Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline vldpyatkov  
#1 Оставлено : 11 сентября 2015 г. 0:21:24(UTC)
vldpyatkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.04.2015(UTC)
Сообщений: 36
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Подписываю из браузера через brouser-plugin.
Проходит только обращение к tsp и возвращается ошибка.
Вот что видно в логах плагина:

Код:

00000053	8.76012325	[1996] pkivalidator.dll: {2856} /CertDllVerifyPrivateKeyUsagePeriodCertificateChainPolicy/ CertDllVerifyCertificateChainPolicy.cpp(46) : Start	
00000054	8.76020813	[1996] pkivalidator.dll: {2856} /CheckInitAndGetExtraStatus/ ReportError.h(197) : pExtraStatus = 0x00000000	
00000055	8.76029301	[1996] pkivalidator.dll: {2856} /CheckAndGetExtraPara/ ReportError.h(161) : pExtraPara = 0x010bc538	
00000056	8.76038170	[1996] pkivalidator.dll: {2856} /CertDllVerifyBasicConstraintsCertificateChainPolicy/ CertDllVerifyCertificateChainPolicy.cpp(60) : Start	
00000057	8.76046753	[1996] pkivalidator.dll: {2856} /ReportError/ ReportError.h(56) : No error encountered. Other checks can be performed - returning false.	
00000058	8.76055431	[1996] pkivalidator.dll: {2856} /CertDllVerifyCertificateChainPolicyProxy/ CertDllVerifyCertificateChainPolicy.cpp(28) : Finish. Returning TRUE.	
00000059	8.76074219	[1996] pkivalidator.dll: {2856} /ReportError/ ReportError.h(56) : No error encountered. Other checks can be performed - returning false.	
00000060	8.76083183	[1996] pkivalidator.dll: {2856} /CertDllVerifyCertificateChainPolicyProxy/ CertDllVerifyCertificateChainPolicy.cpp(28) : Finish. Returning TRUE.	
00000061	8.76096249	[1996] pkivalidator.dll: {2856} /ReportError/ ReportError.h(56) : No error encountered. Other checks can be performed - returning false.	
00000062	8.76105118	[1996] pkivalidator.dll: {2856} /CertDllVerifyCertificateChainPolicyProxy/ CertDllVerifyCertificateChainPolicy.cpp(28) : Finish. Returning TRUE.	
00000063	8.76121140	[1996] pkivalidator.dll: {2856} /ReportError/ ReportError.h(56) : No error encountered. Other checks can be performed - returning false.	
00000064	8.76130295	[1996] pkivalidator.dll: {2856} /IsValidByApplicationUsage/ CertVerifyCertificateChainPolicySSLImpl.cpp(140) : There should be only one usage in AppPolicy or EKU extension, but there are some of them	
00000065	8.76139164	[1996] pkivalidator.dll: {2856} /ReportError/ ReportError.h(68) : No extra status supplied. Setting pPolicyStatus->dwError = 0x800b0110, pPolicyStatus->lChainIndex = 0, pPolicyStatus->lElementIndex = 0.	
00000066	8.76147747	[1996] pkivalidator.dll: {2856} /ReportError/ ReportError.h(76) : Error encountered and no extra status supplied. Other checks must not be performed - returning true.	
00000067	8.76162052	[1996] pkivalidator.dll: {2856} /CertDllVerifyCertificateChainPolicyProxy/ CertDllVerifyCertificateChainPolicy.cpp(28) : Finish. Returning TRUE.	
00000068	8.76170540	[1996] cades.dll: {2856} /CChainPolicyVerification::chainContext/ ChainValidation.h(661) : #failure# HRESULT: (0x800b0110)	
00000069	8.76179218	[1996] cades.dll: {2856} /CChainPolicyVerification::chainContext/ ChainValidation.h(661) : status.dwError	
00000070	8.76205254	[1996] cades.dll: {2856} /CadesMsgEnhanceSignatureImplNamespace::MakeCAdES_T/ cades.cpp(746) : Exception thrown: _hr	
00000071	8.76214027	[1996] cades.dll: {2856} /CadesMsgEnhanceSignature/ cades.cpp(1300) : COleException, m_sc=0x800b0110	
00000072	8.76222324	[1996] cades.dll: {2856} /CadesMsgEnhanceSignature/ cades.cpp(1312) : (res=0, GetLastError=0x800b0110	


Что может быть не так с политиками (There should be only one usage in AppPolicy or EKU extension, but there are some of them)?
Offline vldpyatkov  
#2 Оставлено : 14 сентября 2015 г. 12:04:39(UTC)
vldpyatkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.04.2015(UTC)
Сообщений: 36
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Кто-нибудь может прокомментировать причины возникновения такой ошибки и как мне её избежать?
Offline Molostvov  
#3 Оставлено : 14 сентября 2015 г. 13:34:41(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
Добрый день.
Судя по всему проблема в сертификате оператора службы штампов времени (не соответствует RFC)
Не могли бы вы приложить этот сертификат?
Offline vldpyatkov  
#4 Оставлено : 14 сентября 2015 г. 15:32:38(UTC)
vldpyatkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.04.2015(UTC)
Сообщений: 36
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Я не знаю как у tsp можно сертификат достать, у меня есть только пойманный fiddler'ом http.
tsp_prod.zip (4kb) загружен 4 раз(а).
Этого будет достаточно для понимания?
Offline vldpyatkov  
#5 Оставлено : 14 сентября 2015 г. 18:13:58(UTC)
vldpyatkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.04.2015(UTC)
Сообщений: 36
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Мне удалось получить сертификаты службы tsp:
cert.zip (4kb) загружен 4 раз(а).
Причём на carzd.cer воспроизводится ошибка, а на carzdru.cer ошибки нет.
Offline Molostvov  
#6 Оставлено : 14 сентября 2015 г. 18:20:59(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
В сертификате carzd.cer в EKU два оида:
Код:
Неизвестное использование ключа (1.2.643.3.223.1.1)
Установка отметки времени (1.3.6.1.5.5.7.3.8)

По RFC должен быть один "Установка отметки времени (1.3.6.1.5.5.7.3.8)"
Offline vldpyatkov  
#7 Оставлено : 15 сентября 2015 г. 9:56:57(UTC)
vldpyatkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.04.2015(UTC)
Сообщений: 36
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Большое спасибо

Как вы и говорили нашел соответствующее описание в RFC 3161 секция 2.3.
Буду разбираться с хозяевами TSP.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.