logo Обзор КриптоПро NGate для защищённого доступа к корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Str25Al  
#1 Оставлено : 15 декабря 2014 г. 15:14:24(UTC)
Str25Al

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.03.2014(UTC)
Сообщений: 8
Российская Федерация
Откуда: Воронеж

Сказал(а) «Спасибо»: 1 раз
Добрый день!

Почему новый СОС выпущенный под новым корневым включает в себя все предыдущие отозванные сертификаты выпущенные старым корневым?
Offline Molostvov  
#2 Оставлено : 15 декабря 2014 г. 20:54:54(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 94 раз в 85 постах
Добрый день.
В ms ca предусмотрено два режима:
1)В crl попадают сертификаты, подписанные разными сертификатами цс - ваш случай.
2)В crl попадают сертификаты, подписанные сертификатом цс, на котором подписан и сам crl.

Режим по умолчанию определяется, как помню, в зависимости от типа ос. Изменить режим можно с помощью certutil.
thanks 1 пользователь поблагодарил Molostvov за этот пост.
Str25Al оставлено 16.12.2014(UTC)
Offline Str25Al  
#3 Оставлено : 16 декабря 2014 г. 9:04:41(UTC)
Str25Al

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.03.2014(UTC)
Сообщений: 8
Российская Федерация
Откуда: Воронеж

Сказал(а) «Спасибо»: 1 раз
Спасибо!
А Вы можете разъяснить что это дает если в crl включены и предыдущие (подписанные старым корневым) списки отозванных сертификатов? Производил проверку сертификата по crl на КриптоАРМ-е и выяснил что по новым crl (выпущенный под новым корневым) проверку он произвести не может хотя отозванный сертификат в списке crl (выпущенный под новым корневым) есть.
Offline Molostvov  
#4 Оставлено : 16 декабря 2014 г. 10:40:08(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 94 раз в 85 постах
Цитата:
роизводил проверку сертификата по crl на КриптоАРМ-е и выяснил что по новым crl (выпущенный под новым корневым) проверку он произвести не может хотя отозванный сертификат в списке crl (выпущенный под новым корневым) есть.

А какой будет вывод команды: certutil -verify "путь к файлу сертификату"?

Offline chomper  
#5 Оставлено : 16 декабря 2014 г. 11:19:33(UTC)
chomper

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 85

Поблагодарили: 9 раз в 6 постах
Из личного FAQ:

Вопрос:
После смены корневого сертификата УЦ список отзыва нового сертификата содержит отозванные клиентские сертификаты старого корневого сертификата

Ответ:
НА ЦС выполнить команду:
Код:
    certutil -setreg CA\CRLFlags +CRLF_BUILD_ROOTCA_CRLENTRIES_BASEDONKEY
Offline Str25Al  
#6 Оставлено : 16 декабря 2014 г. 11:19:37(UTC)
Str25Al

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.03.2014(UTC)
Сообщений: 8
Российская Федерация
Откуда: Воронеж

Сказал(а) «Спасибо»: 1 раз
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\Al>certutil -verify C:\Users\Al\Downloads\123.cer
Поставщик:
CN=УЦ России
OU=ТС
O="УЦ России"
L=Москва
S=77 г.Москва
C=RU
E=mail@uc.ru
STREET=улица 16
ИНН=001155552129
ОГРН=1234546211477
Субъект:
SN=Иванов
G=Иван Иванович
T=Специалист
CN=Иванов Иван Иванович
OU=УЦ
O="УЦ России"
L=Москва
S=77 г. Москва
C=RU
ИНН=001155552129
ОГРН=1234546211477
СНИЛС=17850224519
Серийный номер сертификата: 613f672c0001000046e6

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
ChainContext.dwRevocationFreshnessTime: 26 Days, 1 Hours, 17 Minutes, 42 Seconds


SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
SimpleChain.dwRevocationFreshnessTime: 26 Days, 1 Hours, 17 Minutes, 42 Seconds

CertContext[0][0]: dwInfoStatus=101 dwErrorStatus=1000040
Issuer: CN=УЦ России, OU=УЦ, O="УЦ России", L=Моск
ва, S=77 г.Москва, C=RU, E=mail@uc.ru, STREET=улица 16, ИНН=0011555521
29, ОГРН=1234546211477
NotBefore: 02.12.2014 11:41
NotAfter: 02.03.2016 11:56
Subject: SN=Иванов, G=Иван Иванович, T=Специалист, CN=Иванов
Иван Иванович, OU=УЦ, O="УЦ России", L
=Москва, S=77 г. Москва, C=RU, ИНН=0011555521, ОГРН=1234546211477, СНИЛС=17850
224519
Serial: 613f672c0001000046e6
5a 39 8c d0 fd 90 fe fd d9 1c 3a b9 18 42 b9 c7 8f 58 a0 05
Element.dwInfoStatus = CERT_TRUST_HAS_EXACT_MATCH_ISSUER (0x1)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
CRL 037f:
Issuer: CN=УЦ России, OU=УЦ, O="УЦ России", L=Мо
сква, S=77 г.Москва, C=RU, E=mail@uc.ru, STREET=улица 16, ИНН=001155
5521, ОГРН=1234546211477
42 a0 a4 a2 10 1e 22 ae 26 68 67 0b 21 37 fb a8 27 6f b5 97
Issuance[0] = 1.2.643.100.113.1 Класс средства ЭП КС1
Issuance[1] = 1.2.643.100.113.2 Класс средства ЭП КС2
Application[0] = 1.3.6.1.5.5.7.3.4 Защищенная электронная почта
Application[1] = 1.2.643.2.2.34.6 Пользователь Центра Регистрации, HTTP, TLS к
лиент
Application[2] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента

CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=УЦ России, OU=УЦ, O="УЦ России""", L=Мо
сква, S=77 г.Москва, C=RU, E=mail@uc.ru, STREET=улица 16, ИНН=001155
5521, ОГРН=1234546211477
NotBefore: 12.09.2013 8:16
NotAfter: 11.09.2028 8:25
Subject: SN=Иванов, G=Иван Иванович, T=Специалист, CN=Иванов
Иван Иванович, OU=УЦ, O="УЦ России", L
=Москва, S=77 г. Москва, C=RU, ИНН=0011555521, ОГРН=1234546211477, СНИЛС=17850
224519
Serial: 781c4119e629a69c4d78581a5b1f301c
fa 85 4b 00 be cf e8 03 d9 58 9b 29 2a e7 c6 68 a7 87 55 1c
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Issuance[0] = 1.2.643.100.113.1 Класс средства ЭП КС1
Issuance[1] = 1.2.643.100.113.2 Класс средства ЭП КС2

Exclude leaf cert:
ef 09 6e fa 8f c8 8c 79 da a9 88 df ea 8c 14 d8 b2 b0 8e c8
Full chain:
fb da fc 56 d3 a2 c2 ff 06 6e bf c3 8f a6 e2 8d dd 10 08 10
Issuer: CN=УЦ России, OU=УЦ, O="УЦ России", L=Мо
сква, S=77 г.Москва, C=RU, E=mail@uc.ru, STREET=улица 16, ИНН=001155
5521, ОГРН=1234546211477
NotBefore: 02.12.2014 11:41
NotAfter: 02.03.2016 11:56
Subject: SN=Иванов, G=Иван Иванович, T=Специалист, CN=Иванов
Иван Иванович, OU=УЦ, O="УЦ России", L
=Москва, S=77 г. Москва, C=RU, ИНН=0011555521, ОГРН=1234546211477, СНИЛС=17850
224519
Serial: 613f672c0001000046e6
5a 39 8c d0 fd 90 fe fd d9 1c 3a b9 18 42 b9 c7 8f 58 a0 05
Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен
. 0x80092013 (-2146885613)

Проверка списка отзыва пропущена -- сервер отключен или вне сети

ОШИБКА: проверка состояния отзыва сертификата вернула Невозможно проверить функц
ию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613)

CertUtil: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов н
едоступен .

CertUtil: -verify - команда успешно выполнена.

C:\Users\Al>
Offline Molostvov  
#7 Оставлено : 16 декабря 2014 г. 11:27:55(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 94 раз в 85 постах
Цитата:
ОШИБКА: проверка состояния отзыва сертификата вернула Невозможно проверить функц
ию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613)


CRL доступен по url из сертификата?
Проверить можно так :certutil -verify -urlfetch test.cer, либо открыть в браузере url из расширения cdp в сертификате.
Offline Str25Al  
#8 Оставлено : 16 декабря 2014 г. 11:48:39(UTC)
Str25Al

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.03.2014(UTC)
Сообщений: 8
Российская Федерация
Откуда: Воронеж

Сказал(а) «Спасибо»: 1 раз
Если осуществлять подключение к сети то проверка проходит! Но вопрос в том можно ли произвести проверку на изолированном компьютере использую только новые crl (выпущенные под новым корневым) т.к. в них тоже указывается список отозванных сертификатов наследуемые от старого crl (выпущенного под старым корневым)?
Offline Molostvov  
#9 Оставлено : 16 декабря 2014 г. 14:30:28(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 94 раз в 85 постах
Цитата:
Если осуществлять подключение к сети то проверка проходит! Но вопрос в том можно ли произвести проверку на изолированном компьютере использую только новые crl (выпущенные под новым корневым) т.к. в них тоже указывается список отозванных сертификатов наследуемые от старого crl (выпущенного под старым корневым)?

Можно. Главное, чтобы crl были доступны или установлены локально.

Но вот не берусь сразу сказать реакцию revocation provider на такой сценарий: проверка сертификата (подписанный старым корневым) на crl, подписанным новым корневым.
Offline Str25Al  
#10 Оставлено : 16 декабря 2014 г. 15:08:22(UTC)
Str25Al

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.03.2014(UTC)
Сообщений: 8
Российская Федерация
Откуда: Воронеж

Сказал(а) «Спасибо»: 1 раз
Ну тогда не совсем понятно зачем нужно включать старые СОС в новые выпущенные под новым корневым если проверка по ним все равно не производится.
Offline Molostvov  
#11 Оставлено : 16 декабря 2014 г. 16:13:14(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 94 раз в 85 постах
Цитата:
Ну тогда не совсем понятно зачем нужно включать старые СОС в новые выпущенные под новым корневым если проверка по ним все равно не производится.

Этот режим соответствет требованиям RFC 5280, однако в ряде случае Microsoft Revocation Provider не сможет проверить сертификат на отзыв (о причинах лучше спросить сам Майкрософт). Для обеспечения работоспособности такой структуры необходимо использовать другие средства для проверки сертификатов на отзыв.

Со своей стороны мы вам рекомендуем использовать настройку:
Цитата:

chomper
Из личного FAQ:
Вопрос:
После смены корневого сертификата УЦ список отзыва нового сертификата содержит отозванные клиентские сертификаты старого корневого сертификата
Ответ:
НА ЦС выполнить команду:
certutil -setreg CA\CRLFlags +CRLF_BUILD_ROOTCA_CRLENTRIES_BASEDONKEY

так как она является более удобной.

Offline Str25Al  
#12 Оставлено : 16 декабря 2014 г. 16:51:13(UTC)
Str25Al

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.03.2014(UTC)
Сообщений: 8
Российская Федерация
Откуда: Воронеж

Сказал(а) «Спасибо»: 1 раз
Спасибо за разъяснения!
Offline asv  
#13 Оставлено : 23 декабря 2014 г. 13:09:26(UTC)
asv

Статус: Участник

Группы: Участники
Зарегистрирован: 19.09.2014(UTC)
Сообщений: 21

Сказал(а) «Спасибо»: 2 раз
Здравствуйте.

При переходе с Win2003 на win2008 столкнулись с этой проблеммой.
При введении команды "certutil -setreg CA\CRLFlags +CRLF_BUILD_ROOTCA_CRLENTRIES_BASEDONKEY" выдает:

certutil: -setreg команда не выполнена 0x8007000d (win32: 13)
certutil: недопустимые данные

Можно уточнить Версию Windows и результат ?
Offline Molostvov  
#14 Оставлено : 23 декабря 2014 г. 13:33:44(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 94 раз в 85 постах
Цитата:
Можно уточнить Версию Windows и результат

На моем стенде Win 2008R2
Пользователь Molostvov прикрепил следующие файлы:
certutil.png (21kb) загружен 71 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
thanks 1 пользователь поблагодарил Molostvov за этот пост.
asv оставлено 23.12.2014(UTC)
Offline asv  
#15 Оставлено : 23 декабря 2014 г. 15:36:28(UTC)
asv

Статус: Участник

Группы: Участники
Зарегистрирован: 19.09.2014(UTC)
Сообщений: 21

Сказал(а) «Спасибо»: 2 раз
На нашем стенде Win 2008SP1 St.
Пользователь asv прикрепил следующие файлы:
ctrtutil.jpg (63kb) загружен 65 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline asv  
#16 Оставлено : 23 декабря 2014 г. 15:42:31(UTC)
asv

Статус: Участник

Группы: Участники
Зарегистрирован: 19.09.2014(UTC)
Сообщений: 21

Сказал(а) «Спасибо»: 2 раз
Правкой реестра мы это значение внесли.
CRL по ключам разделились.
Почему не получилось это сделать через утилиту certutil, и даже сейчас значение флага отображается только в виде цифр.
Offline igr  
#17 Оставлено : 27 ноября 2015 г. 13:41:47(UTC)
igr

Статус: Активный участник

Группы: Участники
Зарегистрирован: 08.10.2015(UTC)
Сообщений: 35
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 1 раз в 1 постах
Аналогичная ситуация. Через certutil значение не добавляется. В ручную внес правку в реестре в CRLFlags (исходя из этого указал значение 200000).
После перезапуска службы, CRL разделились, но в модуле политике -> политике имен, пропали значения ИНН, ОГРН(ИП), СНИЛС.
Насколько понял, все сделано как описано выше. Не совсем понимаю, где(в чем) допущена ошибка?
Offline Kirill Sobolev  
#18 Оставлено : 27 ноября 2015 г. 21:45:16(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,731
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 175 раз в 167 постах
Цитата:
Не совсем понимаю, где(в чем) допущена ошибка?

В том, что Вы убрали настройку "Перекладывать субъект из запроса без изменений".
Включить обратно ее можно либо в модуле политики ЦС, либо командой
certutil –setreg CA\CRLFlags +CRLF_REBUILD_MODIFIED_SUBJECT_ONLY
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Кирилл Соболев за этот пост.
igr оставлено 30.11.2015(UTC)
Offline igr  
#19 Оставлено : 19 февраля 2016 г. 14:06:23(UTC)
igr

Статус: Активный участник

Группы: Участники
Зарегистрирован: 08.10.2015(UTC)
Сообщений: 35
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 1 раз в 1 постах
Kirill Sobolev, еще разщ спасибо.
Возможно ли сделать обратное - в СОС выпущенный под новым корневым включать все отозванные сертификаты выпущенные на старом(ых) корневом(ых)? В настройках флага стоит CRLF_REBUILD_MODIFIED_SUBJECT_ONLY (32). Система Windows Server 2003 R2 SP2.
Offline Kirill Sobolev  
#20 Оставлено : 19 февраля 2016 г. 17:43:52(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,731
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 175 раз в 167 постах
Попробуйте конечно к 32 добавить 2097152 вручную в реестре, но возможно что на 2003 этот режим не реализован.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.