 15:17:36(UTC)
криптонец

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.09.2021(UTC)
Сообщений: 2
Российская Федерация

Здравствуйте.

Криптопро: v.5.11455
ОС: calculate-linux 21 (KDE)
Chromium-GOST: v.93.*

Все работает пока, что, кроме одной вещи:
Никак не могу зайти по https на закрытую часть lk.zakupki.gov.ru

сайт gost.cryptopro.ru показывает на странице в поле cipher: GOST2012*
Сертификаты минкомсвязи и казначейства были установлены в "Доверенные корневые центры сертификации".

При первом редиректе на https://lk.zakupki.* вываливается ошибка ERR_CERT_NO_REVOCATION_MECHANISM, если ее игнорировать все будет работать, но без ssl

Я понимаю, криптопро типа не поддерживаете этот дистриб, но пожалуйста, хоть подскажите куда копать?
Offline Санчир Момолдаев  
#2 Оставлено : 6 сентября 2021 г. 8:30:15(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 808
Российская Федерация

Сказал(а) «Спасибо»: 70 раз
Поблагодарили: 165 раз в 161 постах
Добрый день!
все верно, ОС официально не поддерживаемая. предлагаю создать issue
видимо не работает 2х сторонний тлс.
Техническую поддержку оказываем тут
Наша база знаний
Offline криптонец  
#3 Оставлено : 8 сентября 2021 г. 14:45:54(UTC)
криптонец

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.09.2021(UTC)
Сообщений: 2
Российская Федерация

Видимо проблема в том, что браузер (и/или крипта) не может получить список CRL для сертификата, который используется на сайте lk.zakupki.*.

После ручного инстала этого списка в крипту. Все заработало.

Подскажите плиз, это все таки проблема в крипте или в браузере? Если в крипте подскажите, как можно наладить этот механизм!?
Offline Максим Коллегин  
#4 Оставлено : 21 сентября 2021 г. 10:37:47(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,092
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 19 раз
Поблагодарили: 613 раз в 546 постах
А по какому URL расположен недоступный CRL?
CSP 5 я бы рекомендовал использовать последний.
Знания в базе знаний, поддержка в техподдержке
Offline obprus  
#5 Оставлено : 1 октября 2021 г. 12:50:21(UTC)
obprus

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.10.2021(UTC)
Сообщений: 4

Аналогичную проблему наблюдаю на Ubuntu 20 +Chromium GOST. CSP 5 последний. Сертификат самоподписный NGATE, на винде работает без ошибок. Но задача заставить работать под Линуксом. Подскажите, где взять CRL? В Ngate есть возможность его вгрузить в сертификат, но где взять, непонятно.

Отредактировано пользователем 1 октября 2021 г. 12:50:55(UTC)  | Причина: Не указана

Offline obprus  
#6 Оставлено : 1 октября 2021 г. 13:17:45(UTC)
obprus

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.10.2021(UTC)
Сообщений: 4

Автор: криптонец Перейти к цитате
Видимо проблема в том, что браузер (и/или крипта) не может получить список CRL для сертификата, который используется на сайте lk.zakupki.*.
После ручного инстала этого списка в крипту. Все заработало.


Не поделитесь, как вы это сделали, технически?
Offline two_oceans  
#7 Оставлено : 1 октября 2021 г. 13:23:05(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,351
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 319 раз в 300 постах
То что сертификат самоподписанный это не очень хорошо. В том смысле, что меньше проблем, когда сертификат УЦ самоподписанный и от УЦ выдан конечный сертификат.
По вопросу - раз речь о Linux, то проще всего создать CRL через openssl. Что-то вроде такого, но надо еще настроить конфиг (в конфиге прописан путь к файлику с номером списка отзыва). У меня настроено через gostengy, адаптируйте как у Вас
Код:
openssl ca -engine gostengy -gencrl -crldays 93 -keyform ENGINE -keyfile c:rootca -out D:\gost2012\ca\rootca\rootca.crl
Также вроде бы в какой-то из утилит КриптоПро есть режим minica, там наверно также есть создание списка отзыва.

Отредактировано пользователем 1 октября 2021 г. 13:24:14(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.