Статус: Новичок
Группы: Участники
Зарегистрирован: 17.04.2020(UTC) Сообщений: 9 
|
Создаю усовершенствованную ЭЦП при помощи КриптоПро PDF. Для начала инструментом "Подпись с сертификатом" Adobe Acrobat Pro. Имею два сертификата, оба от СКБ Контур. Первый работает, второй - нет. Тот, что работает, имеет свойство: Код:[1]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://pki.sertum-pro.ru/ocspq2012/ocsp.srf
[2]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://ca.sertum-pro.ru/certificates/sertum-pro-q-2019.crt
[3]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://ca.sertum.ru/certificates/sertum-pro-q-2019.crt
Тот, что не работает, имеет свойство: Код:[1]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://cib-service.ru/files/cib-service-2019.crt
[2]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://secret-net.net/files/cib-service-2019.crt
Если ничего не предпринимать, то при подписании вторым сертификатом выдается ошибка 0xc2110121 Не задан адрес службы OCSP, так как во втором сертификате адрес OCSP-сервера не содержится в AIA. Если указать адрес сервера OCSP Контур http://pki.skbkontur.ru/ocsp2012/ocsp.srf или http://pki.sertum-pro.ru/ocsp2012/ocsp.srf (предоставлены техподдержкой Контур) либо в групповой политике, либо в свойствах сертификата УЦ, как указано в требованиях, то начинает выдаваться ошибка 0x800B0110 Данный сертификат не подходит для такого использования. Собрал логи. Подписание первым (работающим) сертификатом:  4.LOG (170kb) загружен 9 раз(а).Подписание вторым (неработающим) сертификатом: 3.LOG (45kb) загружен 4 раз(а).Смотрел в эти логи. Насколько сам понял, в обоих случаях КриптоПро не получает ответ от сервера OCSP. При подписании вторым сертификатом на этом все и заканчивается. В случае первого сертификата ответ КриптоПро получает от CRL, что неверно. Еще заметил, что адрес OCSP-сервера, который содержится в AIA первого сертификата (http://pki.sertum-pro.ru/ocspq2012/ocsp.srf) отличается от указанного техподдержкой Контур (http://pki.sertum-pro.ru/ocsp2012/ocsp.srf), но указание любого из двух приводит к одинаковому результату. Что не так с сертификатами или сервером OCSP Контур или что еще может быть?
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.04.2020(UTC) Сообщений: 9
|
Так что, уважаемые сотрудники КриптоПро, ответит ли кто-либо на вопрос, почему при запросе к OCSP серверу http://pki.sertum-pro.ru/ocspq2012/ocsp.srf случается ошибка Certificate of OCSP responder is not valid for signing status of pExtraPara->rgCertId[0]: issuer in CertId differs from one of OCSP certificate (end entity case) и запрос к OCSP серверу завершается с результатом Cannot find OCSP response for certificate? Это проблема сервера OCSP Контур или Крипто Про?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,987  Сказал «Спасибо»: 605 раз
Поблагодарили: 2350 раз в 1846 постах
|
Здравствуйте.
УЦ ЦИБ СЕРВИС - другой УЦ, даже не СКБ Контура, как за его сертификаты может отвечать другой OCSP? Поэтому и ошибка.
Обратитесь в УЦ ЦИБ Сервис за адресом ocsp службы, если она есть у данного УЦ. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.04.2020(UTC) Сообщений: 9
|
Автор: Андрей *  Здравствуйте.
УЦ ЦИБ СЕРВИС - другой УЦ, даже не СКБ Контура, как за его сертификаты может отвечать другой OCSP? Поэтому и ошибка.
Извините, но Вы невнимательно прочитали мой вопрос. Я пытаюсь понять, почему в сертификате, где указан адрес службы OCSP, обращение к этой службе завершается ошибкой (а проверка проходит через CRL, что неверно). Итак, еще раз: В самом сертификате указан этот адрес OCSP: [1]Доступ к сведениям центра сертификации Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1) Дополнительное имя: URL=http://pki.sertum-pro.ru/ocspq2012/ocsp.srfИ вот при запросе к серверу для этого сертификата возникает ошибка, которую я привел. И все это в логе 4.log Повторно спрашиваю. В логе 4.log наблюдается ошибка при работе с службой OCSP, адрес которой указан в самом сертификате (текст ошибки: Certificate of OCSP responder is not valid for signing status of pExtraPara->rgCertId[0]: issuer in CertId differs from one of OCSP certificate (end entity case) и т.д.). Вопрос - почему возникает эта ошибка: -некорректный сертификат -неверно работающий OCSP -неверно работающий КриптоПро -что-то еще. Кстати, в обсуждаемом сертификате Издатель - (CN = Общество с ограниченной ответственностью "Сертум-Про")
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,987 Сказал «Спасибо»: 605 раз
Поблагодарили: 2350 раз в 1846 постах
|
Автор: OlegMog Автор: Андрей * Здравствуйте.
УЦ ЦИБ СЕРВИС - другой УЦ, даже не СКБ Контура, как за его сертификаты может отвечать другой OCSP? Поэтому и ошибка.
Извините, но Вы невнимательно прочитали мой вопрос. Я пытаюсь понять, почему в сертификате, где указан адрес службы OCSP, обращение к этой службе завершается ошибкой (а проверка проходит через CRL, что неверно). Итак, еще раз: В самом сертификате указан этот адрес OCSP: [1]Доступ к сведениям центра сертификации Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1) Дополнительное имя: URL=http://pki.sertum-pro.ru/ocspq2012/ocsp.srfИ вот при запросе к серверу для этого сертификата возникает ошибка, которую я привел. И все это в логе 4.log Повторно спрашиваю. В логе 4.log наблюдается ошибка при работе с службой OCSP, адрес которой указан в самом сертификате (текст ошибки: Certificate of OCSP responder is not valid for signing status of pExtraPara->rgCertId[0]: issuer in CertId differs from one of OCSP certificate (end entity case) и т.д.). Вопрос - почему возникает эта ошибка: -некорректный сертификат -неверно работающий OCSP -неверно работающий КриптоПро -что-то еще. Кстати, в обсуждаемом сертификате Издатель - (CN = Общество с ограниченной ответственностью "Сертум-Про") Мне не понятно, зачем делать эти эксперименты с подменой OCSP от другого УЦ. Для меня "другой" УЦ, это не "название" организации, а ключ, на котором выпущен клиентский сертификат. В начале написано - есть рабочий и не рабочий. Эксперименты с нерабочим - для чего? Рабочий сертификат - в итоге "перестал" работать потому что прописан другой OCSP вручную...? С исходным - http://pki.sertum-pro.ru/ocspq2012/ocsp.srf - как написано в самом начале "всё работает". предоставлены техподдержкой Контур: http://pki.skbkontur.ru/ocsp2012/ocsp.srf http://pki.sertum-pro.ru/ocsp2012/ocsp.srf они обслуживают другой ПАК, верно? С чего Вы взяли, что можно просто так "переключать" на разные OCSP и прописывать тем более для неработающего сертификата? |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,987 Сказал «Спасибо»: 605 раз
Поблагодарили: 2350 раз в 1846 постах
|
Автор: OlegMog Создаю усовершенствованную ЭЦП при помощи КриптоПро PDF. Для начала инструментом "Подпись с сертификатом" Adobe Acrobat Pro.
Имею два сертификата, оба от СКБ Контур. Первый работает, второй - нет. В итоге что пытаетесь узнать? Почему второй не работает? Или почему первый "работал", но перестал, если прописывать другой OCSP? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.04.2020(UTC) Сообщений: 9
|
Еще раз.
1. Никто не делает экперименты с подменой.
2. Создаю усовершенствованную ЭЦП при помощи КриптоПро PDF инструментом "Подпись с сертификатом" Adobe Acrobat Pro.
Один сертификат "работает", то есть подпись создается.
3. Но при анализе логов (4.log) выяснилось, что хоть усовершенствованная подпись и ставится, но не на основе ответа от службы OCSP, а через CRL (что неверно).
4. КриптоПро обращается к OCSP, который указан в сертификате. это написано в логе 4.log: Send/ OCSPRequest_Impl.cpp(658) : Sending request to "http://pki.sertum-pro.ru/ocspq2012/ocsp.srf"...
то есть этот адрес никто не подменял.
5. И все равно возникает ошибка Certificate of OCSP responder is not valid for signing status of pExtraPara->rgCertId[0]: issuer in CertId differs from one of OCSP certificate (end entity case).
6. Про второй сертификат - забыли.
Итак, вопрос - почему возникает эта ошибка (в "работающем" сертификате):
-некорректный сертификат
-неверно работающий OCSP
-неверно работающий КриптоПро
-что-то еще.
вот это я и пытаюсь выяснить
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,987 Сказал «Спасибо»: 605 раз
Поблагодарили: 2350 раз в 1846 постах
|
Сообщите версии продуктов (полностью). Проверил на сертификате с данным OCSP - ошибок не вижу. Попробуйте сформировать вручную запрос, приложите ответ request.ors (если будет) пример Цитата:@Echo off chcp 1251 >nul "C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" makereq "D:\test\my.cer" >"D:\test\request.orq" "C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" sr -u http://pki.sertum-pro.ru/ocspq2012/ocsp.srf "D:\test\request.orq" "D:\test\request.ors" "C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" pd "D:\test\request.ors" |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
