Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2014(UTC) Сообщений: 123  Сказал «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Добрый день!
Подскажите, в последнее время, при проверке загружаемых на сервер подписанных файлов, через Крипто SDK стала случайным образом падать эта ошибка
(0x800B010E): Процесс отмены не может быть продолжен - проверка сертификатов недоступна.
Поймать ее для исследования не получается, она происходит совсем случайно и часто ночью.
Подскажите, в каком направлении копать, я грешу, что какие-то сетевые запросы на OCSP проверку не проходят или что-то подобное,
но точно не знаю...
Помогите, что с этим делать. Ранее тот же код и сервер (ничего значимое не менялось) работало отлично.
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Скорее всего, беда именно с сетью. Надо копать именно в эту сторону. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Но не совсем понятно, что именно проверять с сетью - на другом компьютере, с "другим" интернетом, все работает. Вот получилось найти файл, с которым воспроизводится постоянно. Собрал кусок лога, где падает несколько таких ошибок подряд. Плюс приложу еще сертификат, на который грешу, что подпись им по какой-то причине там не проверяется. С ним неувязка, что у него указаны два адреса ocsp, первый из которых находится во внутренней сети РЖД, естественно недоступен из вне. Но по второму все ок. Может еще что подскажете...  CertAndLog.zip (8kb) загружен 6 раз(а).
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Такой трассы для анализа недостаточно. Надо ещё собрать сообщения от winhttp. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Разобрались сами. Проблема была в том, что почему-то подписи сделанные определенными ключами ломились в сеть РЖД для проверки, к которой в этом месте доступа нет. Мы решили, что некоторые ключи АУЦ РЖД могут работать только с проверкой через их лок. сеть (хотя оба адреса через лок. сеть и через интернет в сертификате указаны и запросы идут на оба адреса).
Благодарю за направление "копания".
Но возникли 2 других случая.
1)Так же самая ошибка
Процесс отмены не может быть продолжен - проверка сертификатов недоступна.
Возникает при проверке отделенной подписи через крипто-SDK, сертификат которой отозван УЦ (выяснилось при проверке через крипто арм)
а)Подскажите, как можно получить понятный текст ошибки, который говорит не о "недоступности проверки", а том что проверка прошла, но серт. невалидный?
б)Также, скажите, является ли подпись верной, если сертификат отозван, но подпись, допустим сделана до его отзыва. И если да, то как отследить этот случай?
2) получаем ошибку "Не удается построить цепочку сертификатов для доверенного корневого центра." в случае, если у сертификата закончился срок действия на текущий момент, но подпись сделана до его окончания. Разве в этом случае подпись считается невалидной?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
|
1)Можно ли получить немного больше деталей о том когда появляется такая ошибка? В сертификате подписанта есть ссылка на OCSP, если есть то доступен ли адрес в момент проверки и кем выдан сертификат службы OCSP. Какая версия SDK и платформа. 2) Если речь идет о подписи формата CADES_X_LONG_TYPE_1 то подпись будет считаться валидной если сертификат был отозван уже после момента создания подписи. Если про CADES_BES то нет, т.к. подпись не содержит "доверенного времени создания подписи" и сохраненных доказательств что сертификат в этот момент был действителен. Отредактировано пользователем 1 марта 2016 г. 12:48:15(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
1)
В сертификате есть адреса OCSP
[1]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://ca.rzd/ocsp/ocsp.srf
[2]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://ca.rzd.ru/ocsp/ocsp.srf
[3]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://ca.rzd/aca/root.p7b
[4]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://ca.rzd.ru/aca/root.p7b
Причем адреса ca.rzd - недоступны с машины, где идет проверка. А ca.rzd.ru - доступны.
А каком сертификате службы OCSP идет речь?
SDK 1.5, вызывается через .net-assembly на сайте, хост в IIS, win 2008.
2) Да, ясно, спасибо! И, как я понимаю, в случае окончания срока сертификата, проверка через SDK в случае BES должна падать с ошибкой, а CADES_X_LONG_TYPE_1 - нет, верно?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
|
1) Да, очень похожую ошибку мы правили в версии 2.0. При наличии нескольких OCSP адресов, мы опрашиваем о статусе все. И результирующей ошибкой становилась ошибка от поcледнего OCSP. Т.к. один из адресов не доступен => ошибка "проверка сертификатов недоступна"
2) Да. вы правы. Подпись CADES_BES, по сути, проверяется на текущий момент. Если с сертификатом сейчас что то не так (отозван. просрочен ....) то подпись считается плохой. Для X_LONG_TYPE_1 такой проблемы нет. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Т.е. это ошибка 1.5 версии?
Что бы я получил во 2й версии при вашем исправлении? стоит на нее попробовать перейти на сервере?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
|
Просто так на нее не перейти - нужно будет лицензии новые.
В следующей версии 1.5 исправим. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
