Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline Str25Al  
#1 Оставлено : 15 декабря 2014 г. 15:14:24(UTC)
Str25Al

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.03.2014(UTC)
Сообщений: 8
Российская Федерация
Откуда: Воронеж

Сказал(а) «Спасибо»: 1 раз
Добрый день!

Почему новый СОС выпущенный под новым корневым включает в себя все предыдущие отозванные сертификаты выпущенные старым корневым?
Offline Molostvov  
#2 Оставлено : 15 декабря 2014 г. 20:54:54(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
Добрый день.
В ms ca предусмотрено два режима:
1)В crl попадают сертификаты, подписанные разными сертификатами цс - ваш случай.
2)В crl попадают сертификаты, подписанные сертификатом цс, на котором подписан и сам crl.

Режим по умолчанию определяется, как помню, в зависимости от типа ос. Изменить режим можно с помощью certutil.
thanks 1 пользователь поблагодарил Molostvov за этот пост.
Str25Al оставлено 16.12.2014(UTC)
Offline Str25Al  
#3 Оставлено : 16 декабря 2014 г. 9:04:41(UTC)
Str25Al

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.03.2014(UTC)
Сообщений: 8
Российская Федерация
Откуда: Воронеж

Сказал(а) «Спасибо»: 1 раз
Спасибо!
А Вы можете разъяснить что это дает если в crl включены и предыдущие (подписанные старым корневым) списки отозванных сертификатов? Производил проверку сертификата по crl на КриптоАРМ-е и выяснил что по новым crl (выпущенный под новым корневым) проверку он произвести не может хотя отозванный сертификат в списке crl (выпущенный под новым корневым) есть.
Offline Molostvov  
#4 Оставлено : 16 декабря 2014 г. 10:40:08(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
Цитата:
роизводил проверку сертификата по crl на КриптоАРМ-е и выяснил что по новым crl (выпущенный под новым корневым) проверку он произвести не может хотя отозванный сертификат в списке crl (выпущенный под новым корневым) есть.

А какой будет вывод команды: certutil -verify "путь к файлу сертификату"?

Offline chomper  
#5 Оставлено : 16 декабря 2014 г. 11:19:33(UTC)
chomper

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 85

Поблагодарили: 9 раз в 6 постах
Из личного FAQ:

Вопрос:
После смены корневого сертификата УЦ список отзыва нового сертификата содержит отозванные клиентские сертификаты старого корневого сертификата

Ответ:
НА ЦС выполнить команду:
Код:
    certutil -setreg CA\CRLFlags +CRLF_BUILD_ROOTCA_CRLENTRIES_BASEDONKEY
Offline Str25Al  
#6 Оставлено : 16 декабря 2014 г. 11:19:37(UTC)
Str25Al

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.03.2014(UTC)
Сообщений: 8
Российская Федерация
Откуда: Воронеж

Сказал(а) «Спасибо»: 1 раз
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\Al>certutil -verify C:\Users\Al\Downloads\123.cer
Поставщик:
CN=УЦ России
OU=ТС
O="УЦ России"
L=Москва
S=77 г.Москва
C=RU
E=mail@uc.ru
STREET=улица 16
ИНН=001155552129
ОГРН=1234546211477
Субъект:
SN=Иванов
G=Иван Иванович
T=Специалист
CN=Иванов Иван Иванович
OU=УЦ
O="УЦ России"
L=Москва
S=77 г. Москва
C=RU
ИНН=001155552129
ОГРН=1234546211477
СНИЛС=17850224519
Серийный номер сертификата: 613f672c0001000046e6

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
ChainContext.dwRevocationFreshnessTime: 26 Days, 1 Hours, 17 Minutes, 42 Seconds


SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
SimpleChain.dwRevocationFreshnessTime: 26 Days, 1 Hours, 17 Minutes, 42 Seconds

CertContext[0][0]: dwInfoStatus=101 dwErrorStatus=1000040
Issuer: CN=УЦ России, OU=УЦ, O="УЦ России", L=Моск
ва, S=77 г.Москва, C=RU, E=mail@uc.ru, STREET=улица 16, ИНН=0011555521
29, ОГРН=1234546211477
NotBefore: 02.12.2014 11:41
NotAfter: 02.03.2016 11:56
Subject: SN=Иванов, G=Иван Иванович, T=Специалист, CN=Иванов
Иван Иванович, OU=УЦ, O="УЦ России", L
=Москва, S=77 г. Москва, C=RU, ИНН=0011555521, ОГРН=1234546211477, СНИЛС=17850
224519
Serial: 613f672c0001000046e6
5a 39 8c d0 fd 90 fe fd d9 1c 3a b9 18 42 b9 c7 8f 58 a0 05
Element.dwInfoStatus = CERT_TRUST_HAS_EXACT_MATCH_ISSUER (0x1)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
CRL 037f:
Issuer: CN=УЦ России, OU=УЦ, O="УЦ России", L=Мо
сква, S=77 г.Москва, C=RU, E=mail@uc.ru, STREET=улица 16, ИНН=001155
5521, ОГРН=1234546211477
42 a0 a4 a2 10 1e 22 ae 26 68 67 0b 21 37 fb a8 27 6f b5 97
Issuance[0] = 1.2.643.100.113.1 Класс средства ЭП КС1
Issuance[1] = 1.2.643.100.113.2 Класс средства ЭП КС2
Application[0] = 1.3.6.1.5.5.7.3.4 Защищенная электронная почта
Application[1] = 1.2.643.2.2.34.6 Пользователь Центра Регистрации, HTTP, TLS к
лиент
Application[2] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента

CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=УЦ России, OU=УЦ, O="УЦ России""", L=Мо
сква, S=77 г.Москва, C=RU, E=mail@uc.ru, STREET=улица 16, ИНН=001155
5521, ОГРН=1234546211477
NotBefore: 12.09.2013 8:16
NotAfter: 11.09.2028 8:25
Subject: SN=Иванов, G=Иван Иванович, T=Специалист, CN=Иванов
Иван Иванович, OU=УЦ, O="УЦ России", L
=Москва, S=77 г. Москва, C=RU, ИНН=0011555521, ОГРН=1234546211477, СНИЛС=17850
224519
Serial: 781c4119e629a69c4d78581a5b1f301c
fa 85 4b 00 be cf e8 03 d9 58 9b 29 2a e7 c6 68 a7 87 55 1c
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Issuance[0] = 1.2.643.100.113.1 Класс средства ЭП КС1
Issuance[1] = 1.2.643.100.113.2 Класс средства ЭП КС2

Exclude leaf cert:
ef 09 6e fa 8f c8 8c 79 da a9 88 df ea 8c 14 d8 b2 b0 8e c8
Full chain:
fb da fc 56 d3 a2 c2 ff 06 6e bf c3 8f a6 e2 8d dd 10 08 10
Issuer: CN=УЦ России, OU=УЦ, O="УЦ России", L=Мо
сква, S=77 г.Москва, C=RU, E=mail@uc.ru, STREET=улица 16, ИНН=001155
5521, ОГРН=1234546211477
NotBefore: 02.12.2014 11:41
NotAfter: 02.03.2016 11:56
Subject: SN=Иванов, G=Иван Иванович, T=Специалист, CN=Иванов
Иван Иванович, OU=УЦ, O="УЦ России", L
=Москва, S=77 г. Москва, C=RU, ИНН=0011555521, ОГРН=1234546211477, СНИЛС=17850
224519
Serial: 613f672c0001000046e6
5a 39 8c d0 fd 90 fe fd d9 1c 3a b9 18 42 b9 c7 8f 58 a0 05
Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен
. 0x80092013 (-2146885613)

Проверка списка отзыва пропущена -- сервер отключен или вне сети

ОШИБКА: проверка состояния отзыва сертификата вернула Невозможно проверить функц
ию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613)

CertUtil: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов н
едоступен .

CertUtil: -verify - команда успешно выполнена.

C:\Users\Al>
Offline Molostvov  
#7 Оставлено : 16 декабря 2014 г. 11:27:55(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
Цитата:
ОШИБКА: проверка состояния отзыва сертификата вернула Невозможно проверить функц
ию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613)


CRL доступен по url из сертификата?
Проверить можно так :certutil -verify -urlfetch test.cer, либо открыть в браузере url из расширения cdp в сертификате.
Offline Str25Al  
#8 Оставлено : 16 декабря 2014 г. 11:48:39(UTC)
Str25Al

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.03.2014(UTC)
Сообщений: 8
Российская Федерация
Откуда: Воронеж

Сказал(а) «Спасибо»: 1 раз
Если осуществлять подключение к сети то проверка проходит! Но вопрос в том можно ли произвести проверку на изолированном компьютере использую только новые crl (выпущенные под новым корневым) т.к. в них тоже указывается список отозванных сертификатов наследуемые от старого crl (выпущенного под старым корневым)?
Offline Molostvov  
#9 Оставлено : 16 декабря 2014 г. 14:30:28(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
Цитата:
Если осуществлять подключение к сети то проверка проходит! Но вопрос в том можно ли произвести проверку на изолированном компьютере использую только новые crl (выпущенные под новым корневым) т.к. в них тоже указывается список отозванных сертификатов наследуемые от старого crl (выпущенного под старым корневым)?

Можно. Главное, чтобы crl были доступны или установлены локально.

Но вот не берусь сразу сказать реакцию revocation provider на такой сценарий: проверка сертификата (подписанный старым корневым) на crl, подписанным новым корневым.
Offline Str25Al  
#10 Оставлено : 16 декабря 2014 г. 15:08:22(UTC)
Str25Al

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.03.2014(UTC)
Сообщений: 8
Российская Федерация
Откуда: Воронеж

Сказал(а) «Спасибо»: 1 раз
Ну тогда не совсем понятно зачем нужно включать старые СОС в новые выпущенные под новым корневым если проверка по ним все равно не производится.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.