Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline DmitryKlg  
#11 Оставлено : 28 октября 2019 г. 12:19:43(UTC)
DmitryKlg

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.09.2019(UTC)
Сообщений: 46
Российская Федерация

Автор: two_oceans Перейти к цитате
Добрый день.
Одного корневого сертификата мало, скорее всего нужно установить промежуточный сертификат. Желательно с правами администратора поставить сертификаты УЦ в соответствующее хранилище компьютера (хранилища пользователя могут игнорироваться, если запрещены политикой и не действуют для служб). Найти промежуточный сертификат можно по огрн издателя: http://e-trust.gosuslugi.../View?ogrn=1111840008411 Для приведенной подписи - последний сертификат в списке, "Идентификатор ключа" начинается с "0299..."

Если окажется недостаточно, то возможно автоматически не подгрузились списки отзыва. По ссылке выше, чуть ниже самого сертификата есть адреса его списков отзыва. После установки промежуточного сертификата УЦ, списков отзыва промежуточного УЦ, списков отзыва корневого УЦ проверка должна проходить корректно. Списки отзыва желательно регулярно обновлять (вручную или настроить автоматическое скачивание).


подскажите почему может не подгружаться список отзыва автоматически?
Offline two_oceans  
#12 Оставлено : 29 октября 2019 г. 7:56:18(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Причины могут быть разные - от тривиальных: выключенной функции загрузки СОС (списка отзыва сертификатов); недоступности Интернета; недоступности адреса публикации СОС и т.д. до конфликтов: сбоя из-за перенаправления на другой адрес при скачивании СОС; невозможности проверить сам сертификат сервера при подключении к адресу публикации СОС по https; в некоторых случаях взаимоисключающее использование гост и зарубежных алгоритмов для https. В целом, списки отзыва считаются менее надежным способом проверки сертификата чем протокол OCSP из-за большого объема каждого списка и во многих программах (браузерах, например) просто выключена их загрузка. Напротив, отечественных УЦ с OCSP-ответчиками меньше чем хотелось бы (начиная с самого головного УЦ Минкомсвязи) и списки отзыва "наше все".
В итоге загрузка сертификатов и списков отзыва отечественных УЦ обычно обеспечивается дополнительным программным обеспечением и его настройками. В Джаве, например, есть отдельные параметры которые включают/отключают подгрузку промежуточных сертификатов и СОС.

Отредактировано пользователем 29 октября 2019 г. 8:03:24(UTC)  | Причина: Не указана

Offline DmitryKlg  
#13 Оставлено : 29 октября 2019 г. 8:56:05(UTC)
DmitryKlg

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.09.2019(UTC)
Сообщений: 46
Российская Федерация

поскажите куда смотреть?
у меня ситуация следующая: на сайте сделан сервис подписи документа.
серверная часть php
клиентская js

все работает через cryptopro cades.
И возникают проблемы с некоторыми сертификатами.


сертификаты подгружаю
http://e-trust.gosuslugi.ru/MainCA
http://e-trust.gosuslugi...nloadTSL?schemaVersion=0

этого оказалось мало. сделал скрипт в нем список дополнительный для сертификатов. Подгружаю его.
Получается для каждого сертификата из списка нужно еще указывать ссылку на список отозванных сертификатов?

Ее как-то из сертификата получить нельзя?

мне бы хотелось это как-то автоматизировать.

p.s. Все работает в linux

Отредактировано пользователем 29 октября 2019 г. 8:57:46(UTC)  | Причина: Не указана

Offline two_oceans  
#14 Оставлено : 29 октября 2019 г. 9:51:24(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Автор: DmitryKlg Перейти к цитате
поскажите куда смотреть?
у меня ситуация следующая: на сайте сделан сервис подписи документа.
серверная часть php
клиентская js

все работает через cryptopro cades.
И возникают проблемы с некоторыми сертификатами.
Работает - это замечательно. Однако не нужно пытаться в cades делать вообще все, для некоторых вещей он просто не предназначен.
Автор: DmitryKlg Перейти к цитате
Посмотрел подробнее. По сути вторая ссылка - как раз то, что нужно (что подгружает и ставит КриптоАрм) - xml файл с сертификатами и адресами списков отзыва, то есть именно его и ищете. Если его правильно "обработать" - этого должно быть достаточно. Как правильно под linux - не владею информацией.
Автор: DmitryKlg Перейти к цитате
этого оказалось мало. сделал скрипт в нем список дополнительный для сертификатов. Подгружаю его.
Получается для каждого сертификата из списка нужно еще указывать ссылку на список отозванных сертификатов?
Ее как-то из сертификата получить нельзя? мне бы хотелось это как-то автоматизировать. p.s. Все работает в linux
Не просто указывать, а регулярно устанавливать оттуда СОС. Можно попробовать парсить сертификаты через openssl x509, вот только получите не совсем то - об этом ниже.
Автор: DmitryKlg Перейти к цитате
Ее как-то из сертификата получить нельзя?
Касательно получения из сертификата, тут сложная ситуация. В том плане, что у каждого сертификата (сертификаты промежуточных УЦ не исключение) указывается информация о списках отзыва вышестоящего УЦ, если такой есть. Из этого 2 следствия: 1) в корневом сертификате вообще нет данной информации, так как выше него нет УЦ; 2) чтобы получить об адресе СОС для некого сертификата УЦ Вам нужно найти сертификат клиента, выпущенный этим УЦ и подписанный этим сертификатом УЦ.

Другими словами, имея конечный или промежуточный сертификат можно легко построить цепочку вверх до корневого, но построить цепочку вниз крайне сложно по данным только сертификатов. Поэтому если цель поставить все возможные сертификаты и СОС заранее, то лучшая зацепка использовать xml по второй ссылке http://e-trust.gosuslugi...nloadTSL?schemaVersion=0 для получения всех сертификатов и всех ссылок на СОС.
Offline DmitryKlg  
#15 Оставлено : 29 октября 2019 г. 12:36:07(UTC)
DmitryKlg

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.09.2019(UTC)
Сообщений: 46
Российская Федерация

Спасибо за совет!

Распарсил http://e-trust.gosuslugi...nloadTSL?schemaVersion=0

Вроде все работает. Думаю нужно просто регулятно обновлять.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.