Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline valaam123  
#1 Оставлено : 4 апреля 2017 г. 12:52:22(UTC)
valaam123

Статус: Участник

Группы: Участники
Зарегистрирован: 05.12.2013(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
CSP (Type:75) v3.9.8010 KC1 Release Ver:3.9.8495 OS:FreeBSD CPU:AMD64 FastCode:READY:SSSE3.
CryptAcquireContext succeeded.HCRYPTPROV: 34393469331

При попытке установить список отозванных сертификатов, в логах появляется ошибка:
Код:

[root@vm /tmp]# wget http://uc.nalog.ru/cdp/163d4290bf0a9c881766b9264f928470a3d705db.crl
[root@vm /tmp]# /opt/cprocsp/bin/amd64/certmgr -inst -crl -store mCA -file /tmp/163d4290bf0a9c881766b9264f928470a3d705db.crl


Ошибка:
Код:

Apr  4 12:17:33 vm cpcsp[10790]: capi20: CryptMsgUpdate () Exception :'Ошибка 0x80091004: Invalid cryptographic message type.' at file:'/dailybuildsbranches/CSP_3_9/CSPbuild/CSP/capilite/CMSMessage.cpp' line:161
Apr  4 12:18:21 vm cpcsp[10796]: capi20: CryptMsgUpdate () Exception :'Ошибка 0x80091004: Invalid cryptographic message type.' at file:'/dailybuildsbranches/CSP_3_9/CSPbuild/CSP/capilite/CMSMessage.cpp' line:161


Вопросы:

  1. Почему появляется данная ошибка, хотя списки все же устанавливаются?
  2. Как избежать появления данной ошибки?
  3. Не могли бы вы добавить возможность загрузки списка отозванных сертификатов через URL?
    например так:
    Код:
    /opt/cprocsp/bin/amd64/certmgr -inst -crl -store mCA -url http://uc.nalog.ru/cdp/163d4290bf0a9c881766b9264f928470a3d705db.crl

Offline 32stos  
#2 Оставлено : 4 апреля 2017 г. 17:57:07(UTC)
32stos

Статус: Участник

Группы: Участники
Зарегистрирован: 17.07.2015(UTC)
Сообщений: 24
Российская Федерация

Поблагодарили: 3 раз в 3 постах
Добрый день.

1,2. По поводу ошибки в логах, действительно имеет место быть. Сейчас разбираемся.
3. Вы всегда можете запустить последовательное выполнение команд через &&, ваше предложение передано разработчикам.

Так же стоит отметить, что при любом обращении к сертификату он проверяется на отзыв по CDP, по средствам curl
Offline valaam123  
#3 Оставлено : 5 апреля 2017 г. 13:47:55(UTC)
valaam123

Статус: Участник

Группы: Участники
Зарегистрирован: 05.12.2013(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Добрый день.
Автор: 32stos Перейти к цитате
Добрый день.
3. Вы всегда можете запустить последовательное выполнение команд через &&, ваше предложение передано разработчикам.

Так же стоит отметить, что при любом обращении к сертификату он проверяется на отзыв по CDP, по средствам curl


3. Это все верно, но шаги (скачать, проверить скачалось ли, установить, удалить скаченное) и к тому же другие компоненты например cryptcp такую возможность "-url" имеют.

по поводу CDP, по средствам curl все верно, но если список находится в хранилище то время проверки подписи сокращается.
ведь сервер распространения списков может быть и не доступен на момент проверки подписи в силу разных причин.

Отредактировано пользователем 5 апреля 2017 г. 13:50:23(UTC)  | Причина: Не указана

Offline valaam123  
#4 Оставлено : 11 апреля 2017 г. 10:12:39(UTC)
valaam123

Статус: Участник

Группы: Участники
Зарегистрирован: 05.12.2013(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: 32stos Перейти к цитате
Добрый день.
1,2. По поводу ошибки в логах, действительно имеет место быть. Сейчас разбираемся.


32stos Когда разберетесь, дайте знать.

Offline 32stos  
#5 Оставлено : 18 апреля 2017 г. 13:31:40(UTC)
32stos

Статус: Участник

Группы: Участники
Зарегистрирован: 17.07.2015(UTC)
Сообщений: 24
Российская Федерация

Поблагодарили: 3 раз в 3 постах
По поводу ошибок в логах:
Да, это похоже на открытие файла то в одном, то в другом формате (внутри CertOpenStore). Мы для таких ожидаемых ошибок даже специальный тип сообщения сделали во всех ветках - DB_WARN (ошибки скрытые по умолчанию). Но в обработчике исключений, боюсь, будет труно отличить эту ошибку от других.
По поводу cryptcp:
Подумаем. Возможно, что нет хорошего решения и ничего делать не будем.
Offline valaam123  
#6 Оставлено : 19 апреля 2017 г. 12:14:18(UTC)
valaam123

Статус: Участник

Группы: Участники
Зарегистрирован: 05.12.2013(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: 32stos Перейти к цитате
По поводу ошибок в логах:
Да, это похоже на открытие файла то в одном, то в другом формате (внутри CertOpenStore). Мы для таких ожидаемых ошибок даже специальный тип сообщения сделали во всех ветках - DB_WARN (ошибки скрытые по умолчанию). Но в обработчике исключений, боюсь, будет труно отличить эту ошибку от других.


Зачем его открывать в разных форматах, а есть возможность определить содержимое по заголовку файла?
Почему будет трудно отличить эту ошибку от других, ошибка же имеет код 0x80091004?
Как избежать появления этой ошибки в фалах отчета? (уровень отладки)

Автор: 32stos Перейти к цитате
По поводу cryptcp:
Подумаем. Возможно, что нет хорошего решения и ничего делать не будем.

непонятно на какой вопрос дан этот ответ.
Возможно: если по поводу добавление опции -url, то реализация этой опции есть в cryptcp можно просто перенести её в certmgr.

Offline 32stos  
#7 Оставлено : 20 апреля 2017 г. 17:18:39(UTC)
32stos

Статус: Участник

Группы: Участники
Зарегистрирован: 17.07.2015(UTC)
Сообщений: 24
Российская Федерация

Поблагодарили: 3 раз в 3 постах
Суть в том, что мы приняли к сведению ваши замечания, касательно ошибок и возможности устновки crl с url. И подумаем, возможно ли что то с этим сделать. Каких то конкретных сроков и обещаний дать не можем.
Offline valaam123  
#8 Оставлено : 4 августа 2017 г. 9:52:32(UTC)
valaam123

Статус: Участник

Группы: Участники
Зарегистрирован: 05.12.2013(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Добрый день есть ли какие нибудь изменения по данной теме?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.