Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Агент управления ключами УЦ Ошибка при обновлении
Статус: Участник
Группы: Участники
Зарегистрирован: 11.07.2016(UTC) Сообщений: 23 Сказал(а) «Спасибо»: 10 раз
|
Сегодня вывел из действия ключи у которого истек срок действия закрытого ключа, но без выпуска финального CRL так как для выпуска финального CRL нужно чтобы ключ был загружен, а он не может быть загружен так как истек и вылетает ошибка Access Denied. Сегодня у клиентов у которых были выпущены сертификаты на старом корне, не проходят цепочку. ОШИБКА: проверка состояния отзыва сертификата вернула Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) CertUtil: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен. Как то можно выпустить финальную CRL командой или другим методом? ПОявилась мысль, при выпуске нового корня, требуется ли добавлять новый адрес публикации? Отредактировано пользователем 11 августа 2021 г. 15:17:45(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2017(UTC) Сообщений: 216 Откуда: Helsinki Сказал «Спасибо»: 2 раз Поблагодарили: 139 раз в 51 постах
|
Чтобы выпустить финальный CRL нужен ключ с действующим закрытым ключом. Финальный CRL вам нужно было выпустить, когда еще не истек срок действия ключа ЦС (который сейчас не загружается в Агенте). Сейчас уже поздно, да и если нет действующих сертификатов, которые были выпущены этим ключом, то нет особого смысла пытаться выпустить финальный CRL, т.к. нечего проверять. Вы вывели из обращения точно истекший ключ? А по клиентским сертификатам, которые не проверяются на отзыв, уточните доступность адреса публикации CRL, которые в них указаны, а также действительность корневого сертификата, под которым они выпущены (надеюсь, вывели из обращения не его).
|
D2/CB-4+BF2/A-DASH-4+BF2 |
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 393 раз в 366 постах
|
Добрый день. Поддержу прошлое сообщение и добавлю, что по идее клиентские сертификаты должны всегда иметь окончание действия ранее чем окончание сертификата УЦ. Иначе просто не построится корректная цепочка сертификатов при проверке после окончания сертификата УЦ. Финальный CRL имеет смысл, если клиентскими сертификатами делались усовершенствованные подписи, так как неусовершенствованные подписи (без метки времени) "протухнут" вместе с клиентским сертификатом и проверять будет нечего. Если же у Вас истекает срок действия закрытого ключа, но сертификат УЦ еще действует несколько лет, то тут теоретически есть 3 пути (и к сожалению все пути неприменимы к аккредитованным УЦ): 1) экспортировать в pfx/p12, импортировать ключ (при этом дата действия закрытого ключа в новом контейнере будет отсчитываться от текущей даты, бесполезно если в сертификата указана меньшая дата действия закрытого ключа). Технически это нарушает норму закона о сроке действия ключа, так что неприменимо на аккредитованных УЦ; 2) отключить контроль ключей (что делает СКЗИ несертифицированным); 3) выпустить кросс-сертификат с нового сертификата УЦ на старый сертификат УЦ (то есть превратить старый сертификат в запрос и выпустить сертификат на этот запрос) (при этом увеличится длина цепочки, то есть клиентам придется переустановить сертификаты для того чтобы сертификаты подхватились на цепочку с новым корневым, на аккредитованных УЦ это часто невозможно из-за ограничения длины цепочки (то есть аккредитованные УЦ не смогут выдавать сертификаты другим УЦ). Если у Вас речь о корневом сертификате и УЦ не аккредитованный, то метод 1 позволит загрузить новый экземпляр истекшего ключа и сделать что Вы хотите - финальный CRL и/или кросс с нового корневого. Отредактировано пользователем 12 августа 2021 г. 7:50:16(UTC)
| Причина: Не указана
|
1 пользователь поблагодарил two_oceans за этот пост.
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.07.2016(UTC) Сообщений: 23 Сказал(а) «Спасибо»: 10 раз
|
У нас получилось так: Корневой сертификат был выпущен на 5 лет и заканчивается он в 2022 году, а вот закрытый ключ к нему был на 3 года и закончился он в декабре 2020 года и каким то чудесным образом до августа выпускались сертификаты под этим корнем. Перестало работать после того как перезагрузились сервера и ключи не смогли автоматически подгрузиться в Агент управления ключами. Вывел из действия сертификат с закончившимся закрытым ключом, но все сертификаты до августа (а они действуют 15 месяцев) были выданы на старом корне у которого уже закончился срок закрытого ключа. После выпуска нового корня пришлось перевыпустить все сертификаты, т.к. пропала связь с ЦС (пропала не сразу, по всей видимости после того как должны были выпуститься планово crl): веб серверов, связь ЦР и ЦС, Администратора ЦР и т д. Но у клиентов у кого старый корень пока сохраняется ошибка проверки цепочки. Пока выключили проверку, но вариант так себе (временный). Буду пробовать что то из того, что посоветовал two_oceans, т.к. УЦ не аккредитованный. Спасибо за рекомендации.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.07.2012(UTC) Сообщений: 255 Сказал «Спасибо»: 22 раз Поблагодарили: 13 раз в 9 постах
|
А ведь по библии сервера УЦ нужно раз в сутки перезагружать :-)
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Агент управления ключами УЦ Ошибка при обновлении
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close