Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

10 Страницы«<34567>»
Опции
К последнему сообщению К первому непрочитанному
Offline nomhoi  
#81 Оставлено : 14 января 2021 г. 9:26:20(UTC)
nomhoi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2020(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Автор: Ситдиков Денис Перейти к цитате
Автор: nomhoi Перейти к цитате
Добрый день!

С помощью pycades можно получить отпечаток сертификата из файла сертификата *.cer? Как это можно вообще сделать?


Добрый день!
Certificate.Import + Certificate.Thumbprint (объект Certificate)
На вход Import подается сертификат в виде строки в base64.


Спасибо! Получилось.
Offline mstdoc  
#82 Оставлено : 14 января 2021 г. 16:46:45(UTC)
mstdoc

Статус: Участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 28

Сказал(а) «Спасибо»: 1 раз
Автор: Ситдиков Денис Перейти к цитате
Да, вариант с собственным сервером тоже может подойти.

Цитата:
Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате

Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне.


Добрый день.
Пытаюсь настроить ocsp, но что-то идет не так:

Код:
./cpconfig -ini "/config/cades/ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Section, key or parameter not found.
Online Ситдиков Денис  
#83 Оставлено : 14 января 2021 г. 18:09:24(UTC)
Ситдиков Денис

Статус: Администратор

Группы: Участники
Зарегистрирован: 01.03.2017(UTC)
Сообщений: 85
Российская Федерация
Откуда: Москва

Поблагодарили: 20 раз в 18 постах
Автор: mstdoc Перейти к цитате
Автор: Ситдиков Денис Перейти к цитате
Да, вариант с собственным сервером тоже может подойти.

Цитата:
Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате

Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне.


Добрый день.
Пытаюсь настроить ocsp, но что-то идет не так:

Код:
./cpconfig -ini "/config/cades/ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Section, key or parameter not found.

Добрый день!

Код:
[sudo] /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Offline mstdoc  
#84 Оставлено : 14 января 2021 г. 18:58:15(UTC)
mstdoc

Статус: Участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 28

Сказал(а) «Спасибо»: 1 раз
Автор: Ситдиков Денис Перейти к цитате
Автор: mstdoc Перейти к цитате
Автор: Ситдиков Денис Перейти к цитате
Да, вариант с собственным сервером тоже может подойти.

Цитата:
Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате

Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне.


Добрый день.
Пытаюсь настроить ocsp, но что-то идет не так:

Код:
./cpconfig -ini "/config/cades/ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Section, key or parameter not found.

Добрый день!

Код:
[sudo] /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"



Да, параметр добавился, благодарю.

Но есть проблема.
При проверке подписи по сетевому дампу видно нечто странное.
1. Было обращение в сторону ocsp сервера, был получен ответ что сертификат (подписанта) валидный.
2. Однако, после этого все равно пошло обращение в сторону crl.
3. После этого снова было обращение в сторону ocsp сервера с проверкой сертификата промежуточного УЦ. Был получен ответ что сертификат валидный.
4. Тем не менее последовал запрос в сторону crl промежуточного сертификата.

Это нормальное поведение?
Зачем инициируются запросы в сторону crl, если ocsp дал положительный ответ?
Может есть еще некая настройка?

Screenshot 2021-01-14 at 18.53.44.png (45kb) загружен 16 раз(а).
Offline Санчир Момолдаев  
#85 Оставлено : 15 января 2021 г. 2:23:44(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 758
Российская Федерация

Сказал(а) «Спасибо»: 68 раз
Поблагодарили: 158 раз в 154 постах
Автор: mstdoc Перейти к цитате

Это нормальное поведение?
Зачем инициируются запросы в сторону crl, если ocsp дал положительный ответ?
Может есть еще некая настройка?

Добрый день!
нормальное поведение

Техническую поддержку оказываем тут
Наша база знаний
Offline mstdoc  
#86 Оставлено : 15 января 2021 г. 5:27:03(UTC)
mstdoc

Статус: Участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 28

Сказал(а) «Спасибо»: 1 раз
Автор: Санчир Момолдаев Перейти к цитате
Автор: mstdoc Перейти к цитате

Это нормальное поведение?
Зачем инициируются запросы в сторону crl, если ocsp дал положительный ответ?
Может есть еще некая настройка?

Добрый день!
нормальное поведение



Из информации по приведенной ссылке так и не понял зачем каждый сертификат проверять и по crl и по ocsp...

Т.е. получается раньше у меня каждый сертификат проверялся по crl, а включив
в настройках "DefaultOCSPURL" каждый сертификат стал проверяться сначала
по ocsp, а потом еще и по crl...

Я включал опцию DefaultOCSPURL с той идеей, что сертификаты будут проверяться по ocsp и не будут на каждую проверку подписи дергаться crl...
Offline Санчир Момолдаев  
#87 Оставлено : 15 января 2021 г. 5:55:53(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 758
Российская Федерация

Сказал(а) «Спасибо»: 68 раз
Поблагодарили: 158 раз в 154 постах
Автор: mstdoc Перейти к цитате

Из информации по приведенной ссылке так и не понял зачем каждый сертификат проверять и по crl и по ocsp...

Т.е. получается раньше у меня каждый сертификат проверялся по crl, а включив
в настройках "DefaultOCSPURL" каждый сертификат стал проверяться сначала
по ocsp, а потом еще и по crl...

Я включал опцию DefaultOCSPURL с той идеей, что сертификаты будут проверяться по ocsp и не будут на каждую проверку подписи дергаться crl...


если мы говорим про проверку.
1. внешний штамп tsp всегда проверяется. ему нужен crl минкомсвязи.
2. смотрите требования
и это не так работает как вы думаете.
ocsp статус лучше запрашивать там где издан сертификат.
представьте ситуацию:
вам нужна справка об отсутствии судимости на ваше имя. обычно такую справку берут в мвд.
но у вас на руках справка об отсутствии судимости за подписью и печатью главврача городской больницы.
вопрос: кто такой справке поверит?
Техническую поддержку оказываем тут
Наша база знаний
Online Ситдиков Денис  
#88 Оставлено : 15 января 2021 г. 10:36:44(UTC)
Ситдиков Денис

Статус: Администратор

Группы: Участники
Зарегистрирован: 01.03.2017(UTC)
Сообщений: 85
Российская Федерация
Откуда: Москва

Поблагодарили: 20 раз в 18 постах
Автор: mstdoc Перейти к цитате
Автор: Ситдиков Денис Перейти к цитате
Автор: mstdoc Перейти к цитате
Автор: Ситдиков Денис Перейти к цитате
Да, вариант с собственным сервером тоже может подойти.

Цитата:
Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате

Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне.


Добрый день.
Пытаюсь настроить ocsp, но что-то идет не так:

Код:
./cpconfig -ini "/config/cades/ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Section, key or parameter not found.

Добрый день!

Код:
[sudo] /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"



Да, параметр добавился, благодарю.

Но есть проблема.
При проверке подписи по сетевому дампу видно нечто странное.
1. Было обращение в сторону ocsp сервера, был получен ответ что сертификат (подписанта) валидный.
2. Однако, после этого все равно пошло обращение в сторону crl.
3. После этого снова было обращение в сторону ocsp сервера с проверкой сертификата промежуточного УЦ. Был получен ответ что сертификат валидный.
4. Тем не менее последовал запрос в сторону crl промежуточного сертификата.

Это нормальное поведение?
Зачем инициируются запросы в сторону crl, если ocsp дал положительный ответ?
Может есть еще некая настройка?

Screenshot 2021-01-14 at 18.53.44.png (45kb) загружен 16 раз(а).


Если корневой для подписанта != корневой для OCSP службы, то ответ этой службы не является доказательством валидности сертификата.
Чтобы принимать ответы других служб, нужна настройка Службы OCSP: сертификаты уполномоченных служб OCSP.

Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo.
Offline mstdoc  
#89 Оставлено : 15 января 2021 г. 15:40:44(UTC)
mstdoc

Статус: Участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 28

Сказал(а) «Спасибо»: 1 раз
Что-то я совсем запутался.

Автор: Ситдиков Денис Перейти к цитате

если мы говорим про проверку.
1. внешний штамп tsp всегда проверяется. ему нужен crl минкомсвязи.
2. смотрите требования
и это не так работает как вы думаете.
ocsp статус лучше запрашивать там где издан сертификат.
представьте ситуацию:
вам нужна справка об отсутствии судимости на ваше имя. обычно такую справку берут в мвд.
но у вас на руках справка об отсутствии судимости за подписью и печатью главврача городской больницы.
вопрос: кто такой справке поверит?


Думаю тут больше будет уместна аналогия с неким местным филиалом МВД, у которого на руках есть информация обо всех судимостях, актуальная на некую дату.
Если информация есть - филиал ее выдает, если нет, то нет.


Автор: Ситдиков Денис Перейти к цитате

Добрый день!
Нет, для cades это невозможно.

Как вариант, можно настроить OCSP службу: проверка по OCSP приоритетнее проверки по CRL.


Автор: Ситдиков Денис Перейти к цитате

Да, вариант с собственным сервером тоже может подойти.
Цитата:

Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате

Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне.


После вот этих ответов, появилась идея что мы поднимаем у себя некий локальный ocsp сервер, который занимается тем, что всасывает в себя все crl, до которых может дотянуться и обновляет их по мере необходимости.
И при проверке подписи мы спрашиваем этот локальный сервер о статусе того или иного сертификата.
Именно так лично я понял вот эти ответы, поправьте меня если я ошибся.


Автор: Ситдиков Денис Перейти к цитате

Если корневой для подписанта != корневой для OCSP службы, то ответ этой службы не является доказательством валидности сертификата.
Чтобы принимать ответы других служб, нужна настройка Службы OCSP: сертификаты уполномоченных служб OCSP.


Я правильно понимаю что после настройки этой службы, запросы в сторону crl прекратятся, если ocsp отдаст валидный статус сертификата?


Автор: Ситдиков Денис Перейти к цитате

Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo.

Сделаю, как только разберусь как это провернуть ))

Отредактировано пользователем 15 января 2021 г. 15:42:32(UTC)  | Причина: Не указана

Online Ситдиков Денис  
#90 Оставлено : 15 января 2021 г. 16:00:36(UTC)
Ситдиков Денис

Статус: Администратор

Группы: Участники
Зарегистрирован: 01.03.2017(UTC)
Сообщений: 85
Российская Федерация
Откуда: Москва

Поблагодарили: 20 раз в 18 постах
Цитата:
Автор: Ситдиков Денис Перейти к цитате

Да, вариант с собственным сервером тоже может подойти.
Цитата:

Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате

Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне.


После вот этих ответов, появилась идея что мы поднимаем у себя некий локальный ocsp сервер, который занимается тем, что всасывает в себя все crl, до которых может дотянуться и обновляет их по мере необходимости.
И при проверке подписи мы спрашиваем этот локальный сервер о статусе того или иного сертификата.
Именно так лично я понял вот эти ответы, поправьте меня если я ошибся.


Да, все верно.


Цитата:
Автор: Ситдиков Денис Перейти к цитате

Если корневой для подписанта != корневой для OCSP службы, то ответ этой службы не является доказательством валидности сертификата.
Чтобы принимать ответы других служб, нужна настройка Службы OCSP: сертификаты уполномоченных служб OCSP.


Я правильно понимаю что после настройки этой службы, запросы в сторону crl прекратятся, если ocsp отдаст валидный статус сертификата?

Да, если настроить службу так, что на проверяющей машине ее ответ будет успешно проверен, то запроса к crl для заданного сертификата с этой машины не будет.


Online Ситдиков Денис  
#91 Оставлено : 15 января 2021 г. 16:18:34(UTC)
Ситдиков Денис

Статус: Администратор

Группы: Участники
Зарегистрирован: 01.03.2017(UTC)
Сообщений: 85
Российская Федерация
Откуда: Москва

Поблагодарили: 20 раз в 18 постах
Автор: nomhoi Перейти к цитате
Еще было бы неплохо настроить в Dockerfile установку сертификатов с приватными ключами на контейнере. Чтобы контейнер с ключами сохранился в отдельном томе. Мне пока не понятно, как это сделать.


Вариант добавить папки с ключами и хранилищами в докер вам не подойдет?
Код:
docker run -v `pwd`/code:/code -v /var/opt/cprocsp/keys/$USER:/var/opt/cprocsp/keys/root -v /var/opt/cprocsp/users/$USER/stores:/var/opt/cprocsp/users/root/stores -it pycades python3 sample_sign_verify.py
Offline mstdoc  
#92 Оставлено : 15 января 2021 г. 17:10:00(UTC)
mstdoc

Статус: Участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 28

Сказал(а) «Спасибо»: 1 раз
Автор: Ситдиков Денис Перейти к цитате

Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo.



Код:
"C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" pi c:\cer\123.response
Status: 0 (successful)
Signature algorithm: 1.2.643.7.1.1.3.2, ALG_ID: 0x0
HasNonce: 1
ProducedAt: 15.01.2021 16:52:32
Extensions: none
Certificate of signer of OCSP response: CN=-censored-, O=-censored-, C=RU, S=-censored-, L=Симферополь, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Verification of OCSP response: succeed.
Single responses (1):
#1:
Hash algorithm: 1.2.643.7.1.1.2.2
Serial number: 0F31 CA00 55AC 62A3 4E30 3B1A BA5A CA9E
Issuer key hash: BD67 A435 7B56 FFE2 304D 4315 2B42 9A71 65CA F156 4E37 A7EA B83E AD61 3B76 2C21
Issuer name hash: 8FDB F859 3079 9637 2BEF C594 23CA 619C 8805 4645 632E 1A3A 81CC 0A63 EAE0 711F
Certificate status: Good
RevTime: none
RevReason: none
ThisUpdate: 15.01.2021 16:52:32
NextUpdate: none
Archive cutoff: none
Extensions: none
Verification of single response: succeed.
Certificates from OCSP response (1):
CN=-censored-, O=-censored-, C=RU, S=-censored-, L=-censored-, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
[ErrorCode: 0x80096004]


Если я правильно понимаю, вот с этим проблема?
И похоже что проблема именно в настройке самого ocsp-сервера?
Код:
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.


Отсюда вопросы:
1. если этот момент устранить, будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl для
1.1. сертификата подписанта?
1.2. сертификата промежуточного?
2. если этот момент не устранить и добавить этот ocsp в "Службы OCSP: сертификаты уполномоченных служб OCSP", будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl?
Offline mstdoc  
#93 Оставлено : 15 января 2021 г. 17:11:47(UTC)
mstdoc

Статус: Участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 28

Сказал(а) «Спасибо»: 1 раз
Автор: Ситдиков Денис Перейти к цитате
Автор: nomhoi Перейти к цитате
Еще было бы неплохо настроить в Dockerfile установку сертификатов с приватными ключами на контейнере. Чтобы контейнер с ключами сохранился в отдельном томе. Мне пока не понятно, как это сделать.


Вариант добавить папки с ключами и хранилищами в докер вам не подойдет?
Код:
docker run -v `pwd`/code:/code -v /var/opt/cprocsp/keys/$USER:/var/opt/cprocsp/keys/root -v /var/opt/cprocsp/users/$USER/stores:/var/opt/cprocsp/users/root/stores -it pycades python3 sample_sign_verify.py



А может есть готовый рецепт для включения дебажных логов криптопро в докере?
Или перенаправления их из syslog в какой-либо файл?
Online Ситдиков Денис  
#94 Оставлено : 15 января 2021 г. 17:32:28(UTC)
Ситдиков Денис

Статус: Администратор

Группы: Участники
Зарегистрирован: 01.03.2017(UTC)
Сообщений: 85
Российская Федерация
Откуда: Москва

Поблагодарили: 20 раз в 18 постах
Автор: mstdoc Перейти к цитате
Автор: Ситдиков Денис Перейти к цитате

Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo.



Код:
"C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" pi c:\cer\123.response
Status: 0 (successful)
Signature algorithm: 1.2.643.7.1.1.3.2, ALG_ID: 0x0
HasNonce: 1
ProducedAt: 15.01.2021 16:52:32
Extensions: none
Certificate of signer of OCSP response: CN=-censored-, O=-censored-, C=RU, S=-censored-, L=Симферополь, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Verification of OCSP response: succeed.
Single responses (1):
#1:
Hash algorithm: 1.2.643.7.1.1.2.2
Serial number: 0F31 CA00 55AC 62A3 4E30 3B1A BA5A CA9E
Issuer key hash: BD67 A435 7B56 FFE2 304D 4315 2B42 9A71 65CA F156 4E37 A7EA B83E AD61 3B76 2C21
Issuer name hash: 8FDB F859 3079 9637 2BEF C594 23CA 619C 8805 4645 632E 1A3A 81CC 0A63 EAE0 711F
Certificate status: Good
RevTime: none
RevReason: none
ThisUpdate: 15.01.2021 16:52:32
NextUpdate: none
Archive cutoff: none
Extensions: none
Verification of single response: succeed.
Certificates from OCSP response (1):
CN=-censored-, O=-censored-, C=RU, S=-censored-, L=-censored-, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
[ErrorCode: 0x80096004]


Если я правильно понимаю, вот с этим проблема?
И похоже что проблема именно в настройке самого ocsp-сервера?
Код:
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.


Отсюда вопросы:
1. если этот момент устранить, будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl для
1.1. сертификата подписанта?
1.2. сертификата промежуточного?
2. если этот момент не устранить и добавить этот ocsp в "Службы OCSP: сертификаты уполномоченных служб OCSP", будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl?


Насколько я понимаю, в вашем случае это 2 независимые ошибки. Вам нужно добиться проверки сертификата OCSP оператора и добавить хэш сертификата в настройку "Службы OCSP: сертификаты уполномоченных служб OCSP".
Если ocsputil respinfo для вашего запроса выполнится успешно, то запросы к crl для этого сертификата выполняться не должны.
Online Ситдиков Денис  
#95 Оставлено : 15 января 2021 г. 17:34:40(UTC)
Ситдиков Денис

Статус: Администратор

Группы: Участники
Зарегистрирован: 01.03.2017(UTC)
Сообщений: 85
Российская Федерация
Откуда: Москва

Поблагодарили: 20 раз в 18 постах
Автор: mstdoc Перейти к цитате
Автор: Ситдиков Денис Перейти к цитате
Автор: nomhoi Перейти к цитате
Еще было бы неплохо настроить в Dockerfile установку сертификатов с приватными ключами на контейнере. Чтобы контейнер с ключами сохранился в отдельном томе. Мне пока не понятно, как это сделать.


Вариант добавить папки с ключами и хранилищами в докер вам не подойдет?
Код:
docker run -v `pwd`/code:/code -v /var/opt/cprocsp/keys/$USER:/var/opt/cprocsp/keys/root -v /var/opt/cprocsp/users/$USER/stores:/var/opt/cprocsp/users/root/stores -it pycades python3 sample_sign_verify.py



А может есть готовый рецепт для включения дебажных логов криптопро в докере?
Или перенаправления их из syslog в какой-либо файл?


Если вы пользуетесь докером из https://github.com/nomhoi/pycades_build , то там не установлены системные журналы.
После доустановки необходимых пакетов и выполнения инструкции по включению логов дебаговый вывод там работает.

Готового рецепта в общем случае нет, из syslog в файл вывод не перенаправляется.

Отредактировано пользователем 15 января 2021 г. 17:37:00(UTC)  | Причина: Не указана

Offline mstdoc  
#96 Оставлено : 15 января 2021 г. 17:44:03(UTC)
mstdoc

Статус: Участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 28

Сказал(а) «Спасибо»: 1 раз
Автор: Ситдиков Денис Перейти к цитате


Если вы пользуетесь докером из https://github.com/nomhoi/pycades_build , то там не установлены системные журналы.
После доустановки необходимых пакетов и выполнения инструкции по включению логов дебаговый вывод там работает.

Готового рецепта в общем случае нет, из syslog в файл вывод не перенаправляется.


Пользуемся своим, но, насколько я понимаю, проблема не в конкретном билде.
У докера в принципе были и есть проблемы с системными журналами.
Они заводятся, но весьма костыльными методами.
Offline mstdoc  
#97 Оставлено : 15 января 2021 г. 20:10:54(UTC)
mstdoc

Статус: Участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 28

Сказал(а) «Спасибо»: 1 раз
Автор: Ситдиков Денис Перейти к цитате
Автор: mstdoc Перейти к цитате
Автор: Ситдиков Денис Перейти к цитате

Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo.



Код:
"C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" pi c:\cer\123.response
Status: 0 (successful)
Signature algorithm: 1.2.643.7.1.1.3.2, ALG_ID: 0x0
HasNonce: 1
ProducedAt: 15.01.2021 16:52:32
Extensions: none
Certificate of signer of OCSP response: CN=-censored-, O=-censored-, C=RU, S=-censored-, L=Симферополь, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Verification of OCSP response: succeed.
Single responses (1):
#1:
Hash algorithm: 1.2.643.7.1.1.2.2
Serial number: 0F31 CA00 55AC 62A3 4E30 3B1A BA5A CA9E
Issuer key hash: BD67 A435 7B56 FFE2 304D 4315 2B42 9A71 65CA F156 4E37 A7EA B83E AD61 3B76 2C21
Issuer name hash: 8FDB F859 3079 9637 2BEF C594 23CA 619C 8805 4645 632E 1A3A 81CC 0A63 EAE0 711F
Certificate status: Good
RevTime: none
RevReason: none
ThisUpdate: 15.01.2021 16:52:32
NextUpdate: none
Archive cutoff: none
Extensions: none
Verification of single response: succeed.
Certificates from OCSP response (1):
CN=-censored-, O=-censored-, C=RU, S=-censored-, L=-censored-, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
[ErrorCode: 0x80096004]


Если я правильно понимаю, вот с этим проблема?
И похоже что проблема именно в настройке самого ocsp-сервера?
Код:
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.


Отсюда вопросы:
1. если этот момент устранить, будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl для
1.1. сертификата подписанта?
1.2. сертификата промежуточного?
2. если этот момент не устранить и добавить этот ocsp в "Службы OCSP: сертификаты уполномоченных служб OCSP", будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl?


Насколько я понимаю, в вашем случае это 2 независимые ошибки. Вам нужно добиться проверки сертификата OCSP оператора и добавить хэш сертификата в настройку "Службы OCSP: сертификаты уполномоченных служб OCSP".
Если ocsputil respinfo для вашего запроса выполнится успешно, то запросы к crl для этого сертификата выполняться не должны.



Ошибку 1.1 удалось устранить после того, как в хранилище CA был положен промежуточный сертификат сервера ocsp.
Теперь запрос в сторону crl подписанта не выполняется.

В настройки был добавлен параметр "AuthorizedOCSPs":
На винде ocsputil теперь выдает корректный ответ и для сертификата подписанта и для промежуточного.
Но на linux - сервере запрос в сторону промежуточного crl по прежнему выполняется, хотя там параметр AuthorizedOCSPs так же был прописан в настройки.

Код:

#cat /etc/opt/cprocsp/config64.ini 

......
DefaultOCSPURL = "http://ocsp.domain.ru/ocsp/ocsp.srf"
AuthorizedOCSPs = msz:"1ecbae543567b84d44b2e865ced9b5073ec77c8c"



Кстати, а где взять ocsputil для linux?
На странице загрузки есть только виндовая версия...
Online Ситдиков Денис  
#98 Оставлено : 16 января 2021 г. 21:02:55(UTC)
Ситдиков Денис

Статус: Администратор

Группы: Участники
Зарегистрирован: 01.03.2017(UTC)
Сообщений: 85
Российская Федерация
Откуда: Москва

Поблагодарили: 20 раз в 18 постах
ocsputil ставится при установке пакета cprocsp-pki-cades, находится в папке /opt/cprocsp/bin/amd64.
Offline Санчир Момолдаев  
#99 Оставлено : 17 января 2021 г. 7:29:11(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 758
Российская Федерация

Сказал(а) «Спасибо»: 68 раз
Поблагодарили: 158 раз в 154 постах
Автор: mstdoc Перейти к цитате

Думаю тут больше будет уместна аналогия с неким местным филиалом МВД, у которого на руках есть информация обо всех судимостях, актуальная на некую дату.
Если информация есть - филиал ее выдает, если нет, то нет.


я к тому что ваши усовершенствованные подписи у третьей стороны не проверятся.
т.к. они не будут доверять вашему ocsp серверу, т.к. у них в настройках не будет настроено доверие к вашему ocsp серверу.
проверьте вашу усовершенствованную подпись на других ресурсах. к примеру тут
Техническую поддержку оказываем тут
Наша база знаний
Offline mstdoc  
#100 Оставлено : 17 января 2021 г. 19:09:50(UTC)
mstdoc

Статус: Участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 28

Сказал(а) «Спасибо»: 1 раз
Автор: Санчир Момолдаев Перейти к цитате
Автор: mstdoc Перейти к цитате

Думаю тут больше будет уместна аналогия с неким местным филиалом МВД, у которого на руках есть информация обо всех судимостях, актуальная на некую дату.
Если информация есть - филиал ее выдает, если нет, то нет.


я к тому что ваши усовершенствованные подписи у третьей стороны не проверятся.
т.к. они не будут доверять вашему ocsp серверу, т.к. у них в настройках не будет настроено доверие к вашему ocsp серверу.
проверьте вашу усовершенствованную подпись на других ресурсах. к примеру тут


Это понятно.
Но проблема с которой все началось заключалась не в подписании, а в проверке подписи другой стороны в ситуации недоступности их crl сервера.
Когда нужно проверять по 20-30 подписей в секунду, а crl недоступен, локальный ocsp сервер сильно поможет.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
10 Страницы«<34567>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.