Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline amdest  
#1 Оставлено : 16 января 2018 г. 13:36:15(UTC)
amdest

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.06.2014(UTC)
Сообщений: 8
Российская Федерация
Откуда: Москва

Здравствуйте.

При проверке сертификата пользователя получаю: «Certificate chain is not checked for this certificate: ...» идалее «The certificate revocation status or one of the certificates in the certificate chain is unknown. [ErrorCode: 0x20000133]»

При запуске проверки с объявленной переменной окружения CP_PRINT_CHAIN_DETAIL=1, кроме прочего, получаю следующее:


(1). Verifing certificate in crl
(1). Crl has no same dp match DistributionPointName
(1). Crl has no same dp match DistributionPointName
(1). Crl has no same dp match DistributionPointCRLIssuer
Certificate crl status undetermined.
(1). Verifing certificate in crl
(1). Crl has no same dp match DistributionPointName
(1). Crl has no same dp match DistributionPointName
(1). Crl has no same dp match DistributionPointCRLIssuer
Certificate crl status undetermined.
Build chain is not valid.
There is no valid issuer.
There is no valid issuer.
----------- Error chain -----------
Chain status:REVOCATION_STATUS_UNKNOWN
Revocation reason:unspecified


УЦ, выдавший сертификат — аккредитованный (https://e-trust.gosuslugi.ru/CA/View?ogrn=1116165002161). Сертификаты промежуточных CA добавлены в хранилище CA. Сертификат пользователя подписан вот этим ключом (последний ПАК в перечне) и успешно проходит проверку на портале Госуслуг и на сервере проверки электронной подписи КриптоПро DSS.

Судя по ошибке — не совпадают имена издателей сертификата и CRL.

Что с этим можно сделать?
Offline Александр Лавник  
#2 Оставлено : 17 января 2018 г. 11:29:07(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Добрый день.

На странице госуслуг для этого УЦ для указанного сертификата (последний в списке) указаны 3 адреса CRL - сейчас они все недоступны.

Предположу, что на сервере КриптоПро DSS (точнее сказать КриптоПро SVS, который интегрирован в интерфейс КриптоПро DSS) и портале Госуслуг закеширован соответствующий актуальный CRL и/или CRL установлен локально на сервере.

CRL проверяется по расширению используемого сертификата "Точки распространения списка отзыва", и если URL'ы с CRL в этом расширении недоступны, то проверить сертификат на отзыв будет нельзя (если только не установить CRL локально).
Техническую поддержку оказываем тут
Наша база знаний
Offline amdest  
#3 Оставлено : 17 января 2018 г. 11:47:55(UTC)
amdest

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.06.2014(UTC)
Сообщений: 8
Российская Федерация
Откуда: Москва

Добрый день.

Автор: alexlav Перейти к цитате

На странице госуслуг для этого УЦ для указанного сертификата (последний в списке) указаны 3 адреса CRL - сейчас они все недоступны.


Да, такое часто случается, к сожалению. Поэтому приходится локально устанавливать актуальные CRL.

Автор: alexlav Перейти к цитате

CRL проверяется по расширению используемого сертификата "Точки распространения списка отзыва", и если URL'ы с CRL в этом расширении недоступны, то проверить сертификат на отзыв будет нельзя (если только не установить CRL локально).

Все сертификаты цепочки и соответствующие актуальные CRL продублированы локально. Результат всё равно отрицательный.
При этом, на Windows-машине с установленными сертификатами ГУЦ и промежуточных ЦА сертификат пользователя ошибок не показывает, даже без дублирования CRL.

Отладочная информация на linux-машине выдаёт следующее (полный вывод, за исключением подробностей пользовательского сертификата):
Цитата:

Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN: .....

1.Find path for:
Subject:'........'
Issuer:'E=oib.rcis@mail.ru, OGRN=1116165002161, INN=006165167997, C=ru, S=61 Ростовская область, L=Ростов-на-Дону, STREET=Козлова 62/148, O="ГБУ РО ""РЦИС""", CN="ГБУ РО ""РЦИС"""'

Found at store 0x102811000:
Subject:'E=oib.rcis@mail.ru, OGRN=1116165002161, INN=006165167997, C=ru, S=61 Ростовская область, L=Ростов-на-Дону, STREET=Козлова 62/148, O="ГБУ РО ""РЦИС""", CN="ГБУ РО ""РЦИС"""'
Issuer:'E=dit@minsvyaz.ru, C=ru, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр'

Found at store 0x102051200:
Subject:'E=oib.rcis@mail.ru, OGRN=1116165002161, INN=006165167997, C=ru, S=61 Ростовская область, L=Ростов-на-Дону, STREET=Козлова 62/148, O="ГБУ РО ""РЦИС""", CN="ГБУ РО ""РЦИС"""'
Issuer:'E=dit@minsvyaz.ru, C=ru, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр'

2.Find path for:
Subject:'E=oib.rcis@mail.ru, OGRN=1116165002161, INN=006165167997, C=ru, S=61 Ростовская область, L=Ростов-на-Дону, STREET=Козлова 62/148, O="ГБУ РО ""РЦИС""", CN="ГБУ РО ""РЦИС"""'
Issuer:'E=dit@minsvyaz.ru, C=ru, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр'

Found at store 0x102811000:
Subject:'E=dit@minsvyaz.ru, C=ru, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр'
Issuer:'E=dit@minsvyaz.ru, C=ru, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр'

3.Find path for:
Subject:'E=dit@minsvyaz.ru, C=ru, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр'
Issuer:'E=dit@minsvyaz.ru, C=ru, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр'

Verifing chain....
initial oid = 2.5.29.32.0
1. Verifing chain item:
Subject:'E=dit@minsvyaz.ru, C=ru, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр'
Issuer:'E=dit@minsvyaz.ru, C=ru, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр'
Certificate have certificate policy. Num = 6
cert policy in d.1. oid = 1.2.643.100.113.1size of tree 1 depth 1
Create new leaf in d.1. oid = 1.2.643.100.113.1 expected oid prev 2.5.29.32.0 parent i j 0 0
cert policy in d.1. oid = 1.2.643.100.113.2size of tree 1 depth 1
Create new leaf in d.1. oid = 1.2.643.100.113.2 expected oid prev 2.5.29.32.0 parent i j 0 0
cert policy in d.1. oid = 1.2.643.100.113.3size of tree 1 depth 1
Create new leaf in d.1. oid = 1.2.643.100.113.3 expected oid prev 2.5.29.32.0 parent i j 0 0
cert policy in d.1. oid = 1.2.643.100.113.4size of tree 1 depth 1
Create new leaf in d.1. oid = 1.2.643.100.113.4 expected oid prev 2.5.29.32.0 parent i j 0 0
cert policy in d.1. oid = 1.2.643.100.113.5size of tree 1 depth 1
Create new leaf in d.1. oid = 1.2.643.100.113.5 expected oid prev 2.5.29.32.0 parent i j 0 0
cert policy in d.1. oid = 2.5.29.32.0size of tree 1 depth 1
Create new leaf in d.2. oid = 2.5.29.32.0 parent i j 0 0
No extension. Create new leaf depth1
level = 1 Node size = 1
level = 1 num_child = 0
level = 1 parent_i = 0
level = 1 parent_j = 0
start clear tree
size of Tree 2
2. Verifing chain item:
Subject:'E=oib.rcis@mail.ru, OGRN=1116165002161, INN=006165167997, C=ru, S=61 Ростовская область, L=Ростов-на-Дону, STREET=Козлова 62/148, O="ГБУ РО ""РЦИС""", CN="ГБУ РО ""РЦИС"""'
Issuer:'E=dit@minsvyaz.ru, C=ru, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр'
Certificate have certificate policy. Num = 3
cert policy in d.1. oid = 2.5.29.32.0size of tree 6 depth 2
cert policy in d.1. oid = 1.2.643.100.113.1size of tree 6 depth 2
Create new leaf in d.1. oid = 1.2.643.100.113.1 expected oid prev 2.5.29.32.0 parent i j 1 5
cert policy in d.1. oid = 1.2.643.100.113.2size of tree 6 depth 2
Create new leaf in d.1. oid = 1.2.643.100.113.2 expected oid prev 2.5.29.32.0 parent i j 1 5
Create new leaf in d.2. oid = 1.2.643.100.113.1 parent i j 1 0
Create new leaf in d.2. oid = 1.2.643.100.113.2 parent i j 1 1
Create new leaf in d.2. oid = 1.2.643.100.113.3 parent i j 1 2
Create new leaf in d.2. oid = 1.2.643.100.113.4 parent i j 1 3
Create new leaf in d.2. oid = 1.2.643.100.113.5 parent i j 1 4
Create new leaf in d.2. oid = 2.5.29.32.0 parent i j 1 5
No extension. Create new leaf depth2
level = 2 Node size = 1
level = 2 num_child = 0
level = 2 parent_i = 1
level = 2 parent_j = 0
level = 1 Node size = 1
level = 1 num_child = 1
level = 1 parent_i = 0
level = 1 parent_j = 0
start clear tree
size of Tree 3
Node num=1 size 6
check leaf 1.2.643.100.113.1num_child 1
parent num_child = 6
i j 0 0 parent num_child = 6
check leaf 1.2.643.100.113.2num_child 1
parent num_child = 6
i j 0 0 parent num_child = 6
check leaf 1.2.643.100.113.3num_child 1
parent num_child = 6
i j 0 0 parent num_child = 6
check leaf 1.2.643.100.113.4num_child 1
parent num_child = 6
i j 0 0 parent num_child = 6
check leaf 1.2.643.100.113.5num_child 1
parent num_child = 6
i j 0 0 parent num_child = 6
check leaf 2.5.29.32.0num_child 3
parent num_child = 6
i j 0 0 parent num_child = 6
3. Verifing chain item:
Subject:'.........'
Issuer:'E=oib.rcis@mail.ru, OGRN=1116165002161, INN=006165167997, C=ru, S=61 Ростовская область, L=Ростов-на-Дону, STREET=Козлова 62/148, O="ГБУ РО ""РЦИС""", CN="ГБУ РО ""РЦИС"""'

Searching certificate in crl.
Found at attached list:
Subject:'E=oib.rcis@mail.ru, OGRN=1116165002161, INN=006165167997, C=ru, S=61 Ростовская область, L=Ростов-на-Дону, STREET=Козлова 62/148, O="ГБУ РО ""РЦИС""", CN="ГБУ РО ""РЦИС"""'
Issuer:'E=dit@minsvyaz.ru, C=ru, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр'

Found at store 0x102811000:
Subject:'E=oib.rcis@mail.ru, OGRN=1116165002161, INN=006165167997, C=ru, S=61 Ростовская область, L=Ростов-на-Дону, STREET=Козлова 62/148, O="ГБУ РО ""РЦИС""", CN="ГБУ РО ""РЦИС"""'
Issuer:'E=dit@minsvyaz.ru, C=ru, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр'

Found at store 0x102051200:
Subject:'E=oib.rcis@mail.ru, OGRN=1116165002161, INN=006165167997, C=ru, S=61 Ростовская область, L=Ростов-на-Дону, STREET=Козлова 62/148, O="ГБУ РО ""РЦИС""", CN="ГБУ РО ""РЦИС"""'
Issuer:'E=dit@minsvyaz.ru, C=ru, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр'

Certificate crl status undetermined.
(1). Verifing certificate in crl
(1). Crl has no same dp match DistributionPointName
(1). Crl has no same dp match DistributionPointName
(1). Crl has no same dp match DistributionPointCRLIssuer
Certificate crl status undetermined.
Build chain is not valid.
There is no valid issuer.
There is no valid issuer.
----------- Error chain -----------
Chain status:REVOCATION_STATUS_UNKNOWN
Revocation reason:unspecified
1.
Subject:'E=dit@minsvyaz.ru, C=ru, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр'
Issuer:'E=dit@minsvyaz.ru, C=ru, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр'
Cert status:CERT_TRUST_NO_ERROR
2.
Subject:'E=oib.rcis@mail.ru, OGRN=1116165002161, INN=006165167997, C=ru, S=61 Ростовская область, L=Ростов-на-Дону, STREET=Козлова 62/148, O="ГБУ РО ""РЦИС""", CN="ГБУ РО ""РЦИС"""'
Issuer:'E=dit@minsvyaz.ru, C=ru, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр'
Cert status:CERT_TRUST_NO_ERROR
3.
Subject:'.......'
Issuer:'E=oib.rcis@mail.ru, OGRN=1116165002161, INN=006165167997, C=ru, S=61 Ростовская область, L=Ростов-на-Дону, STREET=Козлова 62/148, O="ГБУ РО ""РЦИС""", CN="ГБУ РО ""РЦИС"""'
Cert status:REVOCATION_STATUS_UNKNOWN

Certificate chain is not checked for this certificate:
RDN: ......

The certificate revocation status or one of the certificates in the certificate chain is unknown.
[ErrorCode: 0x20000133]



Offline amdest  
#4 Оставлено : 22 января 2018 г. 15:59:02(UTC)
amdest

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.06.2014(UTC)
Сообщений: 8
Российская Федерация
Откуда: Москва

Автор: alexlav Перейти к цитате

На странице госуслуг для этого УЦ для указанного сертификата (последний в списке) указаны 3 адреса CRL - сейчас они все недоступны.


Удостоверяющий центр поправил ссылки на CRL для этого сертификата.
Дополнительно произведена установка актуального CRL вручную.
Но ситуация не изменилась, к сожалению.

Подскажите, пожалуйста, на что именно обратить внимание?
Offline shemvv  
#5 Оставлено : 6 марта 2018 г. 15:52:13(UTC)
shemvv

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.03.2018(UTC)
Сообщений: 1

Автор: amdest Перейти к цитате
Здравствуйте.

При проверке сертификата пользователя получаю: «Certificate chain is not checked for this certificate: ...» идалее «The certificate revocation status or one of the certificates in the certificate chain is unknown. [ErrorCode: 0x20000133]»

При запуске проверки с объявленной переменной окружения CP_PRINT_CHAIN_DETAIL=1, кроме прочего, получаю следующее:


(1). Verifing certificate in crl
(1). Crl has no same dp match DistributionPointName
(1). Crl has no same dp match DistributionPointName
(1). Crl has no same dp match DistributionPointCRLIssuer
Certificate crl status undetermined.
(1). Verifing certificate in crl
(1). Crl has no same dp match DistributionPointName
(1). Crl has no same dp match DistributionPointName
(1). Crl has no same dp match DistributionPointCRLIssuer
Certificate crl status undetermined.
Build chain is not valid.
There is no valid issuer.
There is no valid issuer.
----------- Error chain -----------
Chain status:REVOCATION_STATUS_UNKNOWN
Revocation reason:unspecified


УЦ, выдавший сертификат — аккредитованный (https://e-trust.gosuslugi.ru/CA/View?ogrn=1116165002161). Сертификаты промежуточных CA добавлены в хранилище CA. Сертификат пользователя подписан вот этим ключом (последний ПАК в перечне) и успешно проходит проверку на портале Госуслуг и на сервере проверки электронной подписи КриптоПро DSS.

Судя по ошибке — не совпадают имена издателей сертификата и CRL.

Что с этим можно сделать?


Добрый день. Та же ошибка, но с другим УЦ. На Linux ошибка, при этом cryptcp на windows ошибки не дает.
Offline Detuner  
#6 Оставлено : 5 сентября 2018 г. 17:41:56(UTC)
Detuner

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2013(UTC)
Сообщений: 22
Российская Федерация
Откуда: NNov

Сказал(а) «Спасибо»: 6 раз
Столкнулся с этой же проблемой, УЦ из стартового поста. Сервер на debian, CSP версии 4.0.0-4 билд 9708, корневые сертификаты и CRLы установлены локально.
Имеет смысл пробовать с последним билдом?
UPD: Проверил на билде 9944, ошибка сохраняется.

Отредактировано пользователем 6 сентября 2018 г. 10:11:57(UTC)  | Причина: Не указана

Offline Андрей Емельянов  
#7 Оставлено : 7 сентября 2018 г. 11:58:53(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Добрый день.
Приложите сертификат для воспроизведения.
Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
Offline Detuner  
#8 Оставлено : 7 сентября 2018 г. 12:17:00(UTC)
Detuner

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2013(UTC)
Сообщений: 22
Российская Федерация
Откуда: NNov

Сказал(а) «Спасибо»: 6 раз
rcis.zip (3kb) загружен 4 раз(а).
Offline Андрей Емельянов  
#9 Оставлено : 7 сентября 2018 г. 13:41:59(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Поведение при проверке исправлено в КриптоПро CSP 4.0 R4 Alpha (тестовый)
https://www.cryptopro.ru...oads#latest_csp40r4alpha
Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
thanks 1 пользователь поблагодарил Андрей Емельянов за этот пост.
Detuner оставлено 08.09.2018(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.