Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.03.2019(UTC) Сообщений: 47 Откуда: РнД Сказал(а) «Спасибо»: 2 раз
|
режим работы с БД ЦР. ЦР, ЦС, OCSP на одном сервере.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Вы отзываете сертификат через Консоль ЦР? Включите журнал в службе. И после повторного обращения с проверкой от КритпоАРМ, в журнале появляются записи? И в них указано что серитфикат действительный? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.03.2019(UTC) Сообщений: 47 Откуда: РнД Сказал(а) «Спасибо»: 2 раз
|
Отзываю сертификат через консоль, все верно. Там статус меняется сразу же на отозван (прекращение работы). Открыл журнал. Вот как он выглядит: Snimok9.JPG (95kb) загружен 7 раз(а).Там почему-то одни запросы. Вот так выглядит запрос изнутри: Snimok10.JPG (43kb) загружен 8 раз(а).Еще один нюанс, по временам запросов видно, что есть огромный разрыв. Он произошел как раз тогда, как я начал пробовать менять адреса службы в настройках ЦС. Экпериментальным путем выяснил, что если ставить так, то не появляется даже запросов: Цитата:[1]Доступ к сведениям центра сертификации Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1) Дополнительное имя: URL=http://srv3.it.ru/ocsp/ocsp.srf [2]Доступ к сведениям центра сертификации Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1) Дополнительное имя: URL=http://srv3/ocsp/ocsp.srf
[3]Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://srv3.it.ru/aia/380cb2557ed0ab4c1f3bc680c129d3d68516db02.crt А если поставить галочку в настройках как на скрине ниже; в сертификате это тогда будет выглядеть так: Цитата:[1]Доступ к сведениям центра сертификации Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1) Дополнительное имя: URL=http://srv3.it.ru/ocsp/ocsp.srf [2]Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://srv3.it.ru/aia/380cb2557ed0ab4c1f3bc680c129d3d68516db02.crt
[3]Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://srv3.it.ru/ocsp/ocsp.srf
Snimok11.JPG (58kb) загружен 16 раз(а).То запросы начинают регистрироваться в журнале, но ни ответов, ни реального отображения статуса в криптоарм не происходит. Самое странное, что я не нашел в инструкции к OCSP server где и как вписывать адрес службы. Есть только упоминание вскользь.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Автор: alex61 Snimok11.JPG (58kb) загружен 16 раз(а).То запросы начинают регистрироваться в журнале, но ни ответов, ни реального отображения статуса в криптоарм не происходит. Самое странное, что я не нашел в инструкции к OCSP server где и как вписывать адрес службы. Есть только упоминание вскользь. Так делать не стоит, это не правильно. Войдите в свойства экземпляра службы. Там будет указан его адрес, вместо localhost укажите правильное dsn имя. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.03.2019(UTC) Сообщений: 47 Откуда: РнД Сказал(а) «Спасибо»: 2 раз
|
В настройках службы нельзя отредактировать поле пути. Пробовал ее останавливать/запускать, не дает, можно только скопировать текущий адрес. Удалил службу. При создании новой даже не предлагает ввести путь, нет такой настройки. В созданной службе уже прописан путь через localhost.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Вам адрес требуется указывать в пользовательских сертификатах. Вы просто эксперементируете с адресом, я только подсказал где взять правильный. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.03.2019(UTC) Сообщений: 47 Откуда: РнД Сказал(а) «Спасибо»: 2 раз
|
Я правильно понимаю, что нужно добавить адрес с днс именем полным в шаблон сертификата пользователя как адрес службы ocsp? При этом в настройках цс убрать эту строку с ocsp совсем? При этом в настройках службы останется localhost. Просто я убрал галочку, которая вы сказали что неправильная на скриншоте и запросы опять перестали появляться в журнале. При каждом изменении настроек цс я перевыпускаю сертификат пользователя на котором тестирую. Отредактировано пользователем 7 июня 2019 г. 9:39:14(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Можно указывать адрес как в шаблонах, так и в свойствах ЦС. Рекомендую проверить работу службы с помощью OCSPutil, согласно эксплуатационной документации. Потом уже переходить на прикладное ПО. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.03.2019(UTC) Сообщений: 47 Откуда: РнД Сказал(а) «Спасибо»: 2 раз
|
Я в ранее в теме писал, что у меня выдает ошибку при проверке как в инструкции через командную строку. Поэтому я начал м криптоарм работать, чтоб хоть как-то проверить.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Возможно нет прав на записл в каталоге Program Files. Скопируйте ocsputil в любую папку, например в Загрузки. И проверьте в ней выполнение команды. Файл request.orq не создавайте, он сам создасться (но указать его требуется). Отредактировано пользователем 7 июня 2019 г. 10:20:33(UTC)
| Причина: Не указана |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close